DDNS - myfritz oder doch einen anderen Anbieter?

Vielleicht hilft das weiter: https://linuxhint.com/lets-encrypt-synology/

Warum für die Zwecke nicht einfach den VPN-Dienst der FritzBox nutzen?

Zitat von taker-`

der Zugriff funktioniert dann trotzdem von unterwegs, wenn ich z.B. auch irgendwo über den FireTV Stick, Handy, Smartphone usw. zugreifen möchte? Oder funktioniert das dann nur mit einem Webbrowser?

Solange du das dann über deine DDNS / Fritz / etc. Domain aufrufst, ist der Client egal. Das sollte funktionieren.

Moin

Zitat von Publish3r

Solange du das dann über deine DDNS / Fritz / etc. Domain aufrufst, ist der Client egal. Das sollte funktionieren.

Mit an Sicherheit grenzender Wahrscheinlichkeit wird hier der eingehende Verkehr von der Fritte auf den (SSL) Port des Emby-Servers weitergeleitet.
Damit steht der Emby-Server quasi offen im Internet.
Jeder kann dann über die IP-Adresse deines Internetanschlusses + den passenden Port auf den Emby-Server zugreifen.
Zum Anmelden genügen sicherlich Benutzername + Passwort.
Wenn es jetzt eine Sicherheitslücke gibt, können Hacker über diese Lücke den Emby-Server übernehmen und Unheil anrichten.

Daher sollte dieser Zugriff von außen möglichst nicht per Portweiterleitung sondern abgesichert über ein VPN erfolgen.
Deine Fritzbox ermöglicht das bereits, aber nur per IKEv1.
Smartphone, Notebooks oder Tablets kann man recht einfach per Client-VPN verbinden.
Andere Netzwerke (Ferienwohnung, Eltern etc.) eventuell auch per LAN-LAN-Kopplung.
Schwieriger wird es mit einem Fire-TV-Stick. Der bietet AFAIK keine Möglichkeit ein IKEv1 VPN zu realisieren.

PS: Ich nutze seit vielen Jahren DynDNS.com in meiner Firma für verschiedene Kunden, die keine feste IP bekommen können. Zahle dafür alle 2 Jahre eine Gebühr.

Deine Fritzbox ermöglicht das bereits, aber nur per IKEv1.


Smartphone, Notebooks oder Tablets kann man recht einfach per Client-VPN verbinden.

Inzwischen gibt es bei den aktuellen Fritzen openvpn

wie aktuell muss den die fritte sein? auf meiner 7590 (alles original) find ich nicht wirklich was zu 'nem openvpn-server in der fritten-hilfe, wäre aber sehr interessiert.

Ich will jetzt nicht wieder anfangen über Sicherheitseinstellungen zu diskutieren. Ich denke, dass muss jeder für sich selbst entscheiden, wie paranoid man ist.
Aber was VPN und Fritzbox angeht, siehe Screenshot. Meine Fritze ist nicht sooo aktuell, habe aber schonmal mit den Settings experimentiert. Funktioniert bei mir auf jeden Fall auch mit OpenVPN.
Wo die Settings zu finden sind: siehe Screenshot.

damit wir übers selbe reden:

openvpn ist als server AUF der fritte vorhanden, so wie die alte version, die sogar m$ und ich pers. für zu unsicher halten? wenn ja, wo?

wir reden nicht darüber, 'nen vpn-server auf irgend einem rechner im lan aufzusetzen und einfach nur blöd und dämlich wieder einen port dorthin in der fritte zu öffnen?

Zitat

Mit an Sicherheit grenzender Wahrscheinlichkeit wird hier der eingehende
Verkehr von der Fritte auf den (SSL) Port des Emby-Servers
weitergeleitet.
Damit steht der Emby-Server quasi offen im Internet.

Das denke ich nicht, wenn explizit Portweiterleitungen konfiguriert werden dann werden auch nur diese Ports durchgereicht. Anders sieht es mit der Funktion "Exposed Host" aus, wenn dies aktiviert wurde trifft deine Aussage zu.

Man muss bei Internetfreigaben höllisch aufpassen, sonst steht das ganze Filmarchiv im Internet - ob man das wirklich möchte?

DDNS / FritzBox / Heimdienste:

Meine Domain liegt bei all-inkl.com die auch DDNS anbieten. Somit konnte ich einen CNAME Eintrag von home.meinedomain.com eintragen der direkt nach Hause leitet. Weitere Subdomains sind auch kein Problem, also z.B. cloud.meinedomain.com Die DDNS Daten habe ich auf meine FritzBox hinterlegt, somit stimmt die Namensauflösung nach Hause.
Zu Hause läuft auf einem RPI (V4/8GB) Proxmox und darauf dann unter anderem ein ReverseProxy der eingehende Anfragen wieder den richtigen virtuellen Maschinen zuordnet. Also ein Minirechenzentrum für 100 EUR.
So kann ich meine eigene Cloud wirklich bei mir zu Hause laufen lassen, und das bei überschaubaren Stromkosten des RPI.

Lg
Basti

Zitat

Aber anscheinend ist das ja nicht so gut und man SOLLTE dann auf eine VPN-Verbindung setzen. Wobei das anscheinend bei der Fritzbox beiliegende VPN-Server-Tool nicht zu empfehlen ist?

Ich vermute du möchtest von unterwegs auf dein heimische Filmsammlung zugreifen?
Die VPN Funktionen der FritzBox sind durchaus brauchbar, aber bis auf einige wenige neue Modelle ist die NAT Performance nicht ausreichend. Sprich du bekommst die Filmdaten nicht schnell genug in den VPN Tunnel gesendet.
Die Verschlüsselung basiert auf AES, daher machen hier Chips Sinn die diese Funktion Hardwareseitig haben und dadurch deutlich schneller sind. Das hier ist ein guter Hardware Einstieg in eine vernünftige Firewall:
https://www.amazon.de/HSIPC-Upgraded-Firewall-Appliance-Compatible/dp/B09P3RVDJ3/ref=sr_1_10?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&crid=2PBDSN6JCAFF8&keywords=protectli&qid=1657003660&sprefix=protectli%2Caps%2C75&sr=8-10&tag=kodinerds04-21 [Anzeige]
Dazu mit pfSense (openSense, etc) eine vernünftige Firewall aufbauen.

Zitat von taker-`

Okey, solangsam bin ich mir unsicher, wie ich das nun regeln soll(te)

Ich versuche mal zusammenzufassen:

Aufgabenstellung:
Du möchtest auch von außerhalb deines Heimnetzes auf deine Emby-Bibliothek zugreifen können.

Dabei gibt es erstmal 2 Hürden zu überwinden:

1. Sofern du nicht jedesmal über die möglicherweise häufig wechselnde IP Zugreifen musst, muss dein Anschluss über einen DNS-Namen erreichbar gemacht werden.
2. Die Emby-Bibliothek muss über diesen Namen dann ebenfalls erreichbar gemacht werden.

Jetzt gibt es hier verschiedene Ansätze das zu gestalten, die jeweils unterschiedliche Vor- und Nachteile bieten, unterschiedlich sicher sind, ggfs. unterschiedliche Hardware und unterschiedliche (Fach-)Kenntnisse benötigen.

zu 1.:
Ich gehe davon aus Dein Anschluss verfügt über eine Dynamische IPv4 oder IPv6-Adresse bzw. einen dynamischen IPv6-Präfix den du von deinem Provider zugewiesen bekommst. Ist das nicht der Fall, und du bekommst z.B. über DS Lite nur eine IP-Adresse aus dem privaten Adressraum zugewiesen, haben wir eine zusätzliche Hürde.
Um den Anschluss von außen erreichbar zu machen benötigst du einen DynDNS-Dienst. Das kann der in der Fritzbox integrierte MyFritz-Dienst sein, oder ein beliebiger anderer wie DuckDNS etc.
Ich persönlich habe das so gelöst, dass ich eine private .de-Domain bei Netcup habe, dort als Nameserver die deSec-Server in die NS-Records eingetragen hab. Somit übernimmt die DNS-Verwaltung für die Domain deSec.
Dort kann ich dann die Domain, oder eine beliebige Subdomain als DynDNS-Adresse verwenden. Auch mit einer Fritzbox. Vorteil: man kann eine eigene Domain verwenden. Nachteil: man benötigt eine eigene Domain.

zu 2.:
man könnte einfach ein Port-Forwarding in der Fritzbox von dem Emby-Port auf den Emby-Server einrichten. Damit ist deine Emby-Bibliothek von außen erreichbar. Allerdings praktisch gänzlich ungeschützt. Dafür zumindest aber sehr performant. Solltest du diese Variante in Erwägung ziehen, sollte der Emby-Server zumindest ausschließlich über HTTPs erreichbar gemacht werden und sichere Zugangsdaten für deinen Emby-Benutzter verwendet werden.

Eine Alternative wäre der Zugriff via VPN auf den Emby-Server und dafür dann keine Port-Freigabe zum Emby einrichten.
Wie bereits gesagt wurde, ist der VPN-Dienst der in der Fritzbox integriert ist nicht gerade optimal.
Da du aber eine Synology hast, wäre eine Option die VPN-Funktionalitäten der Fritzbox komplett zu deaktivieren, und stattdessen eine Portweiterleitung der VPN-Ports auf deine Synology einzurichten, wo du dann einen VPN-Server einrichtest. Das sollte dann deutlich performanter laufen.

Eine weitere Alternative wäre der Zugriff über einen Reverse-Proxy.
Ich nutze hier den Nginx Reverse Proxy Manager als Docker. Den könntest du wohl ebenfalls auf der Synology laufen lassen. Diese Variante setzt im Vergleich etwas mehr Know-How voraus.
In der Fritzbox würdest du dann eine Portweiterleitung für HTTPs auf den Reverse-Proxy einrichten, und der Reverse-Proxy verweist dann auf deinen Emby-Server.
Somit steht dein Emby-Server nicht direkt im Internet, sondern lediglich der Webserver des Reverse-Proxys.
Diese Variante liese sich auch ohne Portweiterleitung betreiben, wenn sie mit der VPN-Variante kombiniert wird.

Andere Lösungen mit dedizierter Firewall auf pfSense/openSense-Basis etc. böten zwar sicherlich noch deutlich mehr Sicherheit, Konfigurationsmöglichkeiten und Performance, sind aber auch mit zusätzlicher Hardware und deutlich mehr Einrichtungsaufwand und vor allem Know-How verbunden.
Anhand deiner Beschreibung würde ich dir zum MyFritz-DNS und der Variante mit dem VPN-Server auf der Synology raten. Das dürfte wohl ein guter Kompromiss zwischen Performance, Einrichtungsaufwand und benötigte Kenntnisse sein. Außerdem hättest du dazu alles nötige bereits vorhanden.

Nur um mal meine Vorgehensweise loszuwerden
Ich hab ne Strato Domain wo ich meine Subdomains für bestimmte Dienste erstellt habe. Meine externe IP wird immer automatisch per ddclient Docker nach Strato geupdatet. Auf meinem Server läuft dann Swag für reverse proxy und Zertifikate.

So wie @psychofaktory beschrieben, sprich über Nginx Reverse Proxy hab ich das auch schon lange Zeit am laufen
Das gute daran ist das man eigentlich nur den Port 443 und 80 freigeben muß.
Und 80 eigentlich auch nur um Letsencrypt zu aktualisieren.
Das einrichten ist eigentlich nicht unbedingt eine große Wissenschaft

Möglichkeiten gibt es viele. Wurden ja auch mittlerweile alle hier aufgezählt.

Die Fragen wären jetzt eigentlich nur:

- Wieviel Know How hast du denn überhaupt? Es bringt ja nichts, wenn dir jetzt jeder irgend nen Tutorial bereitstellt und du im Endeffeckt gar nicht weißt, was du da eigentlich machst und wozu es gut ist.
- Wieviel Sicherheit brauchst / willst du? Gibt ja hier doch ein paar Leute, denen es nicht sicher genug sein kann. k.A. ob die Goldreserven in Emby verstecken.
- Wie elegent hättest du es gerne? Sprich mit Port Eingabe oder ohne (Reverse Proxy).
- Kostenfaktor. Sprich: reicht dir eine kostenlose DDNS Domain oder möchtest du das ähnlich wie @justray2k und @Nebukadnezar lösen? (Tipp: Namecheap bietet sehr günstige Domains an, ebenfalls mit DDNS Funktion)

Zitat von Publish3r

k.A. ob die Goldreserven in Emby verstecken.

Machst du das nicht?

Zitat von Onkel-W

Das gute daran ist das man eigentlich nur den Port 443 und 80 freigeben muß.

Dank DNS-01-Challenge muss für die Zertifikatserstellung noch nicht mal das freigegeben sein

Zitat von Onkel-W

Machst du das nicht?

Puh, spontan fällt mir nur James Bond: Goldfinger ein.