Anfänger DNS Frage, xx.myds.me intern auf de NAS

[crammaster]

Ja, aber dann nimm doch Drive und Emby zum Bespiel, die kannst du mit dem Reverse Proxy über Port 80 und 443 arbeiten lassen.
Da musst du dann nicht Port 5001 nach außen offen haben.

 

[Benie]

Und immer eine VPN Verbindung aufbauen möchte ich ihnen nicht zumuten

Wireguard Tunnel im Playstore

Always-On VPN Unterstützung

 

[Ronny1978]

@crammaster : Bitte nicht gleich so eine PANIK verbreiten. Sicherlich ist ein Reverse Proxy komfortabler, sicherlich ist eine VPN sicherer. Es gibt aber auch Absicherungsmaßnahmen, die ebenso helfen.

@Drausi :

1. Bitte ändere den Port für das DSM selbst auf einen 5-stelligen Port.
2. In den Systemeinstellungen Portal nach Möglichkeit für die EINZELANWENDUNG separate 5-stellige Ports vergeben.
3. Nur die Einzelanwendungen von extern erreichbar machen -> NICHT das DSM selbst.
4. Login Sperren / Konto Sperren bei falschen Anwendungen aktivieren -> niedrig setzen zum Beispiel 3 Login innerhalb 60 Minuten
5. Firewall aktivieren und nur interne Adressen für das DSM erlauben bzw. extern auf bestimmte Länder einschränken
5a. Zugriffe für Applikationen auf bestimmte Anwendungen einschränken
6. UND!!!! 2-Faktor-Authorisierung NUTZEN -> für ALLE Nutzer, die von außerhalb zugreifen!!!

Dann hast du schon einmal eine solide Grundabsicherung.

 

[crammaster]

Bitte nicht gleich so eine PANIK verbreiten

War nicht meine Absicht, mir ist nur gerade meine Kaffeetasse aus der Hand gefallen.

Ging halt eher darum, ihn zum denken anzuregen, das es noch andere Möglichkeiten gibt, die etwas einfacher und vlt auch besser sind.

 

[Ronny1978]

das es noch andere Möglichkeiten gibt, die etwas einfacher und vlt auch besser sind

Dann bitte gern auch den Fragestellern die Möglichkeiten aufzeigen und nicht nur sagen "so nicht" und "...um Gottes Willen". Hier sind genug Nutzer die erst anfangen und noch nicht so weit sind, sich noch nicht nicht mit VPN und Reverse Proxy auseinander gesetzt haben.

Ziel sollte es ja sein, zu helfen WIE ES GEHT und nicht nur WIE NICHT. Es hat ja jeder einen anderen Kenntnisstand.

 

[Drausi]

Danke für eure Antworten.
@Benie Ich habe gerade so eine Automation versucht, die mir automatisch die OpenVPN Verbindung aufbaut. Hat ganz gut funktioniert, nur muss ich noch schauen wie sie mir die Verbindung dann wieder beendet.
@Ronny1978 Danke.
Also dann werde ich mal die Ports ändern. Das kann ja wirklich nicht schaden. und 2 FA habe ich schon aktiviert.

 

[crammaster]

@Ronny1978 Ich gebe zu, die Wortwahl war nicht die beste. Manchmal tippen die Finger schneller, wie der Kopf denken kann.

@Drausi bezüglich deinen ursprünglichen Problem: AdGuard/PiHole könnten helfe, vlt könnte man dies auch über den DNS Server von Synology umsetzen, ich weiß nur nicht ob er es zu lässt, das man die Synology-Adresse umschreibt.

 

[Ronny1978]

die Wortwahl war nicht die beste

Manchmal schrecken Worte auch ab. Jeder ist halt einzigartig. ;-)

Manchmal tippen die Finger schneller, wie der Kopf denken kann.

Ja, das stimmt. Manchmal tun 2 Minuten Pause gut

 

[Drausi]

@crammaster Ja ich habe mir eben gedacht, den eigenen DNS Server zu verwenden, bevor ich adguard installieren muss.
Aber wie gesagt, ich denke ich belasse das so und ändere im ersten Schritt mal die Ports.

 

[Ronny1978]

ändere im ersten Schritt mal die Ports

Sehr gut. Wie gesagt: Für jede Anwendung ggf. einen separaten Port nehmen. Heißt:

Synology Photos xxxx5
Video Station xxxx6
Filestation xxxx7
DSM xxxx1
usw.

Das DSM machst du ggf. nur für dich UND NUR per VPN erreichbar. Beim Rest öffnest du die Ports und ggf. begrenzt du die externen Zugriffe auf bestimmte Anwendung auf bestimmt Länder oder IP Adresse. IP Block und Kontoschutz aktivieren und schon bist du etwas sicherer.

 

[crammaster]

@Drausi Wie beim schießen bei der Bundeswehr, erstmal Sicherheit herstellen und dann Trefferaufnahme xD xD

Der DNS Server von Synology ist ja schnell installiert und versuch macht klug.

Wie hast du eigentlich den AdGuard auf der Synology installiert bekommen? Über MacVLAN oder wie?

 

[Drausi]

@crammaster nach dieser Anleitung https://mariushosting.com/synology-install-adguard-with-portainer/

 

[crammaster]

Ok, hab dafür und für NGINX Proxy Manager ein MacVLAN aufgebaut, um auch Domain Name Nutzung mit https im Netzwerk zuhaben. Ich nutze halt nicht den Synology DDNS. Habe mir meine Wildcard über Domain Validierung geholt.

 

[Heimi75]

Ich habe es nach dieser Anleitung gemacht, und es funktioniert so wie von @Drausi (wenn ich’s richtig verstanden habe) gewünscht. Will man alle Subdomains intern abgedeckt haben, dann kann man es ganz einfach mit einem CNAME-Eintrag „*.Domain.de„ lösen und muss nicht jede einzelne Subdomain eingeben. Bei mir geht das problemlos. Habe extern auch nur Port 443 offen, das funktioniert so perfekt.

 

[Drausi]

Danke, ich werde mir das sonst mal am Donnerstag ansehen und ggf. ausprobieren. Komme leider vorher nicht dazu.