neue NAS - Zugriffsmöglichkeiten von aussen

Hallo roddick84 ,

angesichts der wirklich massiv vielen Sicherheitsprobleme von Synology in den letzten Jahren kann ich Dir nur raten, das NAS in keiner Form direkt aus dem Internet erreichbar zu machen.

Zugriff über VPN ist das Mittel der Wahl. Alles, was Du innerhalb Deines Netzes tun kannst, kannst Du via VPN dann natürlich auch von außen.

Und ja, Wireguard ist das aktuell leistungsfähigste Protokoll.

DDNS brauchst Du durch die feste IP-Adresse dann ja gar nicht mehr.

Ich kann Dir nichts im Einzelnen zur Konfiguration des NAS raten. In wieweit man einen automatischen Foto-Upload eines iPhones über VPN realisieren kann, weiß ich nicht.

Die Einrichtung für VPN funktioniert auf allen Unifi-Routern identisch, Du brauchst also keine spezifische Anleitung.

Auf dem NAS wird in Sachen VPN überhaupt nichts konfiguriert.

Wofür meinst Du, LE-Zertifikate zu benötigen? In einem privat genutzten internen Netz sind Zertifikate nice to have, aber nicht obligatorisch.

also simpel gesagt musst du am NAS nix machen weil du es ja via VPN eigentlich "lokal" ansprichst.

Zertifikat oder DynDNS benötigst du auch nicht da du an deinem Router die fixe IP angeben kannst.
Somit sparst du dir auch irgendwelche Portfreigaben, da du via VPN für die Geräte eigentlich immer im lokalen Netz
zu sein scheinst.

grad mit fixer IP ist das echt nicht schwer einzurichten.

hab sogar ich als interessierter Laie geschafft beim ersten Versuch. und im Verhältnis zum L2TP (oder wie das heißt) und dem Umweg über WifiMan (Teleport) sogar richtig schnell beim Verbinden.

Zitat von roddick84

- Mittels DS CAM App auf meine Cams zugreifen

Wenn du per VPN verbunden bist funktioniert dies wie im WLAN

Zitat von roddick84

- Die Fotos vom iPhone meiner Frau + meines Pixel 8 sollten autom in der PhotoStation landen (aktuell funktioniert das noch über den CloudSync Dienst über mein noch aktives Google Ono Abo)

Das ist ein Problem, aber ein gewolltes Problem von und mit Google und Apple. Die wollen nicht, dass so etwas funktioniert.
Bei QNAP gibt es eine App für Android und Apple, die von dir gewählte Handy-Ordner im Hintergrund sync. Hat Synology sicher auch.

Das Ganze über WireGuard.

Und WireGuard läuft ganz simpel, nutze die App WiFiman von UNIFI.

Die VPN kannst auch an lassen. Solange Akku hält. Ich benutze "wg tunnel" aufm Android. Da kannste noch paar Dinge Einstellen und dann wird Tunnel z.B. Zuhause automaisch deaktiviert.

Probier es aus in anderen WLANs. Entweder es geht oder eben nicht, falls ausgehend dort ausgerechnet dein wg Port gesperrt ist.

Die Meldung kommt, weil kein gültiges Zertifikat auf dem nas ist, kannst Du also ignorieren.

Zitat von Networker

angesichts der wirklich massiv vielen Sicherheitsprobleme von Synology in den letzten Jahren kann ich Dir nur raten, das NAS in keiner Form direkt aus dem Internet erreichbar zu machen

Das kann ich so nicht unterstreichen. Es gibt genauso große Angriffe auf QNAP wie auf Synology. Die Angriffe finden - erfolgreich - statt, weil sich einfach nicht an die Empfehlungen von Synology gehalten wird. Die sicherste Verbindung ist und bleibt - zweifelsohne - die VPN. ABER den VPN Dienst direkt auf den Router und nicht auf der Synology. Ich nutze seit Jahren den Zugang von Außen über die DynDNS von Synology selbst - im Zusammenhang mit einer OpnSense, welche mir noch ein paar zusätzlich Features zum Absichern des Netzwerkes bietet.

Man kann sowohl Quickconnect und die etwas schnellere Variante mit xxx.synology.me nutzen. Ja, die Adressen werden häufig gescannt und ggf. angegriffen. Daher folgende Empfehlung, welche natürlich auch überall nachzulesen sind:

• Standard-Ports ändern!!! Nicht die Standard-Ports von Synology nutzen, sondern in den 5-stelligen Bereich verlegen.
• Admin-Account in der Synology deaktivieren und einen neuen Admin-Account anlegen.
• Möglichst ALLE Nutzer zu 2FA mit Hilfe von OTP oder besser Hardwareschlüssel (Yubikey) "verdonnern".
• Passwörter entsprechend lang wählen!!! Evtl. mit Hilfe von Passwortmanagern (wie z.B. Keepass).
• Ggf. einen Reverse Proxy nutzen, um keine Ports in der Firewall freizugeben.
• Synology Firewall einschalten für gewissen Regionen blockieren -> ja, kein 100%iger Schutz, weiß ich auch .
• Auf dem Router Geo IP Blockierung aktivieren, sofern möglich.
• So wenig wie möglich Ports auf der Firewall freigeben.
• Autoblock und Kontoschutz in der Synology aktivieren und so stark wie möglich einstellen.
• Zugriffsrechte entsprechend sinnvoll und minimal wählen. Nur gewähren, was auch nötig und nicht was möglich ist.

Solange man dies berücksichtigt, ist zumindest ein guter Grundschutz gewährleistet. Ich lebe seit 5 Jahren damit und habe meine Familie von extern eingebunden. Bisher ohne jegliche Problem. Wie gesagt, habe ich eine OpnSense, wo ebenfalls ein Reverse Proxy mit Let'sEncrypt-Zertifikaten, GeoIP Block und CrowdSec installiert ist. Wireguard nutze ich aber auch.

Zitat von phino

Hat Synology sicher auch

Ja: Nennt sich Synology Photos und funktioniert einwandfrei. Mein Onkel sichert so seine Fotos bei mir auf dem NAS - OHNE Google. Und er kann damit die Fotos und Video auch auf seinem Google TV anschauen - von EXTERN.

Zitat von Ronny1978

Das kann ich so nicht unterstreichen.

Dafür kann ich es Dir doppelt unterstreichen.

Whataboutisms á la "ja aber QNAP..." sind nicht dazu geeignet, sich sinnvoll mit IT zu beschäftigen und sie sind auch kein gültiges Argument für irgendetwas.

Ja, QNAP ist auch unsicher. Meinetwegen sogar noch unsicherer. Aber was hilft diese Erkenntnis dem Synology-Nutzer, wenn er Ransomware zum Opfer fällt?

Für Synology gibt es 29 CVE-Einträge alleine seit 2023. Die allermeisten davon mit hohem oder sogar kritischem Risiko.

Das eigene System nach den Sicherheitsempfehlungen des Herstellers zu härten ist richtig und wichtig, aber gegen schlampig programmierte Firmware und Apps hilft es leider gar nicht.

Ich bleibe also dabei: NAS-Systeme - egal von welchem Hersteller - hängt man einfach nicht direkt ans Internet. Wer es aus reiner Bequemlichkeit doch tut, verdient einfach kein Mitleid.

Dann wäre dies Dein passendes Geschenk für sie zum nächsten Hochzeitstag.

Zitat von roddick84

Das ein und ausschalten von Wireguard an ihrem iPhone wird nicht funktioneren.. (Das vergisst sie viel zu oft)

Kann ich nachvollziehen.

Zitat von Networker

Dann wäre dies Dein passendes Geschenk für sie zum nächsten Hochzeitstag.

Kannst du uns denn noch sachdienliche Hinweise geben, die den Spagat zwischen Security und Usability schaffen und dem TE helfen?

Zitat von Networker

kann Dir nichts im Einzelnen zur Konfiguration des NAS raten

Zitat von Networker

Foto-Upload eines iPhones über VPN realisieren kann, weiß ich nicht

Zitat von Networker

Du brauchst also keine spezifische Anleitung

Ich finde sowas immer schade. Wenn jemand Fachwissen hat und sich in einem Forum beteiligt, dann wäre es schön, anderen Nutzern nicht bloß zu erklären, wie es nicht geht und mit CVEs zu "winken", sondern auch dem TE und anderen Hinweise und Möglichkeiten aufzuzeigen, WIE ES (BESSER) GEHT. Danke für die Seite mit den CVE. Bitte auch dazu sagen, dass viele Lücken von Synology auch nur bestimmte Apps oder den Router von Synology betreffen und nicht das DSM selbst. Und auch bitte erwähnen, dass auch viele Lücken bereits gepatcht wurden.

Ich will nicht in Abrede stellen, dass eine VPN eine sehr sichere Variante ist. Aber auch hier muss man wissen was man tut. UND AUCH HIER sind SACHDIENLICHE Hinweise schön, wie zum Beispiel, dass VPN immer auf den Router gehört und nicht auf die Diskstation von Synology hinter dem Router, auch wenn DSM die Möglichkeit bietet. Vielleicht kannst du ja noch einmal aus fachlicher Sicht erklären, warum das so gemacht werden sollte. Jedes Fachwissen bringt hier alle Nutzer weiter.

Und wie gesagt: Auch mal Lösungen aufzeigen, wie es ohne VPN auch sicher geht. Nicht immer ist VPN möglich bzw. nicht immer ist die Usability bei den Nutzern auch gegeben. Wie sicherst du denn dein Heimnetz ab? Was für Dienste hast du, die du von außen erreichen willst/kannst?

Networker : Danke für deine Hinweise

also ich habe ebenfalls eine Synology und Ubiquiti in Form einer UDM-Pro als Basis.

Ich nutze mein VPN eigentlich nur, um gewisse Geräte extern bedienen zu können wie z.B. meine Heizung, etc.

Für mein NAS nehme ich der Einfachheit für die mobilen Geräte die DynDNS von Synology.

Um es so sicher wie möglich zu machen:

• ist mein Port für DS-file 5stellig (Standard ist nur 4stellig)
• der User Admin ist deaktiviert
• Login-Versuche sind auf max. 3 Fehlversuche eingestellt und danach wird der User für 999 Tage oder so gesperrt.
• die Firewall auf der Synology wurde ebenfalls so "hart" wie möglich eingestellt um die größtmögliche Sicherheit zu gewährleisten

Bislang - und da klopf ich mal auf Holz - ist mir seit ich den Port 5stellig habe kein Fehlversuch gemeldet worden.
Habe das laienhaft in den Jahren meines Lebens gelernt. Hatte erst noch admin und Standardport und da gabs viele Fehlversuchmeldungen nach 1-2 Jahren der Nutzung.
Dann durch Recherche den Admin deaktiviert und Port geändert etc.
Also bei mir waren die oberen Punkte ein schleichender, über Jahre andauernder Prozess.

Mir hat da aber damals der Youtube-Kanal "idomix" auf youtube oft gute Dienste geleistet bei der Einrichtung von Synolgy und Ubiquiti. Er hat mich auch erst auf Ubiquiti gebracht.

Zitat von roddick84

Danke nochmals für eure Inputs

Ein Problem was ich noch mit dem dauerhaft aktivierten VPN habe ist die Tastache das Android Auto nicht mehr funktioniert - das ist auch etwas ungünstig, da es aber nur michs elbst betrifft kann ich damit leben..

Viell. nochmasl kurz zusammengefasst wo ich jetzt stehe und wo ich hin möchte..

Seitdem ich die neue DS habe, hab ich folgendes gemacht:

- der DS hab ich eine fixe IP gegeben

- CQ und Wireguard eingerichtet (für WG nutze ich nun auch die "WG Tunnel" App

Was möchte ich noch:

- die Surveillance Station und Synology Photos sollte easy von aussen zu erreichen sein (ohne VPN)

Nach den ganzen Tipps von euch wäre das nun mein Plan:

- Am Firmen PC muss ich wohl wieterhin CQ nutzen - hier sind die meisten Ports gesperrt, gleiches gilt für das Smartphone im Firmen Gäste - WLAN.

- Wireguard würde ich (genau wie franzbertbua) auch nur dafür nutzen um gewisse Geräte extern bedienen zu können

- die beiden Ports für die DSM (5000, 5001) ändern auf einen beliebigen 5stelligen Port

- die beiden Ports für die DS File (7000, 7001) ändern auf einen beliebigen 5stelligen Port

- der User "admin" ist bereits deaktiviert

- die Firewall hab ich an der DSM aktiviert mit den Standardsettings

- Anmeldeversuche hab ich auf max. 3 Fehlversuche eingestellt (User ist dann 365 Tage gesperrt)

Ich habe mir nun eine DDNS Eintrag erstellt auf der DS (xxxxx.i234.me).. - und nicht in der Unifi Oberfläche (hier kann ich Synology auch nicht als DDNS Dienst auswählen.

Da ich eine fixe IPV4 Adresse von meinem ISP habe, benötige ich diese DDNS ausschliesslich für das LE Zertifikat so wie ich das verstanden habe..

Nun müsste ich im letzten Schritt nur mehr die 4 geänderten Ports der DS File + Synology Photos auf der UDM-Pro freigeben und ich wäre am Ziel oder?

Alles anzeigen

Klingt soweit korrekt.

Einzig den DS-File Port musst du nicht zwingend freigeben. Du kommst auch über das DSM zu DS-File wenn du per Webbrowser zugreifen willst.
und die DS-File App kommt auch mit dem DSM-Port klar. Der DS-File Port lässt dich einfach im Browser direkt DS-File öffnen. Somit sparst du dir einen freigegebenen Port.

Denn der DSM Port ist quasi der Generalschlüssel für die Apps etc.

Außerdem würd ich nur den https Port (also verschlüsselt) freigeben und in der Synology einstellen, dass alle http Anfragen direkt auf https weitergeleitet werden.