ComputerBase Menü
Aktuelles

Lokale Denste möglichst sicher über Internet zugänglich machen

cristi_petre

cristi_petre

Lt. Commander
Registriert
Feb. 2007
Beiträge
1.098
Hallo

Ich hab eine Frage. Ich habe meine DS214Play.
Nun schon seid einigen Monaten und würde sie gerne möglichst sicher von außen zugänglich machen.
Hab sie momentan über VPN erreichbar gemacht.

Das ist ja auch schön und gut wenn man in fremden WLans ist.

Ich möchte testweise auch einen Mail Server benutzen etc. leider kann man am IPhone nicht VPN permanent einstellen.

Wie dem auch sei momentan vorhanden sind folgende Hardware

Fritzbox 7490
TP Link Swich mit 8 Ports nicht Managed
1 PC
1 MacBook
1 alter Test Rechner denn ich ungern als Router nutzen würde (Pentium 3 oder 4 oder sowas in der Art steht irgend wo im Keller seid ein par Jahren)
1 diskstation 214play
Und Handys Tabletts und der gleichen...

Mein Budget wäre so um die 200€-300€

Möchte das ganze so sicher wie möglich gestalten den ich hab so ziemlich alles drauf seid dem ich mein ersten Computer habe. Unter anderem ein Image von FIFA 96 :freak:

Hab überlegt was mit dmz bzw. Virtual Alan zu machen. Leider kann das die Fritzbox anscheinend nicht wirklich.
Soweit ich weiß braucht man für ein richtiges DMZ auch mindestens 3 Lan Ports.

Würde mich freuen wenn Ihr da entsprechende Hardware etc. bzw. in par Ideen habt.
 
Kauf ein RPi2 und steck ihn in ein Gast WLAN der FBox.
 
Ähhh sorry und dann?

Hab zufällig einen. Habe mir ein bisschen diesen Pfsense angeschaut. Anscheinend soll es sehr gut sein. Dadurch würde ich aber anacheinend so gut wie alle Funktionen der fb verlieren???
 
pfSense ist eine komplette Firewall Appliance und nicht ohne fundiertes Netzwerk Wissen konfigurierbar. Sehe auch gerade nicht warum Du das brauchen solltest.
Für VLAN brauchst Du ein Managed Switch (Smart Managed tuts z.B. von Netgear bereits) aber sehe den Einsatzzweck dafür in deinem Fall auch nicht gerade.
Und was da jetzt ein Pi bewirken soll erschliesst sich mir auch nicht - müsste HL noch genauer ausführen wie er das meint.

Die bisher eingesetzte Lösung mit VPN ist eigentlich die sicherste Variante, alles Andere würde bedeuten das NAS direkt im Internet zugänglich zu machen (per Port Forwarding).
Was ist denn das Problem? Die Fritzbox bietet doch eine einfach installierbar und anwendbare VPN Lösung.

Der Betrieb von einem eigenen Mailserver an einem Consumer Anschluss ist m.M.n auch sinnfrei (und auch nicht wirklich durchführbar wegen dynamischer IP etc) weil eigene Domain + Mail Dienst bei irgendeinem Anbieter es schon für ein paar Euro / Monat gibt. Kommt dazu dass ein eigen betriebener Mailserver bei Missbrauch durch Dritte (z.B. Spamversand) auch noch ziemlich teuer werden kann.
 
Zuletzt bearbeitet:
Der RPi für die Dienste, nicht als Router.
 
Hi

Ich führe etwas weiter aus.

Da ich ja auch die Dienste wie Photo Station, Video Station etc. auch von außerhalb erreichbar haben wollte damit ich nicht immer auf den VPN Durchsatz der Fritz Box angewiesen bin.

Habe das momentan auch so gemacht Portweiterleitung etc. habe aber trotzdem sicherheitsbedenken.

Das mit " Domain + Mail Dienst bei irgendeinem Anbieter es schon für ein paar Euro / Monat gibt "
habe ich mir auch überlegt. Dachte ich könnte das dann so einrichten das die Mails dann auf der Diskstation gespeichert bleiben genauso wie eine Homepage falls ich einen Webserver machen wollte.

Mir geht es im Prinzip darum wie ich die Diskstation an das Internet möglichst sicher anschließen kann.

Aber wahrscheinlich gibt es ein Problem bei meiner Idee:

Wenn ich nun zum Beispiel eine Webseite laufen lasse die ich zum Beispiel unter xyz.synology.com erreichen kann.
Dann müsste, könnte oder sollte diese ja bestenfalls in ein echtes DMZ drinnen sein?

Wenn das der Fall ist und jemand ist im DMZ aber noch nicht im internen Netz dann kann er doch alles mögliche versuchen um die Diskstation zu kompromittieren.

Falls ich das falsch sehe oder Denkfehler habe bitte korrigieren.

Netzwerkkenntnisse hatte ich eigentlich genug aber wenn man etwas nicht benutzt vergisst man es einfach, aber es ist einfacher etwas aufzufrischen als neu zu lernen.
Von daher nur zu mit Informationen.
 
Zuletzt bearbeitet:
Die Antwort ist und bleibt VPN. Mit einem VPN kannst du sämtliche Dienste eines NAS oder sonstigen Gerätes im Netzwerk sicher von außen zugänglich machen, auch wenn das so eigentlich nicht gedacht ist (zB vom Hotel aus auf dem heimischen Drucker drucken).

Alles andere sind dann Insellösungen. Das heißt es kommt auf die Sicherheits des einzelnen Dienstes an. Wenn du zB einen 08/15-FTP-Server von außen erreichbar machst, ist der grundsätzlich ungeschützt, weil Passworte in Klartext übertragen werden. Ein sFTP-Server wiederum ist verschlüsselt und sicher. Anhand dieses Beispiels wird klar, dass jede Funktion, die du ohne VPN direkt über Portweiterleitungen von extern nutzen möchtest, jeweils ein geeignetes Sicherheitskonzept haben muss. Mit einem VPN erschlägst du das mit einem Schlag, weil die Dienste ausschließlich vom LAN aus nutzbar konfiguriert werden und du dich von außen über das VPN quasi in dein LAN einwählst, gesichert und verschlüsselt.

Ohne fundierte Kenntnisse kann man eigentlich nur davon abraten, solche Dienste online erreichbar zu machen. Im Zweifelfalle baut man dann den nächsten Bot im Netzwerk von anonymous und Co.

Bezüglich Mail-Server: Einen eigenen Mail-Server zu betreiben ist zum einen nur unter ganz bestimmten Umständen überhaupt möglich, weil der Mail-Server des Ziels Mails von unbekannten Servern grundsätzlich ablehnt, und zum anderen auch mit hohen Risiken verbunden (Hack => Spam). Wenn man innerhalb des Netzwerks eine Groupware nutzen möchte, dann sollte man das über einen Relay machen, der die Mails quasi als normaler Mail-Client an ein gmx-Postfach o.ä. übergibt und die Mail dann effektiv von dort aus verschickt wird. Aber auch da wieder: Wenn man keine Ahnung davon hat, ist das ziemlich viel Arbeit und kann für eine Menge Frust sorgen - von der Sinnhaftigkeit mal ganz abgesehen.
 
Raijin ich danke dir zunächst für deine offene und kritische Haltung. Es macht es vielleicht auch für andere klar wie gefährlich es sein kann, irgend welche Ports etc. zu öffnen.

Die Sachen die ich freigegeben habe, habe ich alle unter anderen Portnummern "geöffnet" und diese auch nur über HTTPS bzw. mit SSL Verschlüsselung zugängig gemacht.

Des weiteren hat die Diskstation Funktionen unverschlüsselte Verbindungen zu ignorieren bzw. zu forcieren das eben die sicheren genutzt werden.

Das heißt meine Fritzbox gibt nur Ports weiter die für die Diskstation zuständig sind,
zum Beispiel Port 5000 für den Zugang der DS File APP über HTTPS mit dem IPhone.

Die Diskstation Firewall ist eingestellt alles zu speren wofür keine Regel existiert. Bei dieser hab ich eingestellt das eben auch nur die Sachen bzw. Ports geöffnet werden die ich wirklich brauche. Zum Beispiel Windows Datei Dienst...

Das VPN das als das "sicherste" gilt ist mir bewusst. Es muss doch aber ein weg geben seine Sachen auch für Eltern die eben grad noch so ihr IPhone oder was auch immer bedienen können und die Bilder der Enkel sehen möchten.

Vor allem wenn man keine kosten und Zeitaufwand scheut.

Ich lese alles was ich lesen soll und bringe mir mit eurer Hilfe das bei was ich dazu brauche. Deshalb bitte Raijin und eventuell auch Lawnmower eure Haltung nochmal überdenken.
 
Nö, ich muss meine Haltung nicht überdenken und werde es auch nicht - warum auch? VPN ist das Mittel der Wahl, wenn es um Fernzugriff geht. Das ist keine Meinung, sondern Stand der Technik. Wenn du dich bewusst für einen anderen Weg entscheidest, ist das dein gutes Recht, da hab ich gar nix mit zu tun. Ich bin dir weder böse noch sonst was. Es sind schließlich deine Daten.

Wenn du einmal einen Linux-Server (oder von mir aus auch Windows) ins Netz hängst und dir das Logging anschaust, wirst du sehen, dass man zu jedem Zeitpunkt von irgendeinem Hac.. sagen wir mal Scriptkiddie unter Beschuss steht. Portscans ohne Ende, jederzeit, pausenlos. Sichert man den Fernzugriff nicht mit geeigneten Mitteln, geht man ein gewisses Risiko ein. Ob das Risiko tragbar ist, muss jeder für sich selbst entscheiden. Mit Glück passiert gar nichts und im worst case sind irgendwann alle Daten weg oder zerstört, private Daten veröffentlicht (zB freizügige Fotos oder andere intime Daten) usw usf. Ob es so kommen wird oder nicht, steht in den Sternen. Das ist wie mit einer Versicherung, im besten Fall braucht man sie nie und hat einfach nur Geld aus dem Fenster geworfen, im schlimmsten Falle braucht man sie genau dann, wenn man sie gekündigt hat (weil man sie ja nicht brauchte....).

Eltern bzw. allgemein unerfahrene Nutzer sind in meinen Augen kein Argument.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Red Sun
Dateien möglichst sicher über das Internet austauschen?
Antworten
15
Aufrufe
3.194
Spik3
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz