Verbindung zu meinem NAS von extern

Eimer

Cadet 3rd Year
Registriert
Sep. 2013
Beiträge
53
Guten Tag,

ich bin gerade dabei meinen NAS so einzurichten, dass ich darauf auch von extern zugreifen kann.
Dabei fällt mir auf, wie wenig ich doch über das Thema Netzwerke weiß.

Im Grunde möchte ich mein Synology DS218j auch unterwegs oder von den Uni-Rechnern aus nutzen können.

Anfangs habe ich den Quickconnect-Dienst genutzt, aber ich will den NAS eigentlich als Laufwerk mounten und Quickconnect war gefühlt immer extrem langsam. Deswegen ist diese Option vom Tisch.
Bis vor kurzem war es so, dass ich im Webinterface des NAS SFTP aktiviert habe und in meiner UnityMedia ConnectBox den Port freigegeben habe (Erweiterte Einstellungen -> Sicherheit -> Portweiterleitung).
Auf Dauer hat mich die Tatsache gestört, dass ich permanent Login-Attempts aus China, Russland, Korea und Kanada erhalten habe.
Ich sehe meine Daten nicht in Gefahr, da nach einer gewissen Anzahl an Login-versuchen die IP gebannt wird und mein Passwort sicher ist, aber durch das regelmäßige gespamme ist mein NAS nie in den Energiesparmodus gewechselt.
Deshalb habe ich in der Firewall des NAS alle IPs blockiert und dann nur die aus Deutschland erlaubt - vorerst. Irgendwann wollte ich dann aber doch Urlaub im Ausland machen und auf die Daten zugreifen können.

Jetzt soll eine saubere Lösung her, wobei ich da etwas auf dem Schlauch stehe.
Ich war die ganze Zeit am schwanken welches Protokoll ich letztendlich nehme.
SMB und SFTP hörten sich erstmal attraktiv an, aber ich denke, dass ich auf NFS setzen werde?!
Ich möchte sowohl Linux wie auch Windows bedienen und wenn möglich auch noch Android.
NFS soll geschwindigkeitstechnisch ganz gut sein. Die zu übertragenen Daten sind etwas größer:
Hauptsächlich eingescannte Dokumente im PDF und PNG Format, Bücher als PDFs und Urlaubfotos. Ab und an kommt dann noch ein Film in HD dazu.

Meine Frage ist nun wie ich korrekt mein System einrichten muss, damit der externe Zugriff klappt?
Unitymedia ändert doch zum Beispiel in regelmäßigen Abständen meine externe IP-Adresse, will auf den NAS aber kontinuierlich zugreifen können. Außerdem habe ich eine Domain bei 1&1 die aktuell nicht genutzt wird und würde gerne eine Subdomain für den Zugriff benutzen.
Muss ich mir ein DynDNS-Service suchen und mein NAS so einstellen, dass dieser den Service bei einer IP Änderung informiert?
Meine Subdomain müsste dann auf diese DynDNS-Adresse weiterleiten? Wie funktioniert das genau und kann ich damit auch NFS nutzen oder ist das Protokoll eine schlechte Lösung?

Beste Grüße
Eimer.
 
Die Diskstation bietet einen VPN-Server. Den würde ich nutzen. Dann ist das (Daten-) Protokoll egal, weil eh alles über das VPN verschlüsselt ist.
 
Eimer schrieb:
Unitymedia ändert doch zum Beispiel in regelmäßigen Abständen meine externe IP-Adresse [...]
Dürfte das mit Kabel nicht eigentlich überhaupt nicht funktionieren? Es teilen sich doch alle Anschlüsse die selbe Adresse, oder nicht?

Eimer schrieb:
Außerdem habe ich eine Domain bei 1&1 die aktuell nicht genutzt wird und würde gerne eine Subdomain für den Zugriff benutzen.
Bei den Einstellungen zur Domain kannst du i.d.R. auch die DNS-Einträge konfigurieren. Du legst also die Sub-Domain an und gibst dann an, wohin (IP-Adresse, ob hier DynDNS geht, weiß ich nicht) der Aufruf geleitet werden soll.

Ansonsten kann ich den Vorschlag von @Nilson nur unterstützen, das scheint mir die sicherste Lösung.
 
Ich gehe über die Fritzbox per VPN ins Heimnetzwerk und greife so auf alle Rechner inkl. NAS im Netzwerk zu.
 
wie geschrieben, DynDNS + VPN.

Dein Server ist nicht sicher, nur weil dein Passwort sicher ist. Der größte Schutz ist immer die Hardware-Firewall, die Du mit der Portweiterleitung ausgeschaltet hattest. Ich würde den NAS neu aufsetzen..
 
Okay. Ich werde mir das mal genauer ansehen. Wobei ich beim VPN doch auch Software und ein Zertifikat brauche und dies nutzen zu können? Das bedeutet ich muss die nötigen Rechte auf dem Computer haben um mich mit dem NAS zu verbinden, was mit den Rechnern an der Uni nicht gegeben ist. Vielleicht machte ich da einen Abstrich.

Übrigens, bei Unitymedia habe ich noch eine echte IPv4-Adresse, aber keine FritzBox sondern die ConnectBox.
 
Sun_set_1 schrieb:
Der größte Schutz ist immer die Hardware-Firewall, die Du mit der Portweiterleitung ausgeschaltet hattest.
Naja, so ganz stimmt das nicht. Eine Portweiterleitung auf einen Dienst - zB einen VPN-Server - ist sicherheitstechnisch exakt dasselbe wie wenn eben dieser Dienst auf dem Router selbst und somit ohne Portweiterleitung laufen würde. Wenn der Router VPN bietet, kann man also diesen verwenden oder durch eine Portweiterleitung einen VPN-Server zB auf der Diskstation. Das ist in Bezug auf die Sicherheit egal - abgesehen von potentiell veralteten, fehlerhaften bzw. angreifbaren Umsetzungen des Dienstes, was aber sowohl zB das NAS wie auch den Router gleichermaßen betreffen kann.

Die Sicherheit kommt durch die Sicherheit des Dienstes, der direkt im Router oder am Ende einer Portweiterleitung läuft und nicht dadurch wo dieser Dienst läuft.

@Eimer : Wie schon geschrieben wurde ist ein VPN die empfohlene Lösung für den Fernzugriff. Man kann ein NAS zwar beispielsweise auch via WebDAV aus der Ferne anbinden, aber das Problem bei solchen zweckorientierten Lösungen ist, dass eben nur für diesen einen Zweck anwendbar sind. Wenn du also beispielsweise deine IP-Kamera daheim sehen willst, bringt dir das wenig. Bei einem VPN hast du von unterwegs gewissermaßen immer ein Netzwerkkabel nach Hause dabei und kannst so ziemlich alles in deinem Netzwerk erreichen, über ein und dieselbe verschlüsselte Verbindung, das VPN.
 
Dein Passwort kann noch so sicher sein, wenn der Dienst eine Sicherheitslücke hat, dann sind die ungebetenen Gäste schneller drin als du dein Passwort eingegeben hast. Deswegen kannst du dein NAS als kompromittiert ansehen und solltest es neu aufsetzen. Um ein NAS halbwegs direkt am Internet betreiben zu können, gehört mehr dazu als eine simple Portweiterleitung. Ein VPN ist die beste Alternative, aber auch da würde ich den VPN Server eher auf dem Router statt auf dem NAS betreiben.
 
Okay, danke für eure Hilfe. Ich habe noch offene Fragen.

Wenn ich die VPN Lösung einsetze, dann brauche ich immer noch ein DynDNS Dienst, da sich meine Ip-Adresse ändert, oder?
Wie kann ich so ein VPN auf dem Router betreiben? Ich habe nur eine ConnectBox und ich meine, dass es darauf nicht ginge. Wäre ein VPN auf dem NAS ebenso gut? Muss ich in dem Fall aber wieder den NAS im Router freigeben, damit der Router den VPN auf dem NAS zulässt?
Wäre die einzige saubere Lösung, dass ich mir eine Kabel-FritzBox kaufe, auf der dann das VPN läuft?
 
DDNS "braucht" man sogesehen nicht, sondern es ist lediglich eine Frage des Komforts, dass man nicht jeden Morgen die aktuelle öffentliche IP im Router nachsehen und in der VPN-Verbindung nachpflegen muss. Außerdem liefe man ohne DDNS Gefahr, dass sich die öffentliche IP auch tagsüber bei einem Reconnect ändert und der Zettel mit der morgendlichen IP wertlos ist ;)

Wenn die Connectbox keine VPN-Funktion bietet, kannst du den VPN-Server im NAS aktivieren und die dafür nötigen Ports in der Connectbox weiterleiten. Das VPN in der Diskstation ist vergleichbar sicher wie in einem x-beliebigen Consumer-Router wie Asus, Fritzbox und Co. Consumer-Equipment bleibt Consumer-Equipment. Dort wird in der Regel nur ein eingeschränktes Set an Optionen über Wizards in der GUI bereitgestellt, auch um potentielle Fehlkonfiguration durch den Nutzer zu vermeiden.

"Mehr" Sicherheit gibt es dann sogesehen nur, wenn man ein semiprofessionelles Gerät einsetzt, das vollen Zugriff auf den VPN-Server sowie die Firewall bietet. Wobei auch das nur bedingt stimmt, weil das voraussetzt, dass man auch weiß wie man mit diesem Zugriff umgeht und wie man die nötigen Einstellungen von Hand durchführt. Ein Profigerät für einen 5-stelligen Betrag ist in Laienhänden so sicher wie der billigste Chinaschrott.
 
Zurück
Oben