Synology NAS über dynamisches DNS im Internet: VPN und FTP-Server

Hallo,

ich habe eine Synology Diskstation und möchte auf diese per dynamischem DNS (Dynamic DNS) zugreifen. Da ich so etwas vorher noch nie gemacht habe, habe ich noch einige Fragen, die ihr mir hoffentlich beantworten könnt.

Ich plane den kostenlosen Dienst von selfhost.de zu verwenden (siehe https://secure.selfhost.de/cgi-bin/selfhost?p=cms&article=free ).
Ist dieser empfehlenswert?

Mein Ziel ist es zum einen, einen VPN-Dienst über die Fritzbox laufen zu lassen, über den ich Zugriff auf das gesamte Heimnetzwerk habe. Zum anderen soll es einen FTP-Server auf dem Synology-NAS geben, auf den Familienmitglieder und Freunde Inhalte laden können sollen, also so wie eine eigene Cloud. Dazu sollen sie sich aber nicht im VPN anmelden müssen.
Ist ein FTP-Server hierfür das richtige?
Wie realisiere ich es, dass VPN und FTP funktionieren bzw. VPN an die Fritzbox geht während FTP an die Synology geht?

Damit Freunde Inhalte auf den FTP-Server laden können, muss ich ihnen ja die Domain von selfhost.de geben, z.B. beispiel.selfhost.de. Damit hat ja jeder die Möglichkeit, zu jedem späteren Zeitpunkt meine aktuelle IP herauszufinden.
Kann dies von Nachteil sein, z.B. indem jemand meine Aktivitäten im Internet zurückverfolgen kann bzw. man Angriffen ausgesetzt ist?

Gibt es sonstige Tipps, die im Heimnetzwerk bei einem solchen Vorhaben beachtet werden sollten?

Ich habe mal das Schlagwort DMZ gehört, hat das irgendwas hiermit zu tun?

Vielen Dank für Eure Hilfe!

1) VPN stellt die Fritzbox zur Verfügung, das ist relativ problemlos. Einmal in der Fritzbox konfigurieren, und fertig.
2) Dyndns updatet im Idealfall die Fritzbox. Also schau mal dort im Menü nach, ob es für selfhost.de schon eine Konfiguration gibt. Ansonsten bin ich auch mit noip.com zufrieden.
3) Von FTP muss man abraten, da der komplette Datenverkehr und auch die Authentifizierung unverschlüsselt abläuft.
Benutze lieber SSH (=SFTP). Das ist sicherer und funktioniert genauso einfach.
4) Damit du per SSH auf das Synology ohne VPN zugreifen kannst, musst du den Port 22 aufmachen und auf das Synology weiterleiten. Ich würde das persönlich aber gar nicht machen, sondern einfach das VPN benutzen! Sonst hast du sicher 30 Chinesen oder Russen pro Tag, die versuchen, dein Passwort zu knacken.
5) Deine Internetaktivität sieht man dadurch nicht, aber wenn du den Port für SSH (oder schlimmer FTP) aufmachst, setzt du das Synology natürlich Angriffen aus dem Internet aus. Das bedeutet: immer aktuelle Software auf dem Synology und starke Passwörter und kein anonymer Login!

sowohl synology wie auch fritzbox stellen dir ein ddns-dienst gratis zur verfügung.

dein komplettes netzwerk von aussen erreichbar zu machen... ganz schlechte idee... denk daran, es kann auch ein fremder mit gewissen fähigkeiten zugreifen..
wenn du schon eine syno hast, stell doch nur diese per vpn ins internet, so sind diene daten doppelt abgesichert (fritzbox nat und syno zugriffkontrolle).
dazu wäre es nicht schlimm, wenn dir jemand den ftp server "hackt", der schaden ist begrenzt auf einen ordner der syno.... besser wäre aber Sftp.

@Troublegum
4) Wenn ich das über VPN löse, heißt das doch, dass jeder dann auch kompletten Zugriff auf mein Heimnetzwerk hat und z.B. dem Netzwerkdrucker Anweisungen geben könnte? Warum sollten die Angreifer gerade so sehr auf den FTP-Server fokussiert sein? Sie können doch genau so gut versuchen mein VPN zu knacken?

@chrigu
Aber jeder der VPN hat, macht doch dadurch sein komplettes Netzwerk im Internet erreichbar, oder habe ich etwas falsch verstanden?

nein, wenn nur die syno-vpn aktiv ist, kann nur die syno mit entsprechendem passwort und vpn von aussen erreicht werden.

stellst du hingegen die fritzbox-vpn an, werden alle geräte die hinter der fritzbox sind, erreichbar gemacht.

z.b. ein ipvsec-vpn mit perfektem passwort ist sehr schwer zu knacken, hingegen ein pptp-vpn hat tür und tor für "fremde" offen. ein ftp server ist komplett ungesichert, ein Sftp server ist recht gut gegen unbefugte geschützt

VPN ist außerdem ne weitere Hürde. Wenn jemand direkt einen offenen FTP-Port angreift und knackt hat er unmittelbar erstmal mehr davon als wenn er einen VPN Zugang zum Netzwerk hat. Nur weil ich bei dir ins Netzwerk darf, weiß ich trotzdem nicht dein FTP-Passwort oder kann auf dein Synology zugreifen ( es sei denn natürlich, du benutzt keine Passwörter ).

Wäre es auch möglich, beide VPN-Dienste, also sowohl die Fritzbox als auch das Synology, zu benutzen, um die beiden Funktionen zu trennen (Zugang für mich über Fritzbox-VPN und Zugang für Datenspeicher über Synology)?
Würde man das über eine Portweiterleitung machen?

chrigu schrieb:

nein, wenn nur die syno-vpn aktiv ist, kann nur die syno mit entsprechendem passwort und vpn von aussen erreicht werden.

Zum Vergrößern anklicken....

Ich bin mir nicht sicher, ob diese Aussage so stimmt. Den Online-Artikel von Synology verstehe ich eher so, dass es sich um einen vollwertigen VPN-Zugang handelt ("Zugriff auf Server-LAN zulassen", "Gateway-Einstellungen anpassen, damit verbundene Clients während ihrer Verbindung das Internet nutzen können").

Ein kombinieren von zwei VPN-Lösungen würde in dem Fall natürlich nicht den gewünschten Effekt erzielen.

Der Einsatzzweck eines VPNs ist eine sichere verschlüsselte Verbindung von A nach B über ein unbekanntes Netzwerk C (zB das Internet). Diesen Zweck erfüllt ein VPN auch nahezu perfekt sofern man aktuelle Technologien dafür verwendet (zB OpenVPN, IPsec, aber KEIN PPTP). Der Aufwand, ein VPN zu knacken ist zum Teil enorm.

Der Einsatzzweck eines FTPs ist die Bereitstellung von Daten. Sicherheit ist bestenfalls sekundär.


Sitzt man zB im Internet-Café und greift auf den heimischen FTP zu (also direkt, ungeschützt), kann der Tischnachbar ganz einfach das WLAN sniffen und hat binnen Sekunden deinen Benutzernamen und das Passwort - zack und schon ist er auf dem FTP drauf und kann Unsinn treiben.

Verbindet man sich aus besagtem Internetcafé erstmal mit einem VPN, kann der Tischnachbar nur verschlüsselten Datenverkehr mitlesen. Wenn er sich viel Zeit nimmt, wird er vielleicht in ein paar Jahren das VPN geknackt haben ^^ Ein VPN zu knacken bedarf einigen KnowHows. Das macht man nicht mal eben so und vor allem auch nicht auf gut Glück. Wenn du konkret interessante Daten in deinem Netzwerk hast und der Angreifer wirklich da rankommen will, dann wird er gaaanz vielleicht irgendwann mal reinkommen. Die Wahrscheinlichkeit geht aber gegen 0. Das Gros der Hackerangriffe gibt nach kurzer Zeit auf, weil sie eigentlich nur auf schnelle, ungeschützte Ziele aus sind - zB simple FTP-Server oder SSH-Zugänge mit admin/admin Login

Ob du das VPN der Fritzbox oder das der Synology nimmst ist eigentlich egal; ich würde mich aber für eines entscheiden und das andere weglassen. Ebenso ist es mehr oder weniger egal ob du das VPN nur auf ein Gerät beschränkst oder ob du Zugriff auf das ganze LAN hast. Unabhängig von VPNs sichert man natürlich Server, die nur im LAN erreichbar sind, trotzdem mit Passwort.

Danke für die ausführliche Erläuterung, das hilft mir schon mal sehr.
Ist es möglich, die VPN-Verbindung, die über die Fritzbox geht, nur Zugriff auf einzelne Server im Heimnetzwerk zu geben?
Die Aufgabe, die ich immer noch zu lösen versuche ist, dass sowohl ich einen VPN-Zugang zum ganzen Netzwerk haben möchte (dank eurer Hilfe weiß ich jetzt, wie das geht) und einige Freunde nur Zugriff auf einen bestimmten Ordner auf der Synology-Diskstation haben sollen.

Die Fritzbox vergibt für VPN-User normalerweise IP-Adressen im höheren Bereich ab 200 oder so.
Da kannst du per Firewall-Regeln auf jedem PC/Synology den Zugriff blockieren, wenn du möchtest.
Also zB bei der Firewall deines PCs nochmal einstellen, dass die VPN-Ip ABC... keinen Zugriff erhält, wenn du das nicht wünschst.

Vielleicht gibt es noch eine einfachere Möglichkeit, aber da bin ich überfragt.

Das Problem bei .. .. nennen wir es mal "erweiterte Funktionen" eines VPNs ist, dass sowas mit einer vorgefertigten Lösung wie sie in Consumer-Routern und NAS implementiert sind in der Regel nicht möglich ist. Mit einem Linux-Rechner als VPN-Server kann man sowas ohne Probleme realisieren.

Bei einem vollwertigen VPN-Server kann man Regeln definieren, welcher VPN-Nutzer worauf zugreifen darf. Das heißt eine unberechtigte Verbindung verlässt den Server gar nicht erst und das u.U sogar ungesicherte Endgerät bekommt von dem Verbindungsversuch gar nichts mit.

Die Problematik einer Reglementierung im Endgerät liegt auf der Hand: Nicht jedes Gerät lässt solche Einstellungen zu. Frei nach dem Motto "bist du im Netzwerk, darfst du mich benutzen".

Inwiefern man solche Zugriffsregeln bei einer Fritzbox definieren kann, weiß ich nicht.


Aber ich drücke es mal so aus: Wenn ich mir Sorgen mache, dass jemand, den ich trotz allem bewusst in mein Netzwerk lasse, Unfug treibt, dann lasse ich ihn gar nicht erst rein. So einfach ist das. Fehlen dir die Kenntnisse über Netzwerke und deren Sicherheit, wird es immer jemanden geben, der schlauer ist oder noch ein bischen tiefer googlen kann. Miete dir einen kleinen S-FTP-Server im Netz oder lege die Daten auf Dropbox und Co ab. Gewährt man anderen Zugriff, ist Vertrauen eine Grundvoraussetzung. Fehlt dieses Vertrauen, dann sollte man auch von einem Zugriff absehen.

Danke nochmal für die ganzen Ratschläge!

Momentan bin ich dabei, das DDNS-VPN über die Fritzbox einzurichten, aber es hakt an einigen Stellen:

https://www.computerbase.de/forum/t...n-und-konfiguration-unter-linux-mint.1524335/