Das NAS im WorldWideWeb - wie regelt ihr das?

Es gibt 43 Antworten in diesem Thema, welches 6.518 mal aufgerufen wurde. Der letzte Beitrag () ist von thghh.

    Mal ne Rundfrage, da ich seit langem wieder Mal den externen Versuch des Zugriffs auf mein NAS hatte.


    Grundsätzlich soll das NAS extern zugänglich sein. Am Besten simpel wie aktuell mit DynDNS und App oder per Browser.

    Zu Beginn hatte ich schlichtweg den Standard-Admin Account deaktiviert und nach 3 Fehlversuchen nen automatischen Block drin von ein paar Tagen. Da ich aber gestern Abend wieder mehrer Anmeldeversuch hatte (eh nur mit „admin“ also grundsätzlich keine Gefahr), habe ich heut auch noch den Standard-Port der Synology geändert.


    Da ich ein Harmonie-bedürftiger Mensch bin und den externen Zugang für meine Frau so einfach wie möglich halten möchte (einfach App starten und läuft), bin ich aktuell der VPN Variante noch abgeneigt.


    Wie regelt ihr das bei euch? VPN oder DynDNS? oder eine ganz andere Variante?

    Netzwerk:
    1x UDM Pro | 1x Cloud Gateway Ultra (Backup-Router) | 2x U6-Pro | 2x UAP-AC Pro | 1x UAP-AC-M | USW-Pro 48 POE | 1x US-24 (Backup-Switch) | (2x USW-Flex Mini) | 1x USW Lite 8

    Video:

    1x G3 Flex | 1x G3 Instant | 3x G5 Bullet | 2x G5 Flex | 1x G5 Turret Ultra | 1x UFP Viewport

    USV: Eaton Ellipse Eco 800 USB

    Main-Hardware: Windows Gaming PC | Mac Mini mit M1 | alter PC mit unRAID zum Spielen | DS1621+ Haupt-NAS | DS918+ Backup-NAS | Playstation 5 | iPad Pro 2020

    Smarthome: KNX | Homekit | Homebridge | Sonos | 12,6kWp Photovoltaik

    Bei uns kann sich das jeder so wie er es will aussuchen. Entweder mit WG-VPN oder mit der QNAP App oder beides :smiling_face:

    Wie ich das regle? Ohne VPN gar nicht. Die ganzen NAS Kisten haben viel zu oft Sicherheitslücken. Und sind Einfallstore.


    Mit der Wifiman App kannst du eh auch per Klick den VPN (Teleport) ins Heimnetz aktivieren. Das kann auch ständig an bleiben, so könntest du sogar deinen PiHole zu Hause am Handy unterwegs mit nutzen

    Zitat von anton

    Wie ich das regle? Ohne VPN gar nicht. Die ganzen NAS Kisten haben viel zu oft Sicherheitslücken. Und sind Einfallstore.

    So auch bei mir.

    Und außer mir darf niemand überall schreiben. Die User nur in ihren Home-Verzeichnissen und einzelne auch an anderen Stellen.

    Zitat von kabelbruch

    Ich nutze einen Reverse Proxy um auf die NAS zukommen. Nicht so sicher wie VPN aber besser als die ganzen Ports direkt ins Netz zu stellen. Für mich ein guter Kompromiß.

    Das hatte ich auch mal überlegt, aber wo haste denn den Reverse-Proxy laufen? Ich sträube mich dagegen, den im Docker auf meinem Synology-NAS laufen zu lassen aus o.g. Gründen:

    Zitat von anton

    Die ganzen NAS Kisten haben viel zu oft Sicherheitslücken. Und sind Einfallstore.

    Anfangs auf einer separaten Diskstation, die keine sicherheitskritischen Inhalte beherbergte. Aktuell tatsächlich auf der gleichen Diskstation, auf der die Anwendungen auch sind. Ich nutze den DSM-eigenen Reverse Proxy. Habe zusätzlich die Firewall auf der Diskstation aktiv und blocke alles ausser 443 inkl Geofiltering (akzeptiere nur Verbindungen aus Deutschland).

    Zitat von anton

    Wie ich das regle? Ohne VPN gar nicht. Die ganzen NAS Kisten haben viel zu oft Sicherheitslücken. Und sind Einfallstore.


    Mit der Wifiman App kannst du eh auch per Klick den VPN (Teleport) ins Heimnetz aktivieren. Das kann auch ständig an bleiben, so könntest du sogar deinen PiHole zu Hause am Handy unterwegs mit nutzen

    also das hab ich noch nicht geschafft dass der vpn durchgehend hält… nach ner weile inaktivität wars bei mir immer getrennt, oder es war ne unterbrechung, auf jedenfall war die verbindung nicht endlos bei mir wie ichs damals probiert hab. sowohl via VPN mit L2TP oder Wifiman oder UI Portal

    Netzwerk:
    1x UDM Pro | 1x Cloud Gateway Ultra (Backup-Router) | 2x U6-Pro | 2x UAP-AC Pro | 1x UAP-AC-M | USW-Pro 48 POE | 1x US-24 (Backup-Switch) | (2x USW-Flex Mini) | 1x USW Lite 8

    Video:

    1x G3 Flex | 1x G3 Instant | 3x G5 Bullet | 2x G5 Flex | 1x G5 Turret Ultra | 1x UFP Viewport

    USV: Eaton Ellipse Eco 800 USB

    Main-Hardware: Windows Gaming PC | Mac Mini mit M1 | alter PC mit unRAID zum Spielen | DS1621+ Haupt-NAS | DS918+ Backup-NAS | Playstation 5 | iPad Pro 2020

    Smarthome: KNX | Homekit | Homebridge | Sonos | 12,6kWp Photovoltaik

    Zitat von Naichbindas

    franzbertbua Moin


    Frage, um welchen NAS geht es bei dir. Dann kann man gezielter helfen.


    Mfg

    Grundsätzlich ist die Frage allgemeiner Natur :smiling_face:


    Aber ich nutze aktuell ne Synology

    Netzwerk:
    1x UDM Pro | 1x Cloud Gateway Ultra (Backup-Router) | 2x U6-Pro | 2x UAP-AC Pro | 1x UAP-AC-M | USW-Pro 48 POE | 1x US-24 (Backup-Switch) | (2x USW-Flex Mini) | 1x USW Lite 8

    Video:

    1x G3 Flex | 1x G3 Instant | 3x G5 Bullet | 2x G5 Flex | 1x G5 Turret Ultra | 1x UFP Viewport

    USV: Eaton Ellipse Eco 800 USB

    Main-Hardware: Windows Gaming PC | Mac Mini mit M1 | alter PC mit unRAID zum Spielen | DS1621+ Haupt-NAS | DS918+ Backup-NAS | Playstation 5 | iPad Pro 2020

    Smarthome: KNX | Homekit | Homebridge | Sonos | 12,6kWp Photovoltaik

    franzbertbua

    Ok allgemeiner Natur geht das nur über andere Geräte wie einem Router, Server (via Portfreigaben), DynDNS oder VPN, wobei ich da auch nur VPN bevorzugen würde, auch da gibt es diverse Möglichkeiten. Wie du siehst, allgemein ist das zu weit ausgeholt.


    Zum Thema Synology.

    Da kann man gezielter was erwähnen oder empfehlen.

    Du solltest als erstes alles auf deiner UNIFI Umgebung alles gesichert haben, ich rede also die richtigen Firewalleinstellungen und so nutzen, denn das ist essentiell. Ich gehe davvon aus das es bei dir auf jedenfall so ist.

    Dann gibt es ja in der der Synology die zweite Firewall. Die stellst du ein das alles worauf keine Regel zutrifft, verweigert wird. Dort lässt du dann durch die Firewall nur das durch was du wirklich brauchst. Dazu kann ich dir die Videos von Idomix empfehlen.

    Klingt zwar doppelt gemoppelt ist aber auch doppelte Sicherheit. Einmal die Firewall deines Unifisystems und dann die Synology Firewall.

    Du solltest auch mal drüber nachdenken die Ports der der Synolgy für DSM und so, entsprechend zu ändern. Die Standardports 5000 und 5001 sind zu bekannt und unsicher. Appropo Ports, für deine Anwendungen die du dan brauchst damit deine Frau nur eine App nutzen brauch entnimmst du auf der Seite von Synology. Dort stehen ja die benutzten Ports für die Anwendungen, soweit ich weiss kannst du da auch eigene Ports verwenden.

    Solltest du aber nicht mit Ports arbeiten wollen, dann kannst du das ganze auch über die Relayverbindung machen. Das nennt sie Quickconnect.

    Dazu brauchst du keine Ports freigeben, sondern nur diese Verbindung in der App einrichten und los gehts.


    Deswegen fragte ich, welchen NAS du benutzt, wie du siehst gibt es da unterschiedliche Wege.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Einmal editiert, zuletzt von Naichbindas ()

    ich glaube das wurde hier etwas missverstanden, da aktuell alles läuft, eingestellt ist und grundsätzlich sicher ist.

    es läuft bei mir alles via dyndns und ich hab sowohl firewall an der udm, als auch firewall an der synology eingestellt und den standardport hab ich gestern nacht umgestellt nachdem ich gestern nach jahren die ersten versuche des logins hatte. admin hatt ich zu beginn meiner synology karriere auch gleich mal umgestellt gehabt als ich die ersten login versuche hatte.


    ich möchte kein quickconnect und vpn ist ein zusätzlicher schritt den ich aktuell meiner frau sparen will da ich ja bis vor kurzem jahrelang keine versuche hatte auf mein NAS.


    drum die allgemeine frage wie ihr das löst, da ich dann vielleicht ne variante seh die mich auch anspricht. weil grundsätzlich hab ich glaub ich so gut wie alle möglichen sicherheiten eingestellt, welche mit dyndns gehn, ohne den schnellen und vorallem simplen zugriff einzugrenzen. und vpn muss man ja immer schaun, ob die verbindung eh noch aufrecht ist.

    Netzwerk:
    1x UDM Pro | 1x Cloud Gateway Ultra (Backup-Router) | 2x U6-Pro | 2x UAP-AC Pro | 1x UAP-AC-M | USW-Pro 48 POE | 1x US-24 (Backup-Switch) | (2x USW-Flex Mini) | 1x USW Lite 8

    Video:

    1x G3 Flex | 1x G3 Instant | 3x G5 Bullet | 2x G5 Flex | 1x G5 Turret Ultra | 1x UFP Viewport

    USV: Eaton Ellipse Eco 800 USB

    Main-Hardware: Windows Gaming PC | Mac Mini mit M1 | alter PC mit unRAID zum Spielen | DS1621+ Haupt-NAS | DS918+ Backup-NAS | Playstation 5 | iPad Pro 2020

    Smarthome: KNX | Homekit | Homebridge | Sonos | 12,6kWp Photovoltaik

    Ich löse das jetzt per WireGuard Server, der auf meinem UDR läuft und das klappt super.

    Jeder Client ist bei mir separat (IPhone, IPad, freundin…) um den WG Zugriff eindeutig zuzuordnen.

    Ist im iPhone nur ein zusätzlicher Klick aber dafür ein Mehrwert an Sicherheit und Performance.

    Das bekommt die Frau auch problemlos hin 😉

    Zitat von franzbertbua

    drum die allgemeine frage wie ihr das löst, da ich dann vielleicht ne variante seh die mich auch anspricht. weil grundsätzlich hab ich glaub ich so gut wie alle möglichen sicherheiten eingestellt, welche mit dyndns gehn, ohne den schnellen und vorallem simplen zugriff einzugrenzen. und vpn muss man ja immer schaun, ob die verbindung eh noch aufrecht ist.

    Also bei mir steht Alles, was öffentlich erreichbar sein soll (und auch nur das), jeweils in einer echten DMZ (daher nix exposed host). Somit gestaltet sich der Zugriff von außen so einfach, wie bei jeden x-beliebigen Webserver (natürlich mit Authentifizierung) und die LANs sind dennoch maximal geschützt.


    Dyndns -welches übrigens keinerlei zusätzliche Sicherheit bringt- muss ich dabei auch nutzen, da ich nur über dynamische IPs verfüge. Reverseproxys (Nginix und IIS - welche übrigens nur einen marginalen Sicherheitsgewinn bringen) nutze ich auch, dies allerdings deshalb, weil ich jeweils nur über eine öffentliche IP verfüge, jedoch mehrere Dienste veröffentlich will. Hier sortieren dann die Proxys nach dem zugreifenden FQDN und leiten an den zuständigen Dienst weiter.


    Zugriffe auf die Ressourcen im LAN selbst (welche ja fürs Homeoffice erforderlich sind) werden über VPN abgesichert. Als Einwahl-VPN über IPsec für Apple- und über SSL für Windowsclients und zusätzlich als IPsec Site-2-Site als LAN-Kopplung zwischen den Standorten. Gut - das Alles braucht man für Privat aber kaum.

    Zitat von Naichbindas

    Warum möchtest du kein Quickconnect nutzen, das ist von der Sicherheit eigentlich nix anderes...

    weil ein zusätzlicher server das ganze nicht schneller macht. ein externes backup ist meines wissens mit quickconnect auch nicht möglich, außer sie haben die letzten 1-2 jahre dahingehend was angepasst.

    und wie gesagt läuft alles ja problemfrei und aktuell wurden auch alle versuche des login danke deaktivierten admins und jetzt neuen ports inkl der weiteren sicherheitsvorkehrungen abgewehrt.es waren nur gestern abend die mails der versuche lästig weshalb ich den port geändert hab…


    wie gesagt möchte ich hier nicht mein system ändern, sondern es interessiert mich, wie ihr es macht. und wer weiß vielleicht ist ja ne variante dabei die mir gefällt und die ich mir ansehen könnte ob sie mir zusagt.

    Netzwerk:
    1x UDM Pro | 1x Cloud Gateway Ultra (Backup-Router) | 2x U6-Pro | 2x UAP-AC Pro | 1x UAP-AC-M | USW-Pro 48 POE | 1x US-24 (Backup-Switch) | (2x USW-Flex Mini) | 1x USW Lite 8

    Video:

    1x G3 Flex | 1x G3 Instant | 3x G5 Bullet | 2x G5 Flex | 1x G5 Turret Ultra | 1x UFP Viewport

    USV: Eaton Ellipse Eco 800 USB

    Main-Hardware: Windows Gaming PC | Mac Mini mit M1 | alter PC mit unRAID zum Spielen | DS1621+ Haupt-NAS | DS918+ Backup-NAS | Playstation 5 | iPad Pro 2020

    Smarthome: KNX | Homekit | Homebridge | Sonos | 12,6kWp Photovoltaik

    Da bei mir leider aktuell auf meinem CloudKey-Gen2 Wireguard noch nicht so einfach zu installieren ist wie auf den neueren Kisten, nutze ich bei mir DynDNS mit meinem pers. Zugang. Zusätzlich zum Username/Passwort ist auf jedem Benutzerkonto auch noch 2FA installiert.

    Nein alles gut, klar mit Backup und alles gibt es auch andere Möglichkeiten, und ich bezog mich nur darauf so einfach wie möglich das am besten deine Frau nur eine App öffnen muß, da ist dann aber schnell der Kreis sehr klein sowas zu regeln.

    Dann bleibt tatsächlich am besten eine VPN verbinung zwischen eurem Mobielgerät und deinem Netzwerk, damit bist dann auf der sicheren Seite.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue: