ComputerBase Menü
Aktuelles

NAS Zugriff von außerhalb, wie?

D

Denthrill

Cadet 4th Year
Registriert
März 2016
Beiträge
72
Hallo zusammen,

ich hab eine Frage, die mich aktuell etwas umtreibt.
Folgende Situation. Ich habe zu Hause eine synology NAS, die ich primär als cloud für meine Arbeit mit dem PC nutze.
Seit kurzem bin ich einige Tage die Woche auswärts tätig und nehme hierzu meinen mac mit.
Meine Frage: Wie kann ich es einrichten, dass ich auf dem Mac immer direkt Zugriff auf meine Daten habe? Bislang logge ich mich immer über den Browser ein auf das NAS.. Aber das ist mir einfach viel zu umständlich.. Gibt es da eine bessere Lösung, ggf ein synology eigenes programm dass das NAS als Laufwerk abbildet?

Vielen Dank im voraus!
 
Hoffen wir mal, dass Du die Verbindung von außen via VPN absicherst. Alles andere wäre sträflich...

Und das "Zauberwort" bzw. Kürzel lautet SMB. Damit bindest Du deine Daten via Netzlaufwerk ein.
 
Denthrill schrieb:
Bislang logge ich mich immer über den Browser ein auf das NAS
Zum Vergrößern anklicken....
Machst du das ohne VPN, dann verwenden andere das NAS ohne dein Wissen ebenfalls. Kein Witz. Sicherheitsfunktionen von Fertig-NAS sind nicht gut genug um Angreifer abzuwehren.

Zur Eigentlichen Frage:
1) VPN. Der Server gehört auf den Router oder (wenn vorhanden) die separate Firewall.
2) Der eigentliche Zugriff erfolgt dann genau so wie er von intern auch erfolgen sollte, z.B AFP (bei Mac ehamals bevorzugt, jetzt eher nicht mehr), smb oder NFS.
 
dvor schrieb:
1) VPN. Der Server gehört auf den Router oder (wenn vorhanden) die separate Firewall.
Zum Vergrößern anklicken....
Wenn doch bereits ein NAS vorhanden ist wäre das vermutlich ein besserer VPN Server als der Router.
NAS haben meist deutlich stärkere Hardware.
Zum Thema Firewall: VPN würde ich eher nicht auf dem gleichen Gerät wie die Firewall betreiben, eher dahinter. Bei einem Router sind die Funktionen leider auf einem Gerät, aber bei extra Hardware würde ich versuchen das zu vermeiden.
 
Renegade334 schrieb:
Wenn doch bereits ein NAS vorhanden ist wäre das vermutlich ein besserer VPN Server als der Router.
Zum Vergrößern anklicken....
Über die dafür benötigte Portweiterleitung kommt der Angreifer zum NAS. Dann gilt:
dvor schrieb:
Sicherheitsfunktionen von Fertig-NAS sind nicht gut genug um Angreifer abzuwehren.
Zum Vergrößern anklicken....

Davon kann ich nur abraten.
 
Die Portweiterleitung ist für die passenden Ports und Protokolle.
Wenn du den Port direkt am Router öffnest hast du bei einer Sicherheitslücke einen Totalschaden, da dann die Firewall komplett deaktiviert werden kann. Denn "Die Sicherheitsfunktionen von Fertig-Routern sind nicht gut genug um Angreifer abzuwehren". ;)

Egal wo man aufmacht, wenn man der Firewall und dem VPN Server dahinter nicht traut, dann hat man potentiell immer eine Sicherheitslücke.
 
Renegade334 schrieb:
Egal wo man aufmacht, wenn man der Firewall und dem VPN Server dahinter nicht traut, dann hat man potentiell immer eine Sicherheitslücke.
Zum Vergrößern anklicken....
Klar. Doch dem auf einem NAS sollte man nicht trauen. Dem auf einem Router eher.
 
So hat jeder seine Meinung :)
Ich traue zumindest dem VPN in meinem NAS mehr, wobei ich das aber auch selber updaten kann. Außerdem läuft es in einer VM (gibt es auch bei NAS von der Stange), aber da wir nicht wissen, welches NAS hier eingesetzt wird, wäre es eh nur Raten was sicherer ist.

An sich geht die Diskussion auch etwas zu weit. Im Prinzip ist bisher jedenfalls die Aussage das ein VPN sinnvoll wäre. Welche Software genutzt wird und wo sie läuft ist erstmal zweitrangig.

Ich zieh mich mal zurück, bevor wir Denthrill mit der Diskussion komplett verunsichern.
 
Hallo zusammen, danke für die hilfreichen Anmerkungen.
Ich nehme für mich mal mit, dass bei einem Zugriff auf die nas von extern immer auch ein restrisiko existiert aber vpn der nas zu den sichersten Lösungen gehört. Damit kann ich erstmal weiterarbeiten und -denken. Vielen Dank an alle
 
  • Gefällt mir
Reaktionen: Renegade334
P.S. .. ich nutze das VPN der Synology NAS (DSD220j), um intern auf das System zuzugreifen.
Ich frage mich aktuell zwei Dinge:
-Kann ich dies auch so einstellen, dass auch intern keine Zugriff ohne VPN möglich sind? Bzw. wo kann ich überprüfen, dass dies bereits so korrekt eingestellt ist?
-Wenn ich die Einschätzungen hier richtig deute, ist der Zugriff von extern über SMB mit eingerichteter NAS-VPN "relativ" sicher, richtig? Dann würde ich diesen Weg wohl wählen..
 
Vielen Dank! Wie sicher ist denn der Zugriff von extern über quickconnect mit zweifacher authentifizierung?
 
Router --> Nur Ports der VPN Verbindung vom Router auf die Syno weiterleiten.

sämtlichen anderen Ports, insbesondere das DSM Webinterface 5000/5001 wieder raus.
Die ganzen Portfreigaben für Roundcube / Kalender / etc pp sind alles mist.
Nach erfolgreicher VPN Einrichtung läuft das eh alles darüber.
Der Standard-Admin und Gast ist schon deaktiviert? Da versuchen es alle gleich.
[DeinNasName].synology.me als adresse für VPN reicht völlig.
Am besten irgendein langer Name für die Nas.
Beim VPN Server der Syno gleich die Haken bei PPTP Verbindungen raus, das ist Asbach-Uralt.

quickconnect verschiebt das ganze Problem nur, da sich die NAS erstmal dort anmeldet damit du dich einloggen kannst. Ohne Portfreigabe im Router. Sehe nur das Problem darin: Da horchen alle mit.
 
Zuletzt bearbeitet:
obtar schrieb:
Router --> Nur Ports der VPN Verbindung vom Router auf die Syno weiterleiten.

sämtlichen anderen Ports, insbesondere das DSM Webinterface 5000/5001 wieder raus.
Die ganzen Portfreigaben für Roundcube / Kalender / etc pp sind alles mist.
Nach erfolgreicher VPN Einrichtung läuft das eh alles darüber.
Der Standard-Admin und Gast ist schon deaktiviert? Da versuchen es alle gleich.
[DeinNasName].synology.me als adresse für VPN reicht völlig.
Am besten irgendein langer Name für die Nas.
Beim VPN Server der Syno gleich die Haken bei PPTP Verbindungen raus, das ist Asbach-Uralt.

quickconnect verschiebt das ganze Problem nur, da sich die NAS erstmal dort anmeldet damit du dich einloggen kannst. Ohne Portfreigabe im Router. Sehe nur das Problem darin: Da horchen alle mit.
Zum Vergrößern anklicken....
Vielen Dank!
Ja admin und Gast sind deaktiviert.
Pptp ist auch aus.
Frage: wenn ich zb openvpn nehme und als ddns: Routername.synology.me auswähle, dann erhalte ich doch eine...:5000 Adresse.
Da muss ich doch per Port forwarding im Router aport 5000 freigeben oder nicht? Habs noch nicht ausprobiert aber bislang hatte ich das so verstanden, dass es nicht anders geht..
 
Nein, die 5000/5001er Ports sind für DSM und Kalender, die brauchst du gar nicht freigeben.
Zuerst werden die Standard-Ports verwendet, für OpenVPN müsste das UDP1194 sein, für PPTP = TCP1723, für L2TP/IPSEC = UDP4500.
D.h.: Dein Apple startet eine OpenVPN Verbindung unter [DeineNAS].synology.me erstmal auf dem Port 1194 mittels UDP.
Du bist aber nicht an diesen StandardPort gezwungen, nehmen wir Beispielsweise den Port 64738, gibst diesen Port im Router frei und stellst die NAS auf den Port um. Dann musst du im Client [DeineNAS].synology.me:64738 eingeben, damit der Client die Anfrage auf diesem Port macht.

Dein heimisches Intranet verwendet z.B. 192.168.1.1, wenn das Firmenintranet von dem du dich auf anmelden möchtest ebenfalls 192.168.1.1 verwendet baut sich die VPN Verbindung zwar auf, kannst aber deine NAS nicht erreichen. Dann hast du ein klassischen IP Konflikt. Dein Rechner bekommt vom Firmenintranet die Anwort: hamwa net, gibt es net.
Also läuft alles bei dir daheim beispielsweise auf 192.168.115.1 (Routeradresse), deine NAS hat 192.168.115.2
Nach erfolgreicher VPN Verbindung kannst du dann klassisch 192.168.115.2:5000 im Browser aufrufen und DSM erscheint.

Bei der einfachen DDNS Methode um über deine Nas über das Internet erreichbar zu machen gibt die NAS legidlich die IP Adresse preis, bei der Quickconnect Methode werden auch gleich die zu Verfügung stehenden Dienste preisgegeben. Das Quickzeug ist weitaus komfortabler, aber was ist denn wenn wenn bei Synology der Quickconnect Server gehackt/ausgespäht wird? Dann waren die "verbogenen" Ports für die Katz und du merkst es nicht mal. Dann kennt derjenige deine NASAdresse und die freigegebenen Dienste und irgendwo kam Synology dann doch nicht schnell genug hinterher die Lücke zu schliessen.

Synology hatte letztens erst eine kritische Schwachstelle im DSM, die wurde auch relativ schnell geschlossen mit ca. 3-7 Tage. Bei QNAP wurde das letztes/vorletztes Jahr zu spät bemerkt und da war die NAS stellenweise gleich gekapert. Auch Asus war da ein wenig zu spät, Fremddaten auf der NAS.

Wo ich die Syno das erstemal über DDNS erreichbar gemacht hatte, waren nach 5 Minuten unterschliedliche Loginversuche (ca 13 unterschiedliche IPs) samt IP-Block protokolliert. Dann hatte ich damals noch den Email-Port offen, haben die auch versucht darüber reinzukommen. Schau mal in den Protokollen mal nach.
 
Sorry falls ich diesen Thread hier etwas kapere (ist nicht meine Absicht), aber ich denke thematisch passt das hier ganz gut rein: ich habe eine OpenVPN Verbindung zwischen meiner Synology und meinem iPhone hergestellt, für die Tests das WLAN natürlich am iPhone deaktiviert. Verbindung über die OpenVPN App funktioniert und wird in den Logs der Synology angezeigt. Die Verbindung erfolgt über eine irgendwas.synology.me Adresse.
Dennoch ist es mir nach Deaktivierung der Portweiterleitung von Port 5000-5001 nicht mehr möglich, z.B. über die Drive App oder "DS File" Dateien vom NAS abzurufen. Muss ich dem iPhone noch irgendwie beibringen welchen Weg die angeforderten Daten zu nehmen haben, oder wo liegt hier mein Denkfehler?
Danke schon mal fürs "auf die Sprünge helfen"! :)

Edit: Manchmal scheint es zu helfen, das Problem nieder zu schreiben. Ich muss natürlich in der Drive App dann die lokale IP-Adresse eintragen statt irgendwas.synology.me zu verwenden. 👍
 
Zuletzt bearbeitet:
obtar schrieb:
Nein, die 5000/5001er Ports sind für DSM und Kalender, die brauchst du gar nicht freigeben.
Zuerst werden die Standard-Ports verwendet, für OpenVPN müsste das UDP1194 sein, für PPTP = TCP1723, für L2TP/IPSEC = UDP4500.
D.h.: Dein Apple startet eine OpenVPN Verbindung unter [DeineNAS].synology.me erstmal auf dem Port 1194 mittels UDP.
Du bist aber nicht an diesen StandardPort gezwungen, nehmen wir Beispielsweise den Port 64738, gibst diesen Port im Router frei und stellst die NAS auf den Port um. Dann musst du im Client [DeineNAS].synology.me:64738 eingeben, damit der Client die Anfrage auf diesem Port macht.

Dein heimisches Intranet verwendet z.B. 192.168.1.1, wenn das Firmenintranet von dem du dich auf anmelden möchtest ebenfalls 192.168.1.1 verwendet baut sich die VPN Verbindung zwar auf, kannst aber deine NAS nicht erreichen. Dann hast du ein klassischen IP Konflikt. Dein Rechner bekommt vom Firmenintranet die Anwort: hamwa net, gibt es net.
Also läuft alles bei dir daheim beispielsweise auf 192.168.115.1 (Routeradresse), deine NAS hat 192.168.115.2
Nach erfolgreicher VPN Verbindung kannst du dann klassisch 192.168.115.2:5000 im Browser aufrufen und DSM erscheint.

Bei der einfachen DDNS Methode um über deine Nas über das Internet erreichbar zu machen gibt die NAS legidlich die IP Adresse preis, bei der Quickconnect Methode werden auch gleich die zu Verfügung stehenden Dienste preisgegeben. Das Quickzeug ist weitaus komfortabler, aber was ist denn wenn wenn bei Synology der Quickconnect Server gehackt/ausgespäht wird? Dann waren die "verbogenen" Ports für die Katz und du merkst es nicht mal. Dann kennt derjenige deine NASAdresse und die freigegebenen Dienste und irgendwo kam Synology dann doch nicht schnell genug hinterher die Lücke zu schliessen.

Synology hatte letztens erst eine kritische Schwachstelle im DSM, die wurde auch relativ schnell geschlossen mit ca. 3-7 Tage. Bei QNAP wurde das letztes/vorletztes Jahr zu spät bemerkt und da war die NAS stellenweise gleich gekapert. Auch Asus war da ein wenig zu spät, Fremddaten auf der NAS.

Wo ich die Syno das erstemal über DDNS erreichbar gemacht hatte, waren nach 5 Minuten unterschliedliche Loginversuche (ca 13 unterschiedliche IPs) samt IP-Block protokolliert. Dann hatte ich damals noch den Email-Port offen, haben die auch versucht darüber reinzukommen. Schau mal in den Protokollen mal nach.
Zum Vergrößern anklicken....
Ganz vielen Dank!!! Sehr viel dazu gelernt 😁😁
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

J
Zugriff auf Zyxel 542
2
Antworten
38
Aufrufe
715
User007
User007
Mick32
Zentralisieren von Firmendaten auf einem NAS.
Antworten
13
Aufrufe
894
MojoMC
MojoMC
C
NAS Kaufberatung!
Antworten
12
Aufrufe
1.257
Banned
Banned
T
Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
7
Aufrufe
1.000
Thakis
T
Georg_Krocker
NAS im zusätzlichen Netzwerk?
Antworten
17
Aufrufe
566
Renegade334
R
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz