Rufst du die per Client oder direkt per Webinterface ab.
Beiträge von Ronny1978
-
-
Auch die Email Code Variante funzt nicht, da die Codeübermittlung immer länger als 10 min dauert, dann ist die Session abgelaufen.
Bei welchem E-Mail Anbieter bist du denn?
-
Meine Empfehlung, falls noch nötig:
- EIN IoT Netz -> nicht gleich mehrere, sonst schreibt man sich an den Regeln "tot" -> später aufsplitten, wenn ALLES geht, ist ja kein Problem
- DHCP des IoT Netzes von 192.168.20.100 - 192.168.20.200 -> dann hast du für genügende Geräte "Luft" im Gerät selbst eine IP zu vergeben (so mache ich es bei allen Shellys)
- Bandsteering (Bandlenkung) aus
- mDNS aus
Shelly
- static IP 192.168.20.unter 100
- Subnetz 255.255.255.0
- Gateway 192.168.20.1
- DNS 192.168.20.1
Im günstigen Fall mal einen Shelly zurücksetzen, dann mit dem SHELLY WLAN und der IP 192.168.33.1 verbinden -> IP und WLAN im Shelly einrichten und Neustart des Shellys. Dann in der App hinzufügen und den Rest einstellen. So habe ich es bisher mit allen (ca. 30 Shellys) gemacht - ohne Probleme. DANN ERST die Firewallregeln anpassen (Ping ja/nein, Zugriff auf Gateway selbst ja/nein, usw).
Beim QNAP musst du schon sagen, was genau nicht geht.
-
-
wenn ich auf meine Daten Speicherpool der DS IMMER per Wireguard zugreifen würde
Bleibt aber noch die Surveillance Station
Das widerspricht sich aber wieder ein klein wenig. Wenn Wireguard für dich kein kein Problem ist, dann kannst du doch intern per Wireguard auf die Synology SS zugreifen. Warum dann noch einen Port aufmachen? In der App kannst du doch auch die interne IP der DS aufrufen + ggf. "Sonderport" für die SS. Ich würde an dieser Stelle nix aufmachen, wenn du IMMER Wireguard nutzt.
-
Ich hatte ja MEINE Einstellungen im Post #12 schon erläutert. Ja, mit Sicherheit nicht so sicher, wie eine VPN, aber vom Handling her einfacher. Ich hatte ja auch schon einmal geschrieben, dass man mitunter den Spagat zwischen Sicherheit und Usability finden muss, wenn man nicht immer eine VPN einsetzen möchte/kann.
Grundsätzlich ist VPN nämlich immer möglich, man muss natürlich bereit sein, u.U. Eqipment und/oder Provider zu wechseln
Das ist aber nicht immer so einfach umzusetzen. Wenn zum Beispiel ein "entfernter" TV LESEND auf das NAS zugreifen möchte... Dann ist die Umsetzung mit einem Reverse Proxy (mit SSL) und zusätzlicher Maßnahmen zum Teil einfacher, wie eine VPN. Und wie schon Naichbindas gesagt hat: Es muss sich halt einer darum kümmern. Klar kann man auch kleine VPN Router am TV einsetzen. Aber die müssen den Durchsatz bringen und sind wieder eine mögliche Fehlerquelle, wenn etwas nicht geht.
Und auch zu den Sicherheitslücken hatte ich mich in Post #16 schon geäußert. Hier sollte man auch darauf achten, was für Lücken das sind und ob diese bei der verwendeten DSM Version und den installierten Paketen überhaupt zutreffen.
Networker : Wie gesagt: Du hast vollkommen recht, dass eine VPN die sicherste Variante ist und immer zu bevorzugen ist. Aber Ziel sollte es dem TE Möglichkeiten aufzuzeigen, wie er mit verschiedenen Methoden (recht) sicher auf das NAS zugreifen kann und das auch auf den Anwendungsfall abzustimmen. Und wie schon Naichbindas gesagt hat: Auf den Anwendungsfall abstimmen und das NAS härten, nicht alles was NICHT VPN ist, gleich verteufeln UND auch bedenken das viele Angriffe von INNEN kommen und nicht von außen. Und da nützt mitunter eine VPN nix. Im Synology Forum hatten wir letzten den Fall, dass ein NAS verschlüsselt wurde. Ursache war KEIN ANGRIFF VON AUßEN, sondern ein Laptop mit Adminzugang innen!!! Hätte hier die VPN was genützt? Ich denke nicht, oder?
Und die VPN dauerhaft an zu lassen und dann, wenn man intern im Netz ist, keine Komplikationen zu erzeugen, erfordert auch Fachwissen was Routing betrifft, was nicht einfach mit ein paar Videos nachzuvollziehen ist. Und leider ist es ja so, dass nicht affine Nutzer die VPN gern vergessen einzuschalten. Und da kann es manchmal besser sein, mein geht einen anderen Weg und nimmt die Härtung das NAS und vielleicht den Mehraufwand in Kauf, als das man ständig "genervt" wird, dass etwas nicht geht.
Ich spreche HIER NICHT von einem Firmenumfeld, sondern nur vom Privatbereich. Daher meine Empfehlungen aus Post #12 an den TE und durch andere Nutzer ggf. noch ergänzende, empfohlene Einstellungen vorzunehmen. Ich gehe auch nicht davon aus, dass der TE eine Webserver aus dem Internet zugänglich machen möchte. Es ging hier "lediglich" um die Sicherheit der Fotos vom Smartphone zu Synology Photos. Und mit der entsprechenden Rechteverwaltung und den entsprechenden Einstellungen, denke ich schon, dass man dies doch halbwegs sicher gestalten kann.
Eine Nutzung einer VPN (Wireguard oder OpenVPN) ist natürlich immer zu empfehlen. Aber alles andere sollte man dennoch in Betracht ziehen, mit dem Hinweis auf die nötigen Einstellungen und ggf. Risiken.
immer daran gelegen, sich hier konstruktiv und wohlwollend miteinander auszutauschen
Das sollte doch der Sinn eines Forums sein -> Fazit: Jeder lernt was neues dazu. Ich habe hier in verschiedenen Foren schon viel gelernt, weil ich eben nicht vom Fach bin.
-
nach neuinstalltion pc war sie weg... wo ist die datei gesichert
Ich weiß jetzt nicht, ob ich mich so schlecht ausdrücke: Wenn du einen PC neu installierst, ist ALLES weg, was du nicht gesichert hast. NOCHMAL!!!
Richte den Controller ein inkl. der APs, gehe zu den Systemeinstellungen -> Backup und erstelle ein Backup -> es wird gefragt, wo die Backupdatei gespeichert werden soll -> AUßERHALB des PCs speichern -> fertig. Was interessiert denn, in welchem Ordner und in welcher Datenbank die Einstellungen lokal auf dem PC gespeichert werden???
Die/eine Backupdatei ist entscheidend!!! Und wenn du keines hast und der Controller "stirbt" EGAL WAS FÜR EINE ART CONTROLLER DU HAST, dann beginnst du halt von vorn.
-
Ich verstehe die Fragen nicht ganz: Ein Backup machen und dann abspeichern, wo du es wieder findest. In dem Backup ist die Config gespeichert. Nutze ein Medium, was nicht das Medium ist, wo der Controller selbst läuft.
Variante 1: Nutze einen USB Stick für das Config-Backup.
Variante 2: Verschlüssle es und lade es in deinen Cloudspeicher hoch.
Variante 3: Wenn ein NAS vorhanden, dann dort speichern.
Was nützt es, wenn du weißt, in welchem Ordner in der Controller Software die Config abgespeichert wird? Wenn das Gerät, auf dem der Controller läuft kaputt geht oder neu aufgesetzt wird, ist der Ordner weg oder der Inhalt anders. Daher nutze bitte die Backup Funktion des Controller. Beim Backup erstellen wirst du gefragt, wo du das Backup speichern möchtest.
Das wars
-
Das ein und ausschalten von Wireguard an ihrem iPhone wird nicht funktioneren.. (Das vergisst sie viel zu oft)
Kann ich nachvollziehen.
Dann wäre dies Dein passendes Geschenk für sie zum nächsten Hochzeitstag.
Kannst du uns denn noch sachdienliche Hinweise geben, die den Spagat zwischen Security und Usability schaffen und dem TE helfen?
kann Dir nichts im Einzelnen zur Konfiguration des NAS raten
Foto-Upload eines iPhones über VPN realisieren kann, weiß ich nicht
Du brauchst also keine spezifische Anleitung
Ich finde sowas immer schade. Wenn jemand Fachwissen hat und sich in einem Forum beteiligt, dann wäre es schön, anderen Nutzern nicht bloß zu erklären, wie es nicht geht und mit CVEs zu "winken", sondern auch dem TE und anderen Hinweise und Möglichkeiten aufzuzeigen, WIE ES (BESSER) GEHT. Danke für die Seite mit den CVE. Bitte auch dazu sagen, dass viele Lücken von Synology auch nur bestimmte Apps oder den Router von Synology betreffen und nicht das DSM selbst. Und auch bitte erwähnen, dass auch viele Lücken bereits gepatcht wurden.
Ich will nicht in Abrede stellen, dass eine VPN eine sehr sichere Variante ist. Aber auch hier muss man wissen was man tut. UND AUCH HIER sind SACHDIENLICHE Hinweise schön, wie zum Beispiel, dass VPN immer auf den Router gehört und nicht auf die Diskstation von Synology hinter dem Router, auch wenn DSM die Möglichkeit bietet. Vielleicht kannst du ja noch einmal aus fachlicher Sicht erklären, warum das so gemacht werden sollte. Jedes Fachwissen bringt hier alle Nutzer weiter.
Und wie gesagt: Auch mal Lösungen aufzeigen, wie es ohne VPN auch sicher geht. Nicht immer ist VPN möglich bzw. nicht immer ist die Usability bei den Nutzern auch gegeben. Wie sicherst du denn dein Heimnetz ab? Was für Dienste hast du, die du von außen erreichen willst/kannst?
Networker : Danke für deine Hinweise
-
angesichts der wirklich massiv vielen Sicherheitsprobleme von Synology in den letzten Jahren kann ich Dir nur raten, das NAS in keiner Form direkt aus dem Internet erreichbar zu machen
Das kann ich so nicht unterstreichen. Es gibt genauso große Angriffe auf QNAP wie auf Synology. Die Angriffe finden - erfolgreich - statt, weil sich einfach nicht an die Empfehlungen von Synology gehalten wird. Die sicherste Verbindung ist und bleibt - zweifelsohne - die VPN. ABER den VPN Dienst direkt auf den Router und nicht auf der Synology. Ich nutze seit Jahren den Zugang von Außen über die DynDNS von Synology selbst - im Zusammenhang mit einer OpnSense, welche mir noch ein paar zusätzlich Features zum Absichern des Netzwerkes bietet.
Man kann sowohl Quickconnect und die etwas schnellere Variante mit xxx.synology.me nutzen. Ja, die Adressen werden häufig gescannt und ggf. angegriffen. Daher folgende Empfehlung, welche natürlich auch überall nachzulesen sind:
- Standard-Ports ändern!!! Nicht die Standard-Ports von Synology nutzen, sondern in den 5-stelligen Bereich verlegen.
- Admin-Account in der Synology deaktivieren und einen neuen Admin-Account anlegen.
- Möglichst ALLE Nutzer zu 2FA mit Hilfe von OTP oder besser Hardwareschlüssel (Yubikey) "verdonnern".
- Passwörter entsprechend lang wählen!!! Evtl. mit Hilfe von Passwortmanagern (wie z.B. Keepass).
- Ggf. einen Reverse Proxy nutzen, um keine Ports in der Firewall freizugeben.
- Synology Firewall einschalten für gewissen Regionen blockieren -> ja, kein 100%iger Schutz, weiß ich auch .
- Auf dem Router Geo IP Blockierung aktivieren, sofern möglich.
- So wenig wie möglich Ports auf der Firewall freigeben.
- Autoblock und Kontoschutz in der Synology aktivieren und so stark wie möglich einstellen.
- Zugriffsrechte entsprechend sinnvoll und minimal wählen. Nur gewähren, was auch nötig und nicht was möglich ist.
Solange man dies berücksichtigt, ist zumindest ein guter Grundschutz gewährleistet. Ich lebe seit 5 Jahren damit und habe meine Familie von extern eingebunden. Bisher ohne jegliche Problem. Wie gesagt, habe ich eine OpnSense, wo ebenfalls ein Reverse Proxy mit Let'sEncrypt-Zertifikaten, GeoIP Block und CrowdSec installiert ist. Wireguard nutze ich aber auch.
Hat Synology sicher auch
Ja: Nennt sich Synology Photos und funktioniert einwandfrei. Mein Onkel sichert so seine Fotos bei mir auf dem NAS - OHNE Google. Und er kann damit die Fotos und Video auch auf seinem Google TV anschauen - von EXTERN.
-
Thomas-81 : Sag mal bitte noch was zu deiner sonstigen Konstellation. Dann können die Empfehlungen besser ausgesprochen werden.
- Welche Router/welches Modem ist vorhanden?
- Welche und wie viele Access Point hast du?
- Hast du außerdem ein NAS was 24/7 läuft?
- Wie viele WLAN/LAN Clients hast du / wichtiger!!! wirst du ca. in 2-3 Jahren haben?
- Wie steuerst du derzeit deine APs?
Hier gibt es vielleicht andere Varianten, die du in Betracht ziehen kannst. ICH kann den UDR nicht empfehlen. Das ist aber nur meine Meinung und kommt auch, wie schon geschrieben, auf die Konstellation an, die schon vorhanden ist.
-
Der Unifi Controller lief schon auf Windows und soll wieder laufen, richtig? Von welcher Version hast du ein Backup? Welche Version willst du installieren? Hier fehlen leider einige Daten, um helfen zu können.
-
Danke für deine Info. Ich denke, bei kleineren Installationen mit begrenzt Clientanzahl und ohne sehr viel Schnick und Schnack, gehen die Dinger schon. Aber wenn man mehr vor hat (80-100 Clients), VLAN, IDS, DynDNS und so weiter, dann sind die "R2D2" nicht wirklich geeignet. Für den Einstieg nicht schlecht, aber man merkt sicherlich schnell, dass man an die Grenzen kommt bzw. mehr machen kann/will. Sonst hättest du ja auch nicht in eine SE investiert, oder?
LG Ronny
-
Tausch noch immer ohne Abstürze, inzwischen gut 1 Jahr absturzfrei
. Wie viele Clients und Netze hast du denn in deiner/der Kanzlei? Ich denke, privat nutzt du ja die SE, oder?
-
Für mich haben die UDR die gleichen Probleme wie damals die UDM Base. Deshalb bin ich von den Unifi Routern weg hin zur OpnSense. Die Switche und APs sind gut bis super, aber die kleineren Router (UDR, UDM Base) nicht wirklich zu gebrauchen.
Das ist aber bitte nur meine Meinung!!! Ja, es gibt auch genügend Leute bei denen die Dingen laufen. Und ja, die Schreiben hier natürlich auch nicht, dass alles super läuft. Hier schreiben ja nur Leute, die Probleme haben.
-
Hallo roger123123 ,
das Unifi Setup ist schon so okay. Ich hatte früher auch das Problem, dass die Fritzbox "gefüllt" das Netz nicht mehr verarbeiten kann. Dir ist aber bitte bewusst, dass die UDM SE nur Firewallfunktionalität bietet und keine Firewall ist. Hatte ich hier auch schon einmal in einem anderen Beitrag erfahren bzw. diskutiert. Gleichfalls bitte VORHER in das Unifi-Universum einlesen!!! Das funktioniert NICHT SO klickubunti wie bei Fritzbox!!! Ganz wichtig, nicht das hinterher enttäuscht über den Einrichtaufwand bist.
Hier muss man etwas mehr Gehirnschmalz reinstecken und am besten vorher gut überlegen, was man wirklich will und das vielleicht mal zu Papier bringen!!! Ist nur ein gut gemeinter Rat.
Für dein Gebrauch dürfte der normale Switch reichen. Protect sind vollkommen in Ordnung und die Kameras haben ein gutes P-L-Verhältnis.
-
Ich kenne nur den Weg, über eine externe Sicherung. Wenn du den Controller auf dem PC hostest, UND DEN NEU installierst UND KEINE Sicherung hast, wo soll denn dann die Sicherung oder die Einstellungen sein??? -> Auf dem alten PC/Controller .
Warum ist das bei dir so schwierig, den EINEN AP neu einzurichten??? Oder hast du noch mehr Unifi Geräte von denen wir nichts wissen?
-
das die Software voll für den Arsch ist und frühstens in einem 1/2 Jahr mit was gescheitem zu rechnen ist
Und das scheinen leider viele zu vergessen. Was nützt eine schicke Hardware (ja, da kann sich Synology eine Scheibe abschneiden), wenn die Software "Müll" ist. Die Software ist für mich eines der Standpfeiler beim NAS. Nicht nur im Punkto Sicherheit, sondern auch Usability. Dann kann man sich das NAS von UGREEN zuhause hinstellen und dann warten bis die Software fehlerfrei und VOLL funktionstüchtig ist. Dann ist Ende 2025. Na dann ... viel Glück an alle die "Der frühe Vogel..."
ICH bin der Meinung, dass alle, die mehr mit dem NAS machen wollen (VM/Docker/Datenbanken, usw.), früher oder später bei UNRAID oder Proxmox landen. Alle die Storage wollen und kleinere Anwendungen (wie zum Beispiel Synology Drive, Photos, Video Station,..), die kommen auch mit einer kleinen Synology aus. Die im Business Bereich unterwegs sind, kaufen eh kein UGREEN.
Ist aber nur MEINE Meinung.
-
U6 Pro richtig zurücksetzen und in den neuen Controller neu adaptieren. Musst du aber dann auch neu einstellen, wenn du die Config nicht gesichert hast. Aber bei einem Gerät sollte das ja nicht so schwer sein
-
weil schlichtweg kaum Modelle gibt und die es gibt, kaum lieferbar sind
Das wird für dich d1rty das Hauptproblem sind, vermute ich.