Anfängerprobleme mit der NAS DS2018

[Levtos]

Moin zusammen,

ich habe mich im letzten Monaten hier registriert und ein wenig durch die Threads gelesen,da die Einrichtung der Nas nicht so rund läuft, wie vorgestellt.
Manchmal hat es geholfen und nun stehe ich vor mehreren Problemen, wo ich einfach nicht weiterkomme.

Da dies mein erster Post ist, stelle ich mich auch mal vor

Bin der Benni, 31 Jahre alt und komme aus dem Bergischen Land (NRW).
Ende November habe ich mir meine erste NAS (DS218) zugelegt.
Die NAS betreibe ich mit 2x IronWolf 2TB Platten.
Als Router nutze ich die Fritzbox 7530 und bin bei der Telekom.

Ausschlaggebend für die Anschaffung war, das ich eine eigene Cloud haben wollte und einen eigenen Videoserver um meine alten DvD's in den Keller zu verbannen
Später würde ich gerne noch einen eigenen Mailserver darüberlaufen lassen, aber erstmal eine Baustelle nach der anderen abarbeiten.

Da ich derzeit mehrere Probleme habe, schildere ich diese und hoffe das wir diese gemeinsam Lösen können.

1. Problem

Ich würde gerne einen Familienmitglied (aus einem fremden Netzwerk) ein Netzlaufwerk einrichten, damit das Teilen von größeren Daten einfachrer von statten geht oder derjenige die Cloud (nextcloud) mitbenutzt.

Daher hatte ich einen OpenVPN Server auf der NAS eingestellt und die Geräte (Handy, Firestick, PC) damit verbunden. Klappt auch.
Allerdings kommt das Familienmitglied nicht auf die Nas über die Netzwerkumgebung drauf. (Der Syn Assitant findet bei dem Familienmitglied, trotz aktiver VPN Anbindung, nichts.)
Das manuelle Anwählen aus dem Browser heraus klappt allerdings.

Ich habe mit meinen geringen Kenntnissen schon alles versucht, aber nichts funktioniert.
Die Arbeitsgruppe habe ich am PC und in der Synology von "Workgroup" auf meinen Nachnamen abgeändert.
Einfach aus dem Grund, da dies voreingestellt ist und ich etwas paranoid bin.

Im Router habe ich die SSH, NFS und SMB Ports geöffnet - da ich dachte, ob es vielleicht daran liegt - aber leider Pustekuchen...
In Windows habe ich auch die erweiterte Daten und Druckerfreigabe aktiviert. Passiert auch nichts.


2. Problem

Anfang Januar habe ich mir bei Strato eine .de Domain gekauft.
Diese habe ich versucht einzurichten, damit die NAS im Intranet und ggf. Internet über diese Domain erreichbar ist.
Als DynDNS nutze ich meine eigene Fritzbox bzw. den myfritz Account. Dies teile ich auch bisher erfolgreich an Strato weiter.

Was mich momentan stört:
Wenn ich versuche eine Subdomain aufzurufen, leiter er mich zu der statischen Fritz IP weiter.
Theoretisch richtig, aber ich hätte gerne blog.xxx.de in der Adresszeile stehen. Einen CNAME Record kann ich bei Strato nicht einstellen, da dieser sich auf DynDNS bezieht.
(Beispiel: Rufe blog.xxx.de auf und werde zu 192.168.178.28/wordpress weitergeleitet.)

Was ebenfalls nicht wirklich rund läuft, das alle Inhalte der Nas nur im Intranet verfügbar sind.
Beispielsweise den Blog würde ich gerne im Internet sehen. Das bekomme ich auch nicht wirklich hin...

3. Problem

Ich denke, das dies entweder ein neues Feature für die Videostation ist oder ich einfach zu doof zum Einstellen bin.
Bei einem Familienmitglied (wieder fremdes Netzwerk) habe ich per OpenVPN auf dem Fire TV Stick die DS Video App installiert.
Einloggen funktioniert wunderbar, allerdings sieht das Mitglied alle Inhalte von mir.
Ich habe da schon versucht, die Lese/Schreibrechte auf diesen Ordner zu entziehen, allerdings werden weiterhin alle Inhalte angezeigt.

Kann man da pro User einen den Account so anlegen, das man auch nur seine eigenen Inhalte sieht?

So das wären erstmal meine Probleme, die mich derzeit beschäftigen - ich hoffe Ihr könnt mir weiterhelfen.

Falls Ihr nähere Infos benötigt, einfach anschreiben.

Viele Grüße

Benni

P.S. Vermutlich ist einiges etwas wirr geschrieben - da für mich alles noch recht "neu" ist.

 

[Fusion]

zu 1)
Im Router braucht es NUR den VPN Port. Die anderen lieber ganz schnell wieder zumachen/löschen.
Die Netzwerkerkennung funktioniert im Normalfall nicht über VPN-Tunnel hinweg.
Du kannst aber einfach von Hand ein Netzwerklaufwerk ala \\nas-ip\Freigabe anlegen im Windows Explorer. Ob das NAS in der Netzwerkumgebung sichtbar ist oder nicht ist dabei egal, ist nur unnötige Kosmentik.

zu 2)
Selbst im billigsten Domain Paket kannst du bei Strato CNAMEs einstellen in den DNS Einstellungen. Subdomain blog.domain.de anlegen und den CNAME dazu in den DNS Einstellungen auf blabla.myfritz.net einrichten.
Oder du legst dir gleich eine Subdomain ala dyn.domain.de an und stellst diese als dynDNS Domain ein und läßt die Fritzbox diese aktualisieren (Stichwort Strato, dynDNS, Fritzbox)
Und legst dann den CNAME von blog.domain.de auf dyn.domain.de
Das sorgt erst mal dafür, dass du von extern auf deinem Anschluß landest, Port 80/443 je nach http/https. Die müssen dann auch in der Fritzbox auf die DS geleitet sein.
In der Web Station auf der DS legt man jetzt einen vHost mit blog.domain.de an und setzt den Document root auf /web/wordpress
Je nachdem ob du Wordpress direkt in der neuesten Version vom hersteller oder das Syno-Paket benutzt etc muss man hier weiter ins Detail gehen.

zu 3)
Meines Wissens ist die Video Station allgemein gehalten, wie die Photo Station. Was du in der File Station einstellst interessiert hier nicht.
Einzig mit dem Benutzer-Home-Dienst (Systemsteuerung > Benutzer > Erweitert) kann man zusätzlich eine persönliche Video Station einrichten (so wie auch bei der Photo Station).
Die Dateien liegen dort nicht mehr im Gemeinsamen Ordner "video" sondern unter /home/videostation oder ähnlich. Für den Admin auch sichtbar unter /homes/Benutzer/videostation (ist ein und derselbe Ordner, nur über einen anderen Pfad aufgerufen).
Für anderweitige Trennung, dass man z.B. denselben Server benutzt aber pro Person unterschiedliche Bibliotheken freigibt zur Nutzung muss man auf andere Software ausweichen, wie Plex Media Server oder andere.

 

[Levtos]

Hallo @Fusion,

vielen Dank für deine Antworten.

Punkt 1 hatte ich heute bei meinem Vater ausprobiert. Hat leider nicht funktioniert.

Was ich gemacht habe:

- VPN aktiviert
- Netzlaufwerk einrichten
- IP der Nas eingegeben (die selbe die ich auch im Browser eingebe --> das ist doch richtig?! Also 192.168.178.28)
- Fehlermeldung, das die Netzwerkressource nicht verfügbar wäre.

Zu Punkt 2 und 3: Das gucke ich mir morgen nochmal in Ruhe an.

Aber schon Mal besten Dank für deine Hilfe

 

[Fusion]

Vermutlich ist es richtig. Solange du aber nicht exakt schreibst was du genau wo wie einträgst bleiben Zweifel.

Habt ihr vielleicht gleiche IP Bereiche? Beide 192.168.178.x?

 

[Levtos]

Problem 1 hat sich soweit gelöst.
Was mich allerdings stört, das mein Vater den kompletten Zugriff der Ordner von der NAS hat.
Eigentlich hatte ich ihm nur bestimmte Ordner mit Lese/Schreibrechte versehen.

Er meldet sich unter Windows mit den gleichen Zugangsdaten von der DS218 an.
Dachte dadurch wäre es sichergestellt, das auch nur die besagten Rechte von der NAS greifen.

Anbei ein Screenshot oder muss ich explizit Kein Zugriff auswählen?



Problem 3 hat sich soweit gelöst, bei Punkt 2 hänge ich noch.
Wie kann ich eigentlich einstellen, das die NAS generell nur noch per nas.domain.de erreiche?
Die andauernde Fehlermeldung wegen dem Zertifikat nervt ein wenig.

Gibt es dazu ein paar Gute Tutorials die man sich durchlesen oder angucken kann?
Bin am Anfang auf idomix gestoßen, allerdings will er (verständlicherweise), wenn man Tiefer in die Materie sich reinlesen möchte, Geld sehen.

Bin für jeden Tipp dankbar.

Gruß und schönen Restsonntag noch

 

[Fusion]

Punkt 1, homes - lesen/schreiben. Das deutet darauf hin, dass du in der Gruppe "users" Änderungen vorgenommen hast und die Rechte von homes verbogen hast wo es gar nicht nötig ist, weil kein Nutzer (außer er ist admin) Zugriff auf andere Benutzer-Home-Ordner hat. In "users" sollten überhaupt keine Haken gesetzt werden, nur in eigenen neu eingerichteten Gruppen.

Punkt 2, für kodi und Share scheinen auch sowohl Gruppen wie auch explizite Benutzerberechtigung gesetzt. Das hast auch du selbst gemacht.

Welche Rechte stören dich denn genau? Weil "kompletten Zugriff von der Ordner von der NAS", das sagt mir so alles und nichts.

Zu nas.domain.de. Du kannst nicht einstellen, dass die DS NUR noch so erreichbar ist. Selbst einfach nichts anderes mehr benutzen lautet die Devise. Wenn man https://nas-ip:5001 aufruft und Warnmeldungen gekommt, selber Schuld.
Wenn das eben immer via VPN laufen soll musst du auch im lokalen Netz sicherstellen, dass nas.domain.de auf die LAN-IP der DS aufgelöst wird.
Entweder via hosts Datei auf den Client Rechnern, oder mit einem lokalen DNS Server.

 

[Levtos]

Sorry Fusion, da habe ich mich wohl etwas umständlich ausgedrückt.

1: Ok, werde das abändern

2: Ähm, mir ist heute Nachmittag aufgefallen, wenn ich den Kodi Ordner eingefügt habe - das mein Vater innerhalb der Ordnerstruktur beliebig sich durch alle Ordner navigieren kann.
Mein Gedanke war, das er nur die Ordner sehen / öffnen kann, wozu er Berechtigungen hat.

Beispielsweise hat er den Ordner Kodi im Win Explorer offen.


Dann kann er durch einen Klick auf die IP Adrese im Adressfeld des Win Explorers alle Ordner sehen und öffnen.



Das würde ich gerne Einschränken.

Zu dem 3ten Punkt:
Inwiefern selber Schuld.
Ich bin derzeit ein totaler Grünschnabel und hab mir alle Einstellungen durch YT Videos oder Blogs angeeignet bzw. angewendet.

Ich hatte mir eigentlich vorgestellt, das ich meinen Blog als Hauptdomain einstelle.
Der Blog soll für die ganze Welt offen sein.
Dort wollte ich einen Link platzieren, wo man auf die Intranet Website gelangt. (Natürlich nur mit dem dazugehörigen VPN Profil.)
Wo Familienmitglieder Dateien teilen können oder ähnliches. So eine Art Schwarzes Brett, welches man öfters in Firmen sieht.

Auch beispielsweise beim Einfügen eines Netzwerkordners würde ich gerne auf die IP verzichten und stattdessen nas.domain.de\ordner eingeben um dies ein wenig zu vereinfachen.

Ich hoffe, du verstehst nun, was ich möchte, ansonsten anschreiben ;-)

 

[Fusion]

Die oberste Ebene an Ordnern (also die welche du unter Systemsteuerung > Gemeinsame Ordner anlegst) kann man immer sehen. Zugriff hat man aber nur, wenn man passende Rechte hat. Die musst du wohl vergeben haben, sonst könnte er die Ordner nicht öffnen.
Gängiger Workaround ist ein DFS (praktisch ein vorgelagerter SMB/CIFS server der Freigaben von verschiedenen SMB/CIFS servern bündelt in einer Meta-Struktur).
Da dies privat meist ausscheidet ist der einzig gängige Weg in den Eigenschaften der Gemeinsamen Ordner die Optionen "in Netzwerk verbergen" und "unterordner vor Benutzern ohne Zugriff verbergen" zu setzen. Da man jetzt die Stuktur nicht mehr "browsen" kann muss man feste Netzwerklaufwerke einrichten, da man die Namen der Freigaben wissen muss um darauf zuzugreifen, weil man sie nicht mehr "sieht".

Selber Schuld dahingehend, wenn du für nas.domain.de ein Zertifikat hast und der Aufruf einwandfrei klappt, wissentlich eine andere Domain oder IP zu nehmen, bei der eine Warnung bezüglich des Zertifikat zu erwarten ist. Und da du es niemand sperren kannst, mit Bordmitteln, per https://nas-ip:5001 auf die DS zuzugreifen, kannst du auch die Warnmeldung die dabei erzwungen wird nicht verhindern.
Die Notwendigkeiten damit nas.domain.de auch rein lokal funktioniert hatte ich ja schon erwähnt.

Was ist denn deine Intranet Website? Dein DSM?

 

[himitsu]

Die oberste Ebene an Ordnern (...) kann man immer sehen

Nein, man kann auch angeben, dass der Ordner nicht gesehen wird, wenn keine Rechte vorhanden sind.

 

[Fusion]

@himitsu - bitte zeige mir wo diese Einstellung zu finden ist?

 

[Puppetmaster]

Nein, man kann auch angeben, dass der Ordner nicht gesehen wird, wenn keine Rechte vorhanden sind.

Würde ich auch gerne sehen, wo das möglich sein soll.

 

[romurmel]

Die kann man doch nur in der Netzwerkumgebung verbergen.

 

[himitsu]

Übernehmen da die Anderen diese Einstellung denn nicht?
Da aus Gemeinsame Ordner > Bearbeiten > Allgemein > Unterordner und Dateien vor Benutzern ohne Berechtigung ausblenden (Syntaktisch war hier wohl eher "verbergen" oder "bei" gemeint)

Wir sollten uns deswegen mal bei QNAP beschweren. Der Entwickler der Foto- und Video-App ist bei beiden Firmen der Selbe ... drum sehen die Webinterfaces irgendwie gleich aus.

 

[Fusion]

Das Wort auf das es hier ankommt Unterordner (von Gemeinsamen Ordnern)

 

[himitsu]

Zumindestens im SMB ist die ganze Freigabe nicht sichtbar und nicht nur nicht die Unterordner.

 

[synfor]

Das hat aber gar nichts mit der Option Unterordner und Dateien vor Benutzern ohne Berechtigung ausblenden zu tun. Du hast die Freigabe offensichtlich versteckt.

 

[Levtos]

Ich stoße gerade wieder auf ein Problem, wo ich nicht weiterkomme.

Mein Vater konnte durch die Hilfestellung von Fusion endlich ein Netzlaufwerk einrichten.
Nun hat er am letzten Mittwoch seinen Speedport 724W gegen eine Fritzbox 7530 getauscht.

Nun das Problem:
Der Speedport hatte die interne IP: 192.168.2.x
Die Fritzbox nun die 192.168.178.x

Die Fritzbox IP ist die selbe dich ich auch nutze
Wenn er nun versucht sich mit aktiven OpenVPN auf die NAS zu schalten, wählt er seinen eigenen IP Bereich an -.-"

Wie oder was muss ich ändern, damit er wieder auf die NAS (192.168.178.28) zugreifen kann?
Ich habe mir gerade die Einstellungen der Fritzbox angesehen, finde da aber nichts offensichtliches was ich da tun kann.

Hat da jemand eine Idee?

 

[Fusion]

Du meinst sowohl du wie auch er haben jetzt 192.168.178.x um lokalen Netz?
Einfachste Lösung : mach bei deinem Vater wieder die 192.168.2.x oder eine andere 192.168.xxx.yyy, oder halt bei dir ein anderes Netz.

 

[himitsu]

Es gibt noch eine andere Lösung:

VirtualDSM, also ein weiteres DSM im VMM, welches eine eigene IP hat und auch alles was darin existiert, ist dann doppelt/unabhängig.

 

[Tuxnet]

Ich stimme Fusion zu, das ist der einfachste weg.
SMB habe ich komplett deaktiviert,
bei mir läuft alles über webdav bzw. ftps