Toegang op afstand tot je netwerkopslag

netwerkopslag

Waarom kan externe toegang tot je netwerkopslag problematisch zijn?

Als je je NAS-server (Network Attached Storage) als homeserver via het internet beschikbaar wilt maken, stuit je bij netwerken op basis van IPv4 op een centraal probleem. Anders dan bij de nieuwe standaard IPv6 zijn bij het nog altijd wijdverbreide internetprotocol van de vierde generatie het openbare en het persoonlijke adresbereik strikt gescheiden. Daarom moet de router worden gebruikt als bemiddelende instantie. Moderne apparaten bevatten functies om de ontbrekende end-to-endverbinding te compenseren. Daarvoor moeten echter diverse configuratiestappen worden uitgevoerd.

Een tweede hindernis is de regelmatige automatische onderbreking van de verbinding door je internetserviceprovider (ISP): thuisnetwerken zijn meestal door dagelijks wisselende, toevallig gegenereerde IP-adressen met het internet verbonden. Maar hoe breng je een verbinding met een netwerk tot stand als het adres steeds verandert? Wij verklappen het.


Grondbeginselen: openbare en persoonlijke IP-adressen

Het scheiden van openbare en persoonlijke adresbereiken is een betrouwbaar mechanisme om de lokale eindapparaten in een thuis- of bedrijfsnetwerk te beschermen tegen toegang door onbevoegden. Een groot nadeel is echter dat ook gewenste toegang alleen mogelijk is als de router overeenkomstig geconfigureerd is. De router moet als schakel tussen de twee adresbereiken fungeren.

  • Openbare IP-adressen: door de verantwoordelijke ISP wordt aan elke router een openbaar IP-adres toegewezen, dat hem met het internet verbindt en als afzenderadres bij serveraanvragen dient. Het openbare IP-adres is bij particuliere gebruikers en bij de meeste zakelijke gebruikers op internet normaal gesproken dynamisch. Dat wil zeggen dat het adres min of meer toevallig en slechts voor een bepaalde periode (ca. 24 uur) aan de router wordt toegewezen. Omdat toegang op afstand vanuit het internet echter een constant adres vereist, hebben technieken als Dynamic DNS (DDNS) vaste voet gekregen, waarmee dynamische IP-adressen aan onveranderlijke domeinen kunnen worden gekoppeld
  • Persoonlijke IP-adressen: als je de opbouw bekijkt van een Local Area Network (LAN), dat verschillende apparaten tot een thuis- of bedrijfsnetwerk verbindt, dan vind je ook hier IP-adressen. Deze zijn echter alleen bestemd voor de interne communicatie in het LAN. Ze worden doorgaans automatisch gegenereerd door een DHCP-server (Dynamic Host Configuration Protocol) op de router en verbinden de afzonderlijke hardwarecomponenten van het netwerk, bijvoorbeeld pc’s, tablets, smartphones of homeservers, met elkaar. Daarom worden deze adressen ook wel LAN-IP’s genoemd. Omdat persoonlijke IP-adressen niet omleidbaar zijn, is een directe toegang tot het IPv4-adres van je netwerkopslag vanuit het internet niet mogelijk. In plaats daarvan moet de router, die als enige instantie in het LAN een openbaar IP-adres bezit, zodanig worden geconfigureerd dat toegang tot de NAS direct aan zijn persoonlijke LAN-IP wordt doorgestuurd. Dit werkt het beste als aan netwerkapparaten met serverdiensten een statisch LAN-IP-adres wordt toegekend.

Als een apparaat uit het LAN verbinding wil maken met het internet, dan gebeurt dit uitsluitend via de router. Deze neemt serveraanvragen (bijv. bij het oproepen van een website) uit het lokale netwerk aan en verzendt deze met het eigen openbare IP-adres aan het desbetreffende doel op internet. Als het doel als antwoord op de aanvraag een gegevenspakket terugstuurt, dan zorgt de router ervoor dat dit aan de oorspronkelijke opdrachtgever in het LAN wordt doorgestuurd. Bij IPv4 worden IP-pakketten in het lokale netwerk uitgedeeld door een component van de router die NAT (Network Address Translation) wordt genoemd.

Als een router daarentegen inkomende gegevenspakketten registreert die niet expliciet door een apparaat in het LAN zijn opgevraagd, dan worden deze pakketten om veiligheidsredenen onmiddellijk afgewezen. Dat geldt dus ook voor gewenste toegang tot de netwerkopslag als er geen poortvrijgave voor deze toegang geconfigureerd is.


Netwerkopslag in drie stappen online beschikbaar maken

Om je netwerkopslag vanuit het internet bereikbaar te maken, kun je de beschreven hindernissen in drie stappen overwinnen: bepaal het interne IP-adres van je NAS, open de desbetreffende poorten voor de toegang vanuit het internet en zorg er door middel van DDNS voor dat je router ondanks een wisselend openbaar IP-adres bereikbaar blijft voor aanvragen vanuit het internet.

1. Vast IP-adres voor de NAS bepalen

De interne IP-adressen van je netwerk worden verstrekt door de DHCP-server van je router. In principe krijgt elk netwerkapparaat daarbij altijd hetzelfde IP-adres. Daarvoor slaat je router het MAC-adres van het netwerkapparaat samen met het als eerste verstrekte IP permanent op. Binnen het lokale netwerk worden IP-adressen normaal gesproken alleen dynamisch verstrekt als je thuis- of bedrijfsnetwerk meer netwerkapparaten bevat dan IP-adressen op de router beschikbaar zijn.

Om het IP-adres van je NAS te bepalen, roep je de gebruikersinterface van je router op en laat je alle verbonden netwerkapparaten tonen. De AVM FRITZ!Box, een wijdverbreid type router, biedt daarvoor bijvoorbeeld het menupunt ‘Home Network’. Hier zoek je het interne IP-adres van je NAS op en dit noteer je voor de volgende configuratiestap. Als je NAS in een bedrijfsnetwerk staat, waarvan het aantal netwerkapparaten groter is dan het aantal beschikbare interne IP-adressen van je router, dan is het raadzaam om het verstrekken van een nieuw IP-adres voor je netwerkopslag expliciet te verbieden. Bij de AVM FRITZ!Box klik je daarvoor op de knop ‘Bewerken’ naast het IP-adres van je NAS-server en selecteer je de optie ‘Always assign this network device the same IPv4 address’.

2. Poorten voor de toegang op afstand openen

Een voorwaarde voor toegang op afstand tot je netwerkopslag is dat de firewall op je router zo geconfigureerd is, dat deze bepaalde aanvragen vanuit het internet toestaat.

Om je thuisnetwerk te beschermen tegen ongewenste toegang is op je router een pakketfilter actief die in de standaardconfiguratie alleen gegevenspakketten doorlaat die door eindapparaten in je LAN zijn aangevraagd. Als je echter ook onderweg toegang wilt hebben tot je NAS om gegevens te downloaden of op je netwerkopslag op te slaan, moet je daarvoor uitzonderingsregels instellen. Een dergelijke toegang wordt namelijk niet intern ingeleid en zou door de router om veiligheidsredenen worden afgewezen. Als je de firewall openstelt voor bepaalde diensten als FTP (File Transfer Protocol) of SSH (Secure Shell), dan wordt dit een poortvrijgave genoemd. Zo’n poortvrijgave kun je instellen in de gebruikersinterface van je router. Daarvoor open je de desbetreffende poort voor de gewenste dienst (bijv. FTP) en stel je een omleiding naar je NAS-server in.

Moderne netwerkopslagmedia beschikken doorgaans over een geïntegreerde FTP-server die – mits er verbinding met internet is – aanvragen van FTP-clients als FileZilla of WinSCP kan beantwoorden en zo een eenvoudige gegevensuitwisseling met diverse eindapparaten mogelijk maakt.

Theoretisch zijn er voor de netwerkcommunicatie 65.536 poorten beschikbaar. Hiervan zijn de poorten 0 t/m 1023 door de IANA (Internet Assigned Numbers Authority) gereserveerd als standaardpoorten voor bepaalde protocollen of toepassingen. De FTP-server van je router neemt bijvoorbeeld aanvragen vanuit het internet aan op poort 21. Om dit toe te staan, moet je de desbetreffende poort naar buiten toe openen en instellen dat inkomende gegevenspakketten aan het vaste LAN-IP van je netwerkopslag worden doorgestuurd. Daarvoor zijn in de gebruikersinterface van je router onder het menupunt ‘Portforwarding’ (afhankelijk van de router kan dit ook ‘Portmapping’ zijn) vier gegevens vereist:

  • De poort van de router die moet worden geopend (afhankelijk van apparaat en fabrikant ook ‘Public Port’, ‘External Port’ of ‘Inbound Service’ genoemd)
  • Het persoonlijke IP-adres van het netwerkapparaat waarnaar de gegevenspakketten moeten worden doorgestuurd (‘Private IP’ of ‘Internal IP’)
  • De poort waarop het netwerkapparaat de gegevenspakketten moet aannemen (‘Private Port’ of ‘Internal Port’)
  • Het protocoltype dat voor de gegevensoverdracht moet worden gebruikt (‘Type’)

3. Dynamic-DNS-service instellen

Een beproefde methode om een router permanent via het internet bereikbaar te maken, is Dynamic DNS. Dit is een bemiddelingsdienst die door diverse aanbieders op internet gratis beschikbaar wordt gesteld. Om Dynamic DNS te gebruiken, moet je je bij een DDNS-aanbieder registreren en via deze aanbieder een soort pseudo-domein instellen dat alle aanvragen automatisch omleidt naar het actuele dynamische IP-adres van je router. Het basisprincipe is daarbij als volgt: telkens als je router door de ISP een nieuw dynamisch IP-adres krijgt toegewezen, meldt deze de adreswissel automatisch aan bij de DNS-service. Daar wordt telkens het actuele dynamische IP-adres aan het statische pseudo-domein gekoppeld. Om via het internet toegang te krijgen tot je netwerkopslag hoef je dus alleen het statische internetadres en niet het dagelijks wisselende IP-adres te kennen.

  • Gecertificeerde veiligheid

    Gecertificeerde veiligheid
  • Beste hostingbedrijf

    Beste hostingbedrijf
  • MKB Best Choice

    MKB Best Choice
  • Professionele support

    Professionele support
  • Hosted in Germany

    Hosted in Germany