bei NAS mit 2 Ethernet Ausg. einer ausschließlich Internet verwendbar?

[petrie]

Hallo,

kann ich bei einer NAS mit 2 Ethernet Schnittstellen diese so einstellen:

Schnittstelle 1
- ausschließlich für internen Netzverkehr im Haus

Schnittstelle 2
- nur für Zugriff von Extren
- Firewall dann so einstellen das nur Lesend zugegriffen werden kann
- bzw. einen Nutzer einrichten der nur über diese 2te Schnittstelle zugreifen kann

Geht das so?

Gruß
petrie

 

[NSFH]

Und wie das geht, habe ich so mit der 916+ gemacht und bei meiner RS mit 4 Ports liegen drei im LAN und nur einer geht in WAN.
Ich habe mich dafür entschieden, um auf dem WAN Port nur so wenig wie möglich offene Ports zu haben. Das lässt sich zwar mit der Firewall auch anders begrenzen (innere und äussere IPs für verschiedene Dienste), aber ich verfahre immer nach der Devise so viel wie nötig und so wenig wie möglich egal wie von aussen erreichbar zu haben.

 

[petrie]

Und wie das geht, habe ich so mit der 916+ gemacht und bei meiner RS mit 4 Ports liegen drei im LAN und nur einer geht in WAN.
Ich habe mich dafür entschieden, um auf dem WAN Port nur so wenig wie möglich offene Ports zu haben. Das lässt sich zwar mit der Firewall auch anders begrenzen (innere und äussere IPs für verschiedene Dienste), aber ich verfahre immer nach der Devise so viel wie nötig und so wenig wie möglich egal wie von aussen erreichbar zu haben.

Danke für die Info.

Hast Du vielleicht noch ein paar Einzelheiten für mich wie Du das genau gemacht hast.
Mein Aufbau ist wie folgt:
- über Fritzbox wird der Internetzugang bereit gestellt
- von dort gene ich mit einer Leitung in meinem 16 Port Switch
- von dem wird dann zentral alles verteilt

Kann ich denn jetzt einfach beide Ethernet Schnittstellen geleichzeitig in meinen Switch einstecken?

Gruß
petrie

 

[mb01]

Abgesehen davon, das ich mich gerade frage, wo der Sinn eines solchen Konstruktes liegen soll, würde mich (@NSFH) auch interessieren, wie das umgesetzt wurde.

Ein wirkliche saubere Trennung von LAN und Internetverbindung bräuchte (imho) schon VLAN-fähige Switches und Router. Mit einem (vermutlich bei dir (@petrie) vorhandenen) simplen unmanaged Switch und einer Fritte geht das schon einmal nicht. Bzw. jein ... man könnte per anderem Subnetz (und eigenen Patchleitungen!) direkt auf einen zweiten LAN-Port der Fritte gehen, für den der Gastzugang eingerichtet ist. Das bringt aber nichts, weil der leider nur unzureichend konfiguriert werden kann (z.B. keine Portweiterleitungen möglich).

Die für bestimmte Dienste der Synology genutzten Portnummern sind "global" aktiviert, d.h. ich kann sie im DSM nicht auf einzelne Subnetze (=Ethernet-Ports) beschränken. Über die DSM-Firewall kann ich zwar Dienste/Ports gezielt blocken, auch gezielt nach verschiedenen Schnittstellen, aber DSM unterscheidet bei den Schnittstellen nicht zwischen verschiedenen LAN-Verbindungen. Dort gibt es nur LAN, VPN und PPPOE ... du hättest aber zwei unterschiedliche LANs hin zu deinem Router.

Um final zur Sinnfrage zu kommen: Was spricht gegen die übliche Konfiguration, also alles zusammen in einem LAN zu haben und dann eine zielgerichtete Portweiterleitung von extern benötigten Diensten zum NAS zu machen? Die "Bedrohungslage" geht doch üblicherweise von externen IPs, also Angriffen aus dem WAN aus. Der Router steht da immer im Feuer, aber mit deaktivierten Fernwartung & Co sollte der ja damit keine Probleme haben. Und ein NAS in einem LAN einer Fritzbox ist aufgrund des NAT-Prinzips gegen Zugriffe von außen abgeschirmt. Erst mit Portweiterleitungen im Router (manuell oder per uPnP) sind bestimmte Ports des NAS von außen erreichbar. Die eigentliche Zugriffssteuerung auf das NAS würde ich dann über den entsprechend beschränkten Nutzer machen. Falls DSM gerade auf dem Port eine Sicherheitslücke hat, kann man eh nichts machen.

Wobei die (imho) beste Lösung es noch immer ist, sich per VPN direkt auf die Fritzbox oder das NAS zu verbinden und damit auf Portfreigaben für NAS-Dienste (ggf. außer VPN) im Router zu verzichten. Von daher verstehe ich nicht, warum man in einem simplen Heimnetz da getrennte LAN- und WAN-Verbindungen haben möchte.

 

[Frogman]

- Firewall dann so einstellen das nur Lesend zugegriffen werden kann

Ist ja nett, wenn die Fragen des TE so vehement bejaht werden... aber Rechte werden nicht über die Firewall eingestellt. Und auch das Beschränken eines Nutzers auf eine Schnittstelle geht so nicht.

 

[NSFH]

ist ja schön, wenn das in Frage gestellt wird, selber machen macht klug!
Mir war es nur wichtig die DS mit ihrem Port zum Internet so weit wie möglich von allem anderen abzukoppeln was nicht nach draussen muss, da ich extremen WebDav Traffic habe.
Darum ist der eine Port direkt mit dem Router per VLAN verbunden und unter Nutzung von Portredirection sind auch nur die Ports offen die benötigt werden. Die Verbindung zwischen den beiden Endpunkten ist eine Host<>Host Einstellung.
Damit habe ich eine kaskadierte Firewall.
Die Clients im LAN gehen nach wie vor über das Gateway des Routers und Zugriffe/Dienste auf den Port2 sind auch nur von diesen Clients erlaubt.
Das alles lässt sich mit der Firewall der DS und natürlich im Router einstellen.
Ein Penetration Test und Analyse mit nmap sieht jedenfalls besser aus als die Variante beide Ports auf den Switch mit allen Diensten drauf.
Diese Vorgehensweise muss ja auch nicht jeder verstehen oder mögen, ich bin damit zufrieden!

 

[mb01]

... ok, mit dem Background ist das Setup natürlich nachvollziehbar. Aber geht auch etwas über die Anforderungen/Möglichkeiten hinaus, die der normale DS-User in einem üblichen Fritzbox-Netzwerk hat.