Heimnetzwerk mit zwei NAS und Zugriff über Internet via Netzwerklaufwerk

[Raijin]

Freigeben muss man Ports höchstens in der Firewall.

Der Router braucht eine Portweiterleitung. Ohne die kommst du von außen auf Port xxx beim Router an und der sagt sich "Den Port benutzt ich selbst nicht und ich soll ihn auch nicht weiterleiten --> weg damit".

Warum in der Mycloud überhaupt solche Einstellungen sind, ist mir schleierhaft. Portweiterleitungen sind an NATgateways sinnvoll, also dort wo man zB vom www ins LAN kommt, am Router. Das NAS ist ein simpler Client und hat mit NAT/Portweiterleitungen eigentlich nichts am Hut.

Das einzige was ich mir vorstellen könnte, wären Firewalleinstellungen im NAS. Dort kann man unter Umständen den Zugriff von extern ganz oder teilweise blockieren. Da ich die Kiste aber nicht kenne, kann ich dazu auch keine Aussagen machen.

 

[Ul_ti_mo]

Okay. Dann weiß ich bei der Mycloud auch nicht mehr weiter. Wie gesagt mit der Asustor habe ich das hinbekommen. Geht es dass ich an meinen vorhandenen Router eine Fritzbox als Switch anschließe und nur die Clients dieser im VPN auftauchen?
Und stimmt es dass wenn ich eine VPN einrichte und dann von einem Laptop außerhalb zugreife, dieser auch nur über die VPN ins Internet geht und nicht mehr beispielsweise über seine WLAN Verbindung? Wie ist es am Sinnigsten das Ganze einzurichten?

 

[Raijin]

Geht es dass ich an meinen vorhandenen Router eine Fritzbox als Switch anschließe und nur die Clients dieser im VPN auftauchen?

Hm? Kapier ich nicht. Ein Switch ist nur ein Netzwerkverteiler. Sofern das kein VLAN-Switch ist, der die Ports quasi voneinander trennt, sind im Prinzip alle Geräte am Switch erreichbar.

Und stimmt es dass wenn ich eine VPN einrichte und dann von einem Laptop außerhalb zugreife, dieser auch nur über die VPN ins Internet geht und nicht mehr beispielsweise über seine WLAN Verbindung?

Ja und nein. Ein VPN-Tunnel als solcher ist erstmal nur eine zusätzliche Netzwerkverbindung. Ob der Client dann darüber auch surft oder nicht, ist eine Frage der Konfiguration. Stell dir das VPN wie ein LAN-Kabel zu deinem Nachbarn vor, an seinen Router. Dein Router hätte zB die IP x.y.z.1 und der Nachbar-Router x.y.z.254. Nu kannst du am PC per Standard-Gateway einstellen ob "alles" via .1 oder .254 gehen soll.

Meine Empfehlung ist definitiv, das VPN ganz gezielt zu konfigurieren. Klar, wenn du zB vom Hotel aus über ein ungeschütztes WLAN trotzdem geschützt surfen willst, kannst (und solltest) du das Standard-Gateway auf den VPN-Server setzen. Dann geht alles via VPN, egal ob du dein NAS daheim erreichen willst oder darüberhinaus durch dein Heimnetzwerk ins www willst.

Willst du nur und ausschließlich Fernzugriff in dein Netzwerk, kannst du auch das entsprechend konfigurieren. In dem Falle würdest du in der Konfiguration explizit dein heimisches Subnetz über den Tunnel routen, den Rest nicht. Quasi "alles über WLAN bis auf 192.168.12.x, das geht via VPN-Server".

Je nachdem welche VPN-Software du einsetzt, wird das unterschiedlich konfiguriert. Bei OpenVPN zB ist das eine Textdatei, bei der du einfach zwei Zeilen nach Bedarf ein- bzw. auskommentierst. Bei VPN-Clients mit GUI, gibt es meist einen Haken für das Standard-Gateway sowie einen Menüpunkt für geroutete Netzwerke.

 

[Bogeyman]

Okay. Dann weiß ich bei der Mycloud auch nicht mehr weiter. Wie gesagt mit der Asustor habe ich das hinbekommen. Geht es dass ich an meinen vorhandenen Router eine Fritzbox als Switch anschließe und nur die Clients dieser im VPN auftauchen?
Und stimmt es dass wenn ich eine VPN einrichte und dann von einem Laptop außerhalb zugreife, dieser auch nur über die VPN ins Internet geht und nicht mehr beispielsweise über seine WLAN Verbindung? Wie ist es am Sinnigsten das Ganze einzurichten?

Darum ging es ja unter anderem ein paar Postings vorher. Es kommt drauf an wie du es konfigurierst, du kannst beides einstellen. Beim iPhone zB ist das ein einfacher Schalter beim Client, so kannst du auch später relativ simpel umschalten ob du "alles" in den Tunnel schicken willst oder nur das was daher muss. Je nachdem was du willst und vorhast. Beim VPN-Server musste aber das surfen entsprechend freigegeben haben sonst biste zwar in deinem Netz aber kannst nicht ins Internet weil dein Server dich nicht lässt. Macht zB Sinn wenn du "Freunden" zugriff per VPN gewährst aber untenbinden willst dass die Mist bauen mit deiner WAN IP, zum Beispiel Filesharing usw oder deine Internetleitung belasten.

Du kannst sogar die Routingtabelle dann selbst anpassen und zum Beispiel sagen dass er die Verbindung zu deiner Bank über den Tunnel machen soll, youtube aber nicht. Wobei das dann auf nem geschlossenen System wohl nicht geht glaube ich.

Wenn du allerdings Internetzugriff sperrst und sämtlichen Traffic in den Tunnel leitest bist du natürlich logischerweise "offline".

 

[Ul_ti_mo]

Wenn du allerdings Internetzugriff sperrst und sämtlichen Traffic in den Tunnel leitest bist du natürlich logischerweise "offline".

Heißt das ich bin dann generell mit dem Gerät offline zu dem die VPN besteht? Also kann beispielsweise der Laptop dann nur noch über VPN die Verbindung in mein Netzwerk herstellen und kommt über seine andere bereits eingerichtete Internetverbindung nicht mehr ins Netz?

Meine Empfehlung ist definitiv, das VPN ganz gezielt zu konfigurieren. Klar, wenn du zB vom Hotel aus über ein ungeschütztes WLAN trotzdem geschützt surfen willst, kannst (und solltest) du das Standard-Gateway auf den VPN-Server setzen. Dann geht alles via VPN, egal ob du dein NAS daheim erreichen willst oder darüberhinaus durch dein Heimnetzwerk ins www willst.

Willst du nur und ausschließlich Fernzugriff in dein Netzwerk, kannst du auch das entsprechend konfigurieren. In dem Falle würdest du in der Konfiguration explizit dein heimisches Subnetz über den Tunnel routen, den Rest nicht. Quasi "alles über WLAN bis auf 192.168.12.x, das geht via VPN-Server".

Je nachdem welche VPN-Software du einsetzt, wird das unterschiedlich konfiguriert. Bei OpenVPN zB ist das eine Textdatei, bei der du einfach zwei Zeilen nach Bedarf ein- bzw. auskommentierst. Bei VPN-Clients mit GUI, gibt es meist einen Haken für das Standard-Gateway sowie einen Menüpunkt für geroutete Netzwerke.

Ich klammere dann im VPN Quasi meine Asustor (192.168.12.30) und meine PC´s aus. Lediglich die MyCloud bleibt darin wenn ich das dann richtig verstanden habe. Ich möchte ja ausschließlich Dateizugriff haben.
Kann ich dann "einfach" eine Software laden und damit das Ganze einrichten?

Ich habe mal was gezeichnet, damit das verständlicher ist, was ich meine. Da ich an meinem Router so oder so nur 4 Ports habe brauche ich so oder so einen Switch. Die frage ist nur, ob ich lediglich diesen frei geben kann, oder ob ich das dann einfach so einrichte, wie oben beschrieben, dass ich eben nur die IP der Mycloud freigebe.

 

[Bogeyman]

Heißt das ich bin dann generell mit dem Gerät offline zu dem die VPN besteht? Also kann beispielsweise der Laptop dann nur noch über VPN die Verbindung in mein Netzwerk herstellen und kommt über seine andere bereits eingerichtete Internetverbindung nicht mehr ins Netz?

Wenn dein VPN Server seinen Clienten nicht erlaubt die Internetverbindung, also deinen Router/Gateway, zu benutzen, und du bei deinem VPN Client eingestellt hast er soll sämtlichen Traffic über den Tunnel schicken dann bist du quasi mit deinem Netzwerk zuhause verbunden, der PC hat aber keine Internetverbindung.
Sprich du kannst dein Drucker benutzen oder auf dein NAS zugreifen mittels SMB, alles wofür du eine Internetverbindung brauchst geht aber nicht.
Für einen selbst macht das aber nicht viel Sinn die Internetverbindung zu blockieren in meinen Augen. Für dritte aber schon wenn du nicht willst dass die über deine IP surfen.

Das Bild ist seltsam. Offenbar haben 2 Geräte die gleiche IP ?

 

[Ul_ti_mo]

Sorry. Die Mycloud hat 192.168.12.20. Wie richte ich das am Besten ein und geht das so wie ich es auf dem Bild dargestellt habe?
Ich will auch nicht über das VPN surfen da dann auch die Internetverbindung langsamer wäre. Wie gesagt ich will nur sicher auf Daten zugreifen.

 

[Raijin]

Heißt das ich bin dann generell mit dem Gerät offline zu dem die VPN besteht? Also kann beispielsweise der Laptop dann nur noch über VPN die Verbindung in mein Netzwerk herstellen und kommt über seine andere bereits eingerichtete Internetverbindung nicht mehr ins Netz?

So ist es. Wenn du am Laptop den gesamten Traffic durch das VPN schickst, aber der VPN-Server diesen Traffic nicht an sein Internet-Gateway weiterleitet, dann kannst du mit dem Laptop nicht mehr surfen, sondern nur noch auf deine Geräte im Heimnetzwerk zugreifen.
Im Gegensatz dazu könntest du aber statt den gesamten Traffic via VPN zu leiten nur den Traffic in dein Heimnetzwerk zum VPN-Server schicken. Dann würde alles andere im lokalen Netzwerk bzw. der lokalen Internetverbindung bleiben (also zB beim Kumpel bzw. über Kumpels Internetrouter).

Ich klammere dann im VPN Quasi meine Asustor (192.168.12.30) und meine PC´s aus. Lediglich die MyCloud bleibt darin wenn ich das dann richtig verstanden habe.

Ganz so einfach ist das nicht. Obige Ausführungen behandeln lediglich das Routing. Beim Routing wird einfach nur bestimmt in welche Richtung Daten geschickt werden. Du könntest zwar am VPN-Client theoretisch nur 2 IPs via VPN routen, aber das würde den Anwender - zB den Kumpel mit VPN-Zugriff - nicht davon abhalten, einfach eine Route zu deinem PC, etc. per Hand hinzuzufügen. Routing ist kein Sicherheitsfeature, sondern lediglich eine Wegbeschreibung wie beim Navi.

Willst du den Zugriff auf einzelne Geräte beschränken, brauchst du eine Firewall im VPN-Server. Der erlaubt/blockiert dann den Zugriff auf einzelne IPs.

Da ich an meinem Router so oder so nur 4 Ports habe brauche ich so oder so einen Switch. Die frage ist nur, ob ich lediglich diesen frei geben kann

Wie gesagt, in der Form nicht. Wenn du Geräte an einem Switch untereinander separieren willst, brauchst du VLANs. Ich bin mir aber nicht sicher ob die Fritzbox das so kann? Keine Ahnung. Letztendlich sehe ich das aber so: Wenn ich jemandem Zugang zu meinem Netzwerk gewähre, setzt das ein gewisses Grundvertrauen voraus. Habe ich kein Vertrauen und muss Maßnahmen ergreifen, um ihn aus dem Rest des Netzwerks auszusperren, dann gebe ich ihm von vornherein überhaupt keinen Zugang. 100% sicher ist nichts - vor allem, wenn man sich nur auf Tutorials und Anleitungen von anderen verlassen muss.

 

[Bogeyman]

Sehe es wie Raijin teilweise: Entweder gewährst du Zugriff auf dein Netzwerk oder nicht.
Alternativ packe das NAS in ein eigenes Netz, zB

Internet => Router => LAN1(NAS) => Router => LAN2 (Drucker, MacBook, usw.)
Dann wird das mit dem VPN aber hinfällig fast schon dann kannste auch einfach die Ports freigeben weil bist dann immer noch geschützt über den Zweiten Router.

Alternativ das ganze "outsourcen". Son paar GB irgendwo in der "Cloud" bekommste mittlerweile doch an allen Ecken und Enden. Vorteil: Die kümmern sich um alles und die Anbindung dürfte auch schneller sein als dein Upload.

VPN ist aber eigentlich weniger was für Leute denen man nicht vertraut. Ist in meinen Augen eher damit zu vergleichen wem den Wifi Schlüssel fürs eigene Netzwerk zu geben und selbst das wäre noch was anderes denn die müssen in der Nähe sein um überhaupt Zugriff zu haben. Mit VPN kommen sie von weltweit in dein Netz.

Willst nur du auf die Daten zugreifen => Mach VPN
Vertraust du den Leuten und kennst sie, dann vielleicht auch noch VPN

Vertraust den Leuten nicht ist imo eher nen Webserver sei es mit FTP oder WebDav oder was auch immer so der Weg, welcher getrennt vom eigenen Netzwerk ist.

Grob gesagt: Meinem Vater/Mutter würde ich zB eher ein VPN einrichten damit er unterwegs alles zuhause so steuern kann wie als wäre er daheim.
Bei Kumpels dann eher nen Webserver denn die müssen nicht umbedingt im Netzwerk bei mir sein nur weil sie irgendwelche Daten von meinem NAS brauchen. Bedenke es kann ein System von einem Kumpel ja auch mal kompromittiert werden oder sein. Je mehr User desto höher ist rein statistisch gesehen die Warscheinlichkeit dafür.
Wobei letzteres in den meisten Fällen mit Dropbox und Co wesentlich einfacher und schneller geht. Sind es geheime Daten dann verschlüsselt man sie vorm Hochladen..

 

[Raijin]

Das wäre dann quasi eine DMZ für das NAS. Ginge auch. Ohne VPN bliebe aber das Problem mit dem Zugriff via WebDAV, o.ä.
Ich kenne mich damit leider nicht gut genug aus, um dahingehend Hilfestellung zu geben. VPN ja, aber WebDAV kein Plan

Ansonsten ist der Vorteil einer Cloud in der Tat nicht von der Hand zu weisen. Je nachdem von welchem Datenvolumen wir sprechen, kann es im worst case passieren, dass ein Nutzer den Upload für längere Zeit komplett auslastet (zB weil er einen Fi.. ähm, ein großes Worddokument vom NAS runterlädt) und du deine eigene Internetverbindung nicht mehr ordentlich nutzen kannst (ohne Upload kein Download).

 

[Bogeyman]

Wenn er eine Routerkaskade macht kann er die Ports ja einfach freigeben für WebDAV. WebDav benutzt nur Port80 meine ich. Bin kein Experte aber ich glaube die Intention dahinter ist dass WebDAV eben nicht an irgendwelchen geblockten Ports hängen bleibt und da Port80 immer offen ist sollte es immer funktioneren sofern man in einem Netzwerk ist mit Internetzugriff.

Mal angenommen das NAS wird dann übernommen durch eine Sicherheitslücke und einen bösen Hacker, dann stünde zwischen diesem und das eigene Netzwerk immer noch ein Router samt Firewall. Das Risiko wäre also "überschaubar".
Allerdings spielt der 0815 User idr auch keine Updates auf, geschweige denn bekommt von Sicherheitslücken irgendwas mit es sei denn sie tauchen sogar in den "Mainstreamnachrichten" auf. Daher ist der 0815 User eher besser beraten sein Netzwerk geschlossen zu lassen, vielleicht maximal nen VPN für sich selbst zu machen und Dropbox und Co zu nutzen um paar pdfs und jpgs mit seinen Freunden zu tauschen.

P.S.: Selber irgendnen Webdienst zu betreiben würde ich auch nur mit ner zweiten Firewall daheim die mich dann davor nochmal schützt falls mein NAS dann mal irgendwann anfangen sollte sich selbstständig zu machen.

 

[Raijin]

Ich sag ja, das wäre eine DMZ. Das ist ja von der Sicherheit her auch ok so.

Worum es mir bei dem Kommentar ging, war WebDAV an sich. Ultimo hat weiter oben ja schon eine Portweiterleitung für WebDAV auf 80/443 eingerichtet, kommt darüber aber nicht auf das NAS drauf. Die DMZ würde zwar die Sicherheit erhöhen, weil ein Übergriff vom NAS auf das übrige Netzwerk verhindert - oder sagen wir erschwert - werden würde, aber der eigentliche Zugriff via WebDAV funktioniert ja schon ohne DMZ nicht. Daher kam ja überhaupt ein VPN wieder ins Gespräch, weil WebDAV irgendwie nicht läuft.

marcel. vom Anfang des Threads scheint ja WebDAV einzusetzen. Evtl. weiß er ja woran es hängt. Ich kann zu WebDAV zumindest nix sagen bzw. müsste meinerseits wie ein Weltmeister googlen, könnte es aber so oder so nicht ausprobieren, weil ich derzeit für (min) ein halbes Jahr in einem kleinen galli... ähm.. bayrischen Dorf im Hotel wohne (mein Chef nennt das "Dienstreise" *g*)

 

[Ul_ti_mo]

Sorry, konnte die letzten Tage kaum weiter daran arbeiten. Ich habe es aber mit der My Cloud bislang immer noch nicht hinbekommen. Ich hatte versucht den Host im Seitenquelltext auszulesen. Dies ging laut Recherche bei einer früheren Version. Nur bei meiner Version ist das nicht mehr möglich. Die MyCloud sperrt den Zugriff ständig und lässt einfach keinen Zugriff zu. Ich hatte dann versucht das Teil zumindest als Remoteserver freizugeben bzw. eine Sicherung auf meine Asustor zu machen. Selbst das ist mit der Wd nicht möglich, da das SSH Passwort irgendwie verschlüsselt wird und bei einem Versuch der Sicherung dann immer erscheint, dass das Remotepasswort nicht stimmt. Von WD zu WD sollte des kein Problem sein. Das kann man dann zwar anscheinend über "ITerm2" oder "Putty" lösen, nur ist das alles so umständlich dass ich mich jetzt dazu entschlossen habe die Mycloud wieder zu verkaufen und nur noch meine Asustor zu verwenden. Da funktioniert alles problemlos, wenn ich das so wie mir am Anfang des Threads erklärt wurde, einrichte.

Ich habe über den Imac mit "Server verbinden" Zugriff auf das Netzlaufwerk. Windows hat da Probleme und lässt das so nicht zu, da mein selbst erstelltes Zertifikat von der Asustor nicht akzeptiert wird.

Ich habe mir dann Netdrive 2 geholt und konnte da dann eine verschlüsselte https Verbindung über Webdav herstellen. Jetzt ist es so we ich es mir vorgestellt habe. Ich habe das Netzlaufwerk eingebunden und kann normal, als wäre es ein internes Laufwerk darüber zugreifen.

Über das Geschäft habe ich dies bereits ausprobiert.

Ich habe hier nur einen Download von 355 kB/s. zuerst schient es so als wäre er schneller, dann jedoch ist er bei 355 kB/s fix. Ich habe dies über die Wlan-Verbindung im Geschäft, als auch über eine LTE Verbindung probiert.
Legt das an Web-Dav oder meiner Internetverbindung zuhause? Diese liegt eig. im Upload bei 1,5mb/s.

Gruß Timo