Mit Hilfe von VPN und einer Synology Diskstation.

Immer häufiger verkaufen Internet access provider (ISPs) sog. DSLite Anschlüsse. Diese Anschlüsse erhalten keine dedizierte IPv4 mehr. Auch keine dynamisch wechselnde IPv4, wie es bei regulären DSL-Anschlüssen in der Regel der Autumn ist.

Auch mobile Internetanschlüsse haben dieses Problem. Dort ist es besonders bei schnellen LTE-Anschlüssen verbreitet, die sich eigentlich gut als Ersatz für einen Festnetzanschluss eignen. Durch sog. Carrier Grade NAT (CGN) wird hier aber mehreren Anschlüssen bzw. Teilnehmern nur eine öffentliche IP zugeteilt, die sich alle Teilnehmern teilen müssen. Das Surfen im Cyberspace ist so problemlos möglich.
Der andere Weg, also das Erreichen von Diensten, aus dem Internet, ist so jedoch nicht möglich.

Wieso eigentlich eine öffentliche oder statische IP?

Ganz einfach, sobald homo von Außen, als aus dem Internet auf seinen eigenen Internetanschluss, oder Geräte hinter diesem Anschluss zugreifen will, ist mindestens eine öffentliche IP notwendig.
Auf den ersten Blick ist das ein Spezialfall, aber die Anwendungsgebiete werden immer größer. Eine öffentliche IP benötigt homo z.B., wenn:

  • Man ein SmartHome-Organization von unterwegs steuern möchte
  • Human being ein NAS von Außen erreichbar machen möchte (bei Synology-NAS z.B. bei Verwendung der Photostation)
  • Wenn man einen eigenen kleinen Webserver zuhause betreiben möchte
  • Wenn man einen eigenen kleinen Mailserver betreiben möchte
  • und, und, und

Eine öffentliche IP ist too gar nicht so unnütz 😉

Was ist der Unterschied zwischen einer öffentlichen und einer statischen IP?

Öffentliche IP: Eine öffentliche IP ist eine IP, die vom Internet aus erreichbar ist. In der Regel spricht an hier noch immer von einer öffentlichen IPv4, da IPv6 noch immer keine flächendeckende Verbreitung und Unterstützung aufweist.

Statische IP: Eine statische IP ist in der Regel auch eine öffentliche IP, aber eine spezielle Teilmenge davon. Während öffentliche IPs in der Regel regelmäßig wechseln, erhält ein Anschluss bei einer statischen IP immer wieder (auch nach einem Verbindungsabbruch) die gleiche IP-Adresse zugewiesen.

Dynamisches DNS ist keine Lösung

Oft wird Dynamisches DNS als Lösung angeführt, wenn Dienste aus dem Internet erreichbar gemacht werden sollen. Das ist insofern auch nicht verkehrt, wenn der eigene Anschluss bereits eine öffentliche IP-Adresse hat. Mittels Dyndns erhält human einen Domainnamen (z.B. meinhost.dynamischesdns.de) der dann immer zur jeweils aktuellen IP des eigenen Anschlusses auflöst. And so kann homo vermeiden, dass Dienste bei jedem automatischen IP-Wechsel durch den Provider ("Zwangstrennung") nicht mehr erreichbar sind. Dice dyndns-Domain löst dabei immer auf die aktuelle IP des Anschlusses auf und wird bei jedem IP-Wechsel aktualisiert. In der Regel wird das durch ein kleines Skript realisiert, das lokal hinter dem Anschluss läuft, viele Router haben jeweils bereits Updatescripte integriert, die nur konfiguriert werden müssen.

Das Problem: Wenn der Anschluss gar keine öffentliche IP hat, kann eine DynDNS-Domain auch nirgends hin auflösen. Dann sind VPN-Lösungen oder Portmapper gefragt.

Wie kann ich eine öffentliche IP erhalten?

Eine öffentliche IP erhält man manchmal schon nach einer kurzen Bitte an den Provider. Insbesondere bei LTE-Zugängen können dafür aber zusätzliche Kosten entstehen und das Surfen über einen anderen APN notwendig sein.
Bei einigen Providern ist das Zuweisen einer öffentlichen IP-Adresse auch gar nicht mehr möglich.

Wie kann ich eine statische IP erhalten?

Dein Provider kann Dir rein technisch eigentlich problemlos eine statische IP zuweisen. In der Regel ist diese Funktionalität aber nur für Business organization- bzw. Geschäftskundenanschlüsse kostenpflichtig buchbar.

Aber es gibt da noch einen weiteren Weg … 😉

Eine vollwertige statische IP über das Synology NAS: Then gehts!

Über den Anbieter feste-ip.cyberspace (Reflink) kann man für einen schmalen Preis eine statische IPv4-Adresse mieten. Diese IP lässt sich problemlos durch eine OpenVPN-Verbindung auf einem Synology-NAS als Netzwerkschnittstelle einrichten. Das NAS ist somit – egal, welcher Anschluss vor dem NAS ist – unter einer statischen IPv4 von Außen aus dem Internet erreichbar.

Zeitaufwand: thirty Minuten

one.) Business relationship bei feste-ip.net erstellen.

Zunächst erstellen wir uns bei dem Anbieter feste-ip.internet (Reflink) einen Account. Das ist vollkommen kostenlos.
Nach der Erstellung des Accounts kann human being verschiedene Dienste buchen: Vom Portmapper über HTTP-Proxies bis hin zu VPN-Tunneln und IPv4-Adressen.
Die Bezahlung erfolgt bei feste-ip.net (Reflink) über ein Creditsystem bzw. Prepaidmodell. Das bedeutet, human lädt seinen Account mit einer Summe Credits auf und diese werden dann durch die gebuchten Produkte verbraucht. Eine Ausnahme stellt eine IP-Adresse dar, diese muss man direkt im Voraus für mindestens einen Monat bezahlen.
Wir benötigen eine IPv4-Adresse und einen FIP-VPN-Tunnel.

2.) IP-Adresse buchen

Zuerst buchen wir eine IPv4-Adresse für einen VPN-Tunnel. Dafür navigieren wir in unserem Account zu "Credits&Addons" und klicken auf "Addonbuchung".
Jetzt wählen wir "VPN-Tunnel IPv4" (das ist wichtig!) aus und schließen die Buchung ab.

Wenn die Buchung abgeschlossen ist, sehen wir die neue IP unter dem Menüpunkt "Credits&Addons" und können diese nun einrichten.
Tipp: Die IP-Adresse kann ii Tage lang kostenlos konfiguriert und ausprobiert werden. Danach wird die IP gelöscht. Wenn homo sie weiter nutzen will, sollte man sie likewise innerhalb dieser Frist verlängern 😉

iii.) VPN Zugang erstellen

Um die IP nutzen zu können wird diese quasi auf eine VPN-Verbindung aufgeschaltet. Diese Verbindung, mit der sich später dann das NAS verbindet, richten wir nun ein.
Wir navigieren zu "FIP-VPN", wählen "VPN Tunnel IPv4" (Hier den Eintrag wählen, hinter dem deine eben gebuchte IP steht, NICHT PortVPN).
Da die IP im Rechenzentrum des Dienstleisters feste-ip.net zur Verfügung gestellt wird, ist dort auch eine Firewall vorhanden. Wenn Du von Außen auf deine Dienste hinter der IP zugreifen willst, musst Du unter Punkt 5 die entsprechenden Ports freigeben (wie Du es sonst auf Deinem Router machst). Die Einstellungen kannst Du natürlich später ergänzen und ändern.
Mit einem Klick auf "VPN erstellen", wird der VPN-Zugang erstellt.

4.) Konfigurationsdaten herunterladen

Nachdem Du den VPN-Zugang erstellt hast, musst Du Dir unter dem Menüpunkt "FIP-VPN" die Config herunterladen.

5.) Netzwerkschnitstelle bzw. VPN auf dem Synology NAS einrichten

Im DSM anmelden und zu "Systemsteuerung" – "Netzwerk" – "Netzwerk-Schnittstelle" navigieren. Hier findest Du sämtliche Netzwerkschnittstellen Deiner Diskstation. Wir fügen nun eine neue Schnittstelle hinzu. Dafür klicken wir auf "Erstellen" – "VPN-Profil erstellen".
Als Verbindungsmethode wählen wir "OpenVPN".

6.) Zugangsdaten für dice VPN-Schnittstelle eintragen

Im nächsten Schritt geben wir der Schnittstelle einen Namen (frei wählbar) und geben die restlichen Daten ein:
Benutzername: Hier nehmen wir die Zahlenfolge, die sich im Dateinamen des heruntergeladenen cipher-Files befindet: "fipVPN-XXXXXX".
Kennwort: Die AUTH-Datei aus dem heruntergeladenen nada-File in einem Editor öffnen und das Kennwort hier herein kopieren.
.ovpn-Datei: Die ovpn-Datei aus dem zip-File zunächst im Editor öffnen. In der letzten Zeile steht 'auth-user-pass "fipVPN-XXXXX.auth"'. In dieser Zeile einfach den Verweis auf das auth-file löschen. Die Zeile muss dann heißen: "auth-user-laissez passer".
CA-Zertifikat: Die fipCA.crt-Datei aus dem naught-File nutzen.
Dann auf "Erweiterte Optionen" klicken und als "TLS-auth Schlküssel" das "fipTA.cardinal"-File hinterlegen.
Dann auf "weiter" klicken.

7.) Letzter Schritt

Im nächsten Schritt noch einstellen, dass dice Verbindung bei einem Verbindungsabbruch wieder neu hergestellt werden soll.
Alternativ kann man mit dem Punkt "Standard Gateway auf Remote Netzwerk verwenden" den gesamten Traffic der Diskstation über dice VPN-Verbindung leiten.

8.) Fertig

Die Verbindung wird nun als Netzwerkschnittstelle angezeigt und kann mit Klick auf "Verbinden" hergestellt werden.

Wie ist die Operation der VPN-Verbindung?

Ich nutze diese Lösung mittlerweile nach einigen Wochen intensiven Tests produktiv. In Kürze findest Du hier meine Performance-Eindrücke 😉

Die VPN-Verbindung läuft außerordentlich stabil. Da die gesamte Verbindung und jeglicher Traffic extra (über OpenVPN) verschlüsselt wird, steigt jedoch die CPU-Terminal bei viel Traffic an.

Häufige Fragen

Was kostet eine feste IP mit dieser Lösung?

3,50€ monatlich für die statische IP und 5 Credits am Tag für den VPN-Tunnel.
Das sind in Summe keine four€ monatlich.
Traffic ist aktuell inklusive und wird nicht extra berechnet (Missbrauch natürlich ausgeschlossen;)).

Klappt das auch bei LTE-Anschlüssen mit Carrier form NAT?

Ja! Da dice VPN-Verbindung "von Innen" heraus, vom NAS aufgebaut wird und dann der Traffic durch den tunnel geroutet wird, spielt es keine Rolle, dass der Anschluss standardmäßig nicht von Außen erreichbar ist.

Kann ich das kostenlos ausprobieren?

Ja! Eine IP-Adresse kann human being 2 Tage kostenlos nutzen und ausprobieren.
Nach der Anmeldung erhältst Du zudem 30 kostenlose Credits. Das entspricht 6 Tagen VPN-Tunnel 😉

Wie viele statische IP'south kann ich and so erstellen?

Bei feste-ip.net kann man beliebig viele IP'southward und VPN-Tunnel bestellen.
ACHTUNG: Im DSM 6.x des Synology NAS kann human zwar beliebig viele VPN-Profile als Netzwerk-Schnittstellen hinterlegen, es kann jedoch immer nur ein Profil verbunden sein. Mehrere VPN-Schnittstellen gleichzeitig können NICHT genutzt werden.

LTE mit fester IP – ist das möglich?

Ja, mit Hilfe einer statischen IP über eine VPN-Verbindung ist das möglich. Die direkte Buchung einer statischen IP über den Netzbetreiber ist bei LTE-Anschlüssen in der Regel nicht möglich.

Alternative: Universelle Portmapper (IPv6 -IPv4)

Es gibt noch eine Alternative, die dann sinnvoll ist, wenn man nur einzelne Dienste hinter einem DSLite- oder LTE-Anschluss verfügbar/erreichbar machen möchte und wenn von Standarports abgewichen werden kann: Portmapper.

Was genau macht ein Portmapper?

Ein Portmapper macht eigentlich genau das, was sein Name auch sagt: Er mappt.
Das bedeutet er ordnet zu. Ein Portmapper ist ein Server, der einen Hostnamen bzw. eine IP hat. Tatsächlich lid jede IP/jeder Host aber noch viele Ports. Und die leitet der Portmapper quasi getunnelt weiter. Der Kunde erhälts nun beim Portmapper genau einen Port der IP zugeteilt. Und kann diesen beliebig – auch an einen anderen Port – an den Heimanschluss weiterleiten.
Der Dienst ist dann aus dem Net immer unter der Portmapper-Adresse (mit Port!) erreichbar, z.B. "portmapperdomain.de:10000".

Eine Veranschaulichung der Weiterleitungen eines Portmappers:
portmapperdomain.de:10000 – heimanschluss1:10000
portmapperdomain.de:10001 – kunde2:10000
portmapperdomain.de:10002 – kunde3:10002

usw.

Die Einrichtung ist einfacher als ein VPN

Für einen Portmapper muss man keinen VPN-Client auf dem Rechner installieren oder eine neue Netzwerkschnittstelle auf dem Synology-NAS erstellen.
In der Regel reicht eine Portweiterleitung im Router und die Konfiguration des Portmappers selbst.

Standardports können nicht genutzt werden

Bei Portmappern dice verschiedenen Kunden zustehen, sind in der Regel keine Standardports (lxxx; 22; 443 usw.) möglich, sondern es werden individuelle Ports vergeben – ganz einfach aus dem Grund, dass jeder Port eines Hosts (eines Portmappers) nur einmal vergeben werden kann.

Für diesen Zweck müsste man dann einen "dedizierten Portmapper" mieten/einrichten.

Fazit zu Portmappern

Wer auf keinen spezifischen Port festgelegt ist, der kann mit einem Portmapper gut und günstig Dienste hinter einem DSLite- oder LTE-Anschluss auch über das Internet verfügbar machen. Die Einrichtung ist einfach und dice Betriebskosten sind gering. Sobald human jedoch z.B. Standardports nutzen möchte, kommt man um eine VPN-Lösung nicht herum.

Portmapper und Storj?

Man kann nun natürlich auf die Idee kommen, einfach günstige Portmapper zu nutzen, um für eigene Storj-Nodes viele /24-IP-Netze zu erhalten.
Das ist theoretisch auch richtig und möglich. Allerdings bist du nicht der erste mit dieser Idee 😉
Zum Zeitpunkt des Verfassens dieses Textes sind z.B. im Subnet der feste-ip.net Portmapper bereits 8(!) Storagenodes hinter dem /24-Subnet. Das heißt der Traffic wird in diesem Fall durch 8 geteilt, jeder Storagenode erhält nur i/8 des möglichen Traffics – das lohnt sich nicht.