ComputerBase Menü
Aktuelles

DynDNS beim Heimnetzwerk - was gibt es zu beachten

N

NeUs

Ensign
Registriert
Dez. 2012
Beiträge
164
Hallo,

ich würde gerne mein Heimnetzwerk bzw. mein Synology NAS von außen erreichbar machen.
Zum technischen Hintergrund:
Ich habe den Telekom Hybrid Anschluss. Dementsprechend den Router der Telekom und ein Synology NAS. Ich stelle mir vor in dem Router das DynDNS einzurichten und auf dem NAS zusätzlich noch VPN Server um dann darauf zuzugreifen.

Was ich mich jetzt frage: mein Netzwerk ist dann ja von außen erreichbar bzw. wird dann Portforwarding betrieben. Muss/Sollte/Kann man irgendwelche bestimmten Sicherheitsvorkehrung vornehmen, damit man zumindest bis zu einem bestimmten Grad abgesichert ist?

Im Grunde werde ich nur das NAS über DynDNS erreichbar machen. Aber ich weis nicht genau wie es sich dann grundsätzlich mit Geräten im Netzwerk verhält.

Gruß
Andreas
 
na ein Restrisiko hast du dabei immer! Ist der Weg erstmal offen gibt es immer Möglichkeiten reinzukommen. Die Frage ist halt bist du so interessant das sich der Aufwand lohnt ? Lücken; Exploits; ZeroDay ... so ein System will halt auch gewartet werden.
System aktuell halten; alle Updates und aktueller Virenscanner ...
 
Zuletzt bearbeitet:
richtig. dein nas ist von aussen erreichbar, sobald du die ports im router öffnest.

dyndns ist nur die adresse zu deinem nas, hat mit sicherheit nichts zu tun.

sicherheit ist relativ unsicher... wenn du das admin-passwort der syno richtig machst, (ab 16 stellen, kein zusammenhängendes wort (z.b. sugarbaby), gemischt mit zahlen (auch nicht sug4rb4b7), den vpn-server startest, und in der syno-sicherheit nur bestimmte ip zulässt, dann ist die chance gering, das deine (z.b.) xx-sammlung von jedem gesehen werden kann.
 
Auf jeden Fall solltest du die automatischen Updates auf dem Synology aktivieren.
Und nur soviel freigeben, was nötig ist. Geht das überhaupt mit deinem Router? Mit meinem Speedport W724V funktioniert das nicht.
Ergänzung ()

chrigu schrieb:
dyndns ist nur die adresse zu deinem nas
Zum Vergrößern anklicken....

Eigentlich nur zum Router, der die Anfrage auf das eingestellte Gerät weiterleitet.
 
Zuletzt bearbeitet:
Ich würde empfehlen, das DynDNS direkt im NAS einzurichten (Systemsteuerung-> Externer Zugriff). Synology bietet einen kostenlosen und zuverlässig funktionierenden eigenen DynDNS-Dienst an.

Als zusätzlichen Schutz würde ich empfehlen, die 2-Stufen-Verifizierung in der Diskstation zu aktivieren (Systemsteuerung -> Benutzer -> Erweitert). Dabei muss man nach Eingabe von Benutzername und Passwort noch einen sechsstelligen Code eingeben, der von der App "Google Authenticator" erzeugt wird.
 
Am besten bei der ganzen Portforwardinggeschichte das NAS außen vor lassen und nur (Open)VPN benutzen. Steht die VPN-Verbindung nämlich erst mal, wird alles durch sie getunnelt und man kann auf Geräte im entfernten LAN so zugreifen, als säße man dort. Damit spart man sich auch gleich, die ganzen Ultrasicherheitsmaßnahmen im NAS einzurichten.
 
Zipfelklatscher schrieb:
Ich würde empfehlen, das DynDNS direkt im NAS einzurichten (Systemsteuerung-> Externer Zugriff). Synology bietet einen kostenlosen und zuverlässig funktionierenden eigenen DynDNS-Dienst an.

Als zusätzlichen Schutz würde ich empfehlen, die 2-Stufen-Verifizierung in der Diskstation zu aktivieren (Systemsteuerung -> Benutzer -> Erweitert). Dabei muss man nach Eingabe von Benutzername und Passwort noch einen sechsstelligen Code eingeben, der von der App "Google Authenticator" erzeugt wird.
Zum Vergrößern anklicken....

Gut mir ist bekannt, dass ein Restrisiko immer besteht. Auch das ich mit DynDNS erstmal nur bis zum Router käme. Was der Router unterstütz weis ich leider nicht so genau. Mit einem Speedport LTE 2 habe ich es schon einmal hinbekommen.

@Zipfelklatscher: Danke für den Hinweis. Das sieht mir zunächst nach der besten Lösung aus. Wusste gar nicht, dass Synology selbst einen DynDNS dienst bietet. Auch das mit der 2-Stufen-Verifizierung ist ein guter Hinweis.
Aber bei dem Synology DynDNS handelt es sich nicht nur um diese QuickConnect ID oder? Ist dann schon eine Adresse ala xx.synology.com?
 
Ja, du kannst dir dann eine DynDNS-Adresse mit verschiedenen Endungen wählen.
 
Ich würde prinzipiell nach außen hin stets nur den VPN-Server erreichbar machen, wie deusofthewired schon schrieb. Ein VPN ist schon ein ziemlich harter Brocken, je nach Verschlüsselung. Dienste wie SMB (Netzlaufwerke) oder gar FTP würde ich generell nicht per Portweiterleitung von außen erreichbar machen. Hintergrund ist der, dass je mehr Dienste erreichbar sind, umso größer ist die Gefahr, dass einer davon eine Sicherheitslücke enthält.

VPN-only, eine einzelne Portweiterleitung (oder ggfs soviele wie für das VPN nötig). Loggt man sich über das VPN ein, lassen sich NAS und Co so bedienen als wenn man ein xx km langes Netzwerkkabel von zu Hause bis ins Büro hinter sich herzieht ;)
 
So es hat nach etwas Probleme mit dem Speedport Hybrid Router wunderbar funktioniert. Für den Speedport gibt es ein noch nicht offizielles Update was VPN über PPTP erst ermöglich. Nach diesem Update konnte ich mich verbinden. Portweiterleitung ist auch nur für das VPN freigegeben.

Sollte man auf PPTP gehen oder lieber eine andere Variante nehmen?
 
PPTP gilt seit 2012 als geknackt. Klick

Normalerweise beherrscht der W724V die anderen Verfahren wie IPSec etc. mangels Weiterleitung bestimmter eingehender Pakete nicht. Siehe diese Diskussion im Telekom-Forum. In diesem eineinhalb Jahre alten Thread hat letzten Samstag (!) jemand eine Anleitung verlinkt, wie man den Speedport dazu überredet, zumindest die Pakete durchzulassen. Dummerweise braucht man dann aber immer noch einen separaten VPN-Server im eigenen LAN. Kann man sich z. B. mit einem Raspi relativ einfach basteln, gibt unzählige Anleitungen dafür im Netz. Besser ist es aber, wenn diese Aufgabe gleich der Router übernimmt. AVM bietet in seinen FRITZ!Box-Modellen einfach zu bedienende VPN-Möglichkeiten und auch Apps für Android und iOS, die den Zugriff komfortabel gestalten. Möchtest du eine sichere und bequeme Lösung, kauf dir eine FRITZ!Box und konfiguriere den VPN-Zugriff nach Anleitung von AVM. Der einzige Nachteil bei der Geschichte ist der Preis.

Nachtrag: Kannst du das inoffizielle Update für den W724V bitte mal verlinken? Welche VPN-Methoden werden davon unterstützt?
 
Zuletzt bearbeitet:
Okay, IPsec wäre schon mal nicht schlecht. Da die Firmware im Telekom-Forum heiß diskutiert wird, gehe ich mal stark davon aus, daß sie sauber ist. Dummerweise ist sie wirklich nur für den Speedport Hybrid gemacht. Die Büchse hat übrigens keine Nummernbezeichnung und heißt wirklich einfach nur Speedport Hybrid.

Ehrlich gesagt wundert es mich, daß du das Ding mit dem Aufspielen dieser Firmware nicht gebrickt ( = in einen teuren Briefbeschwerer verwandelt :D ) hast und es überhaupt noch läuft. Üblich sind Firmwares für exakt ein Modell geschrieben und man muß selbst auf die Hardwarerevision peinlich genau achten. Wenn du noch ins Webinterface kommst, spiel die aktuellste Firmware für dein Modell wieder ein (W724V, Typ A oder B oder C beachten!).

Finde selbst nach einigem Suchen keine Möglichkeit, VPN ohne einen eigenen Server mit dem W724V zum laufen zu bekommen. Du kannst noch mal drüben im Telekom-Hilft-Forum oder im IP-Phone-Forum fragen, aber ich glaube nicht, daß du dort Erfolg haben wirst. Selbst das Fritzen oder Freetzen fällt flach, weil der W724V keine Hardware von AVM enthält (Typ A = Huawei, Typ B = Arcadyan, Typ C = SerComm).

Dir bleiben drei Möglichkeiten:

  1. Eine FRITZ!Box kaufen
  2. Einen VPN-Server mit etwas wie einem Raspi bei dir im LAN laufen lassen und dessen Port im W724V durchschleifen
  3. Einen Billigrouter kaufen, der mit einer Firmware wie OpenWrt oder DD-WRT geflasht richtiges VPN macht und den W724V davor nur als Modem laufen lassen

Die Möglichkeiten sind von der einfachsten und teuersten zur kompliziertesten und billigsten absteigend geordnet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Probleme mit Switch beim Heimnetzwerk
2
Antworten
20
Aufrufe
1.484
yakuza
yakuza
Kettenhunt
Leserartikel How-To: Rsync, SSH und/oder DynDNS am Raspberry Pi Zero benutzen
Antworten
2
Aufrufe
3.991
Kettenhunt
Kettenhunt
S-A-M
probleme beim heimnetzwerk einrichten!
Antworten
7
Aufrufe
1.186
Jesaa
J
R
Hilfe beim Heimnetzwerk-Aufbau + Routerkauf
Antworten
11
Aufrufe
2.407
awo
A
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz