ComputerBase Menü
Aktuelles

RPi 4 als Firewall für QNAP-NAS?

Xechon

Xechon

Commander
Registriert
Feb. 2014
Beiträge
2.066
Servus alle miteinander,

da meine Frau und ich das QNAP-NAS auch teils als iCloud-Ersatz nutzen und man alleine für den Gedanken im Netz schon gejagt wird (weil nicht ausreichend geschützt), hatte ich mir gedacht, ich könnte evtl. etwas für die Sicherheit tun. Dabei dachte ich an den Raspi. Kann man das (einfach für Anfänger) als Firewall für das NAS einrichten? Ähnlich wie Pi Hole?

Danke schonmal für eure Unterstützung!
 
Kann man machen, bringt aber nichts. Damit es funktioniert müssen die entsprechenden Ports freigeschaltet werden. Damit ist das NAS wieder angreifbar.
Xechon schrieb:
als iCloud-Ersatz nutzen und man alleine für den Gedanken im Netz schon gejagt wird (weil nicht ausreichend geschützt)
Zum Vergrößern anklicken....
Ist auch so, ein NAS gehört nicht ins Internet, egal was der Hersteller dazu meint. Es gibt schon wieder viele Angriffe auf Qnap NAS in DE.
https://www.heise.de/security/meldu...zwerkspeicher-auch-in-Deutschand-4573483.html
 
Helge01 schrieb:
Kann man machen, bringt aber nichts. Damit es funktioniert müssen die entsprechenden Ports freigeschaltet werden. Damit ist das NAS wieder angreifbar.

Ist auch so, ein NAS gehört nicht ins Internet, egal was der Hersteller dazu meint. Es gibt schon wieder viele Angriffe auf Qnap NAS in DE.
https://www.heise.de/security/meldu...zwerkspeicher-auch-in-Deutschand-4573483.html
Zum Vergrößern anklicken....
Und deine Dateien bei Google, Dropbox, etc. zu haben findest du besser?
 
Weil ich nicht weiß wie das geht. Ich nutze VPN nur dienstlich aus dem HO und muss dazu nur „Connect“ klicken und mein Passwort eingeben. 🙈 Dazu muss insbesondere meine Frau einen Cloudersatz ala iCloud (Fotoalben) haben, da sie es sonst nicht nutzt. Dann hab ich wieder die Abhänigkeit von einer fremden Cloud.
 
Eine Firewall macht auch nichts anderes als dein Router eh schon macht: Nur gewisse Ports durchlassen. Du gewinnst also nichts an Sicherheit.
Du könntest aber einen OpenVPN Server auf deinem Pi installieren. Der sollte sicherer sein als die Dienste auf dem QNAP. Mit PiVPN gibt es einen recht simplen installer. Alternativ bieten aus manche Routerhersteller (z.B. AVM bei den Fritzboxen VPN Dienste an)
Oder eben drauf setzten/hoffen das QNAP Lücken in deren Diensten schnell genug erkennt und schließt ...
 
Xechon schrieb:
Und deine Dateien bei Google, Dropbox, etc. zu haben findest du besser?
Zum Vergrößern anklicken....
Was soll den dieser schwachsinnige Vergleich. Ein NAS wird von Betrügern missbraucht, oder ist irgendwann ein Teil von einem Botnet. Von Datenschutz ist hier nicht die Rede.
 
Beim Synology NAS kann man sehr einfach ein VPN Server einrichten (z.B. IPSec, anschließend leitet man 3 Ports im Router weiter). QNAP kenne ich nicht, daher weiß ich nicht ob die das auch anbieten.

Oder noch besser aber etwas schwieriger in der Ersteinrichtung: Wireguard auf´m Raspberry + 1 Port weiterleiten.
Wenn es eingerichtet ist, braucht man auf´m Handy nur 1 Klick machen und ist mit Zuhause verbunden.

Beide Varianten schaffen knapp 100Mbit/s (getestet auf´m Raspberry Pi 3 bzw. DS218+).

Das integrierte FritzBox VPN kann ich nicht empfehlen, viel zu langsam.
 
  • Gefällt mir
Reaktionen: Xechon
Nilson schrieb:
Eine Firewall macht auch nichts anderes als dein Router eh schon macht: Nur gewisse Ports durchlassen. Du gewinnst also nichts an Sicherheit.
Zum Vergrößern anklicken....
Na diese Aussage ist der Hammer :hammer_alt:
 
Avenger84 schrieb:
Beim Synology NAS kann man sehr einfach ein VPN Server einrichten (z.B. IPSec, anschließend leitet man 3 Ports im Router weiter). QNAP kenne ich nicht, daher weiß ich nicht ob die das auch anbieten.

Oder noch besser aber etwas schwieriger in der Ersteinrichtung: Wireguard auf´m Raspberry + 1 Port weiterleiten.
Wenn es eingerichtet ist, braucht man auf´m Handy nur 1 Klick machen und ist mit Zuhause verbunden.

Beide Varianten schaffen knapp 100Mbit/s (getestet auf´m Raspberry Pi 3 bzw. DS218+).

Das integrierte FritzBox VPN kann ich nicht empfehlen, viel zu langsam.
Zum Vergrößern anklicken....
Also wenn ich schon mit VPN rumdoktoren anfange, dann hört sich das am interessantesten an.
 
Tiu schrieb:
Na diese Aussage ist der Hammer :hammer_alt:
Zum Vergrößern anklicken....
Na dann klär mich mal auf, wie die Firewall erkennen will, ob das Paket jetzt vom Mobiltelefon des TE kommt, oder von jemanden "bösen"?
 
Hallo,

Ich würde das auch mit VPN lösen, NAS ins Internet hängen ist eine Einladung an alle Hacker. Mach dich auch gleich noch schlau wie das mit PieHole funktioniert, das ist in Kombination mit always-on VPN eine sehr gute Lösung die ich mir selbst in nächster Zukunft einrichten werde.

Grüße,
Znep
 
Wenn ihr Hilfe beim Raspberry Pi-Hole und Wireguard braucht kein Problem, einfach melden.
 
Nilson schrieb:
Na dann klär mich mal auf, wie die Firewall erkennen will, ob das Paket jetzt vom Mobiltelefon des TE kommt, oder von jemanden "bösen"?
Zum Vergrößern anklicken....
Es geht um deine "pauschale" Aussage, dass eine Firewall nichts anderes macht als ein Router und man "nichts" an Sicherheit gewinnt... Zwischen einem Router und einer IpFireDuo liegen aber Welten... dagegen ist eine Fritte ein offenes Scheunentor!
 
  • Gefällt mir
Reaktionen: Nilson
Das stimmt wieder rum ;)
 
  • Gefällt mir
Reaktionen: Tiu
Xechon schrieb:
Weil ich nicht weiß wie das geht.
Zum Vergrößern anklicken....
Hä? Du weißt nicht wie man eine Firewall konfiguriert und fragst hier nach. Dann wird VPN vorgeschlagen und deine Begründung lautet, dass du nicht weißt wie das geht
?!? Offenbar weißt du weder wie eine Firewall funktioniert noch wie ein VPN funktioniert. Das ist also offensichtlich kein Argument ;)

Grundsätzlich ist Firewall nicht gleich Firewall und VPN nicht gleich VPN. Einfach einen PI mit Firewall ins Netzwerk zu hängen bringt erstmal gar nichts, weil der PI das NAS als gleicherechtigter Netzwerkteilnehmer überhaupt nicht schützen kann, weil der PI den Traffic vom NAS gar nicht sieht, wenn man nicht eine subnetzinterne Routingkrücke einbaut.

Eine (Hardware-/PI-) Firewall sitzt am Übergang zweier Netzwerke. Man müsste das NAS daher konsequenterweise in einem separaten Netzwerk hinter dem PI betreiben, ähnlich wie zB ein Gastnetzwerk, nur dass man das dann als DMZ bezeichnet.

Ob eine Firewall hier das richtige ist, sei mal zu bezweifeln.

Szenario 1: Portweiterleitungen je Service
Ein Angreifer attackiert einen potentiell unsicheren Service über die Portweiterleitung und kapert es. Nun kann der Eindringling vom NAS aus den Rest des Netzwerks infiltrieren. In diesem Fall würde man eine Firewall zwischen das NAS und das Hauptnetzwerk setzen und wenn ein Angreifer das NAS kapert, bleibt er in der DMZ eingesperrt und das Hauptnetzwerk sicher.

Szenario 2:
Statt über direkte, beliebig unsichere Portweiterleitungen auf alle mögliches Services am NAS geht man ausschließlich über eine einzelne Weiterleitung für das VPN. VPN ist aber explizit dafür gebaut, voll verschlüsselt. Das VPN ist dann wie ein Netzwerkkabel für unterwegs und wenn korrekt eingerichtet, bedient man NAS und Co so als säße man zu Hause.

Eingerichtet werden muss beides. Der Aufwand ist vergleichbar bzw. beim VPN, insbesondere wenn es direkt auf dem NAS läuft, eher geringer, weil für eine DMZ muss man wissen wie eine Firewall funktioniert.
 
  • Gefällt mir
Reaktionen: Nilson und Avenger84
Nur für freunde fotoalben freigeben geht dann via vpn nicht, richtig?
 
Beim Synology VPN Server schon aber gleichzeitig ist das Heimnetzwerk auch freigegeben.

Bei Wireguard könnte man nur das NAS erreichbar machen und dort wiederum mit User/Passw einen Bereich.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
Suche N100 für NAS/HA
Antworten
5
Aufrufe
822
Terrordrome
T
D
Raspi für Pihole/Adguard
Antworten
9
Aufrufe
1.033
CoMo
CoMo
P
Suche NAS als einfacher Netzwerkspeicher und Docker
Antworten
11
Aufrufe
833
Shoryuken94
Shoryuken94
adjeui
Self Webhosting mit RPi - Was gilt zu Beachten bezüglich Sicherheit?
2
Antworten
20
Aufrufe
1.113
h00bi
h00bi
W
NAS für Anfänger, QNAP oder Synology?
2
Antworten
39
Aufrufe
3.678
wetterauer
W

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz