Moin zusammen,
ich plane, meine DS 920+ nun auch übers Internet zu veröffentlichen, um einfacher mit der Familie und mit Freunden Bilder zu teilen und gemeinsame Kalender usw. einzurichten etc. Aktuell nutze nur ich per VPN (Fritzbox), um von unterwegs zugreifen zu können. Nun möchte ich es aber auch erweitern, sodass "jeder" Zugriff hat.
Da ich IT-mäßig beruflich unterwegs bin, ist die technische Umsetzung kein Problem. Ich tu mich gerade nur schwer, für DS die richtige Art der Veröffentlichung zu wählen, um das Ganze möglichst sicher zu machen. Ich hätte ein paar Ideen, die ich gerne hier einmal kurz mit euch diskutieren möchte.
Aktuelles Szenario:
DS hängt an Unmanaged Switch, Uplink vom Switch an Fritzbox, Fritzbox geht ins Internet und Fertig. Aktuell DS nicht öffentlich freigegeben, Einwahl per VPN auf die Fritzbox und von dort aus dann weiter auf die DS.
Plan1:
Nun könnte ich natürlich einfach die entsprechenden Ports der DS an der Fritzbox freigeben, DDNS einrichten und das wars. Damit habe ich aber irgendwie Bauchschmerzen, wenn quasi die DS für jeden erreichbar ist und man sich dann in meinem LAN befindet. Klar macht das Port-Forwarding die Fritzbox und eben nur für die bestimmten Ports, aber irgendwie habe ich dabei ein schlechtes Gefühl. (Es sei denn, ihr nennt mir noch Dinge, die mein Gefühl beruhigen... ;-)
Plan2:
Ich nutze das zweite LAN-Interface der DS und gebe diesem eine zweite IP im LAN. Dann würde man darüber die Veröffentlichung der jeweiligen Dienste machen und hätte in gewisser Weise eine Trennung zu dem "normalen" LAN-Interface. Gefällt mir aber auch nicht so wirklich, weil man sich ja theoretisch auch immer noch ìm LAN befindet.
Plan3:
Ich nutze das zweite LAN-Interface und packe dieses in ein eigenes VLAN, um eine logische Trennung zum LAN hinzubekommen. Eigentlich wahrscheinlich die sinnvollste Lösung (ist dann ja quasi wie eine DMZ), aber dann bräuchte ich einen Router o.ä. der das kann. Der Switch, den ich jetzt habe, kann zwar tagged und untagged Pakete weiterleiten, aber es muss ja auch von der Fritzbox unterstützt werden. Die Fritzbox kann ja von Haus aus keine VLANs, wenn ich das richtig auf dem Schirm habe.
Ich möchte es möglichst sicher haben, um beruhigt die DS nach außen zu veröffentlichen. VPN dafür ist keine Option, da ich ja "mal eben schnell" Bilder mit externen Leuten teilen möchte.
Wie seht ihr das? Was sollte ich tun, um dies umzusetzen? Ich bin über Meinungen und weitere Lösungsansätze sehr denkbar.
Vielen Dank Viele Grüße!
ich plane, meine DS 920+ nun auch übers Internet zu veröffentlichen, um einfacher mit der Familie und mit Freunden Bilder zu teilen und gemeinsame Kalender usw. einzurichten etc. Aktuell nutze nur ich per VPN (Fritzbox), um von unterwegs zugreifen zu können. Nun möchte ich es aber auch erweitern, sodass "jeder" Zugriff hat.
Da ich IT-mäßig beruflich unterwegs bin, ist die technische Umsetzung kein Problem. Ich tu mich gerade nur schwer, für DS die richtige Art der Veröffentlichung zu wählen, um das Ganze möglichst sicher zu machen. Ich hätte ein paar Ideen, die ich gerne hier einmal kurz mit euch diskutieren möchte.
Aktuelles Szenario:
DS hängt an Unmanaged Switch, Uplink vom Switch an Fritzbox, Fritzbox geht ins Internet und Fertig. Aktuell DS nicht öffentlich freigegeben, Einwahl per VPN auf die Fritzbox und von dort aus dann weiter auf die DS.
Plan1:
Nun könnte ich natürlich einfach die entsprechenden Ports der DS an der Fritzbox freigeben, DDNS einrichten und das wars. Damit habe ich aber irgendwie Bauchschmerzen, wenn quasi die DS für jeden erreichbar ist und man sich dann in meinem LAN befindet. Klar macht das Port-Forwarding die Fritzbox und eben nur für die bestimmten Ports, aber irgendwie habe ich dabei ein schlechtes Gefühl. (Es sei denn, ihr nennt mir noch Dinge, die mein Gefühl beruhigen... ;-)
Plan2:
Ich nutze das zweite LAN-Interface der DS und gebe diesem eine zweite IP im LAN. Dann würde man darüber die Veröffentlichung der jeweiligen Dienste machen und hätte in gewisser Weise eine Trennung zu dem "normalen" LAN-Interface. Gefällt mir aber auch nicht so wirklich, weil man sich ja theoretisch auch immer noch ìm LAN befindet.
Plan3:
Ich nutze das zweite LAN-Interface und packe dieses in ein eigenes VLAN, um eine logische Trennung zum LAN hinzubekommen. Eigentlich wahrscheinlich die sinnvollste Lösung (ist dann ja quasi wie eine DMZ), aber dann bräuchte ich einen Router o.ä. der das kann. Der Switch, den ich jetzt habe, kann zwar tagged und untagged Pakete weiterleiten, aber es muss ja auch von der Fritzbox unterstützt werden. Die Fritzbox kann ja von Haus aus keine VLANs, wenn ich das richtig auf dem Schirm habe.
Ich möchte es möglichst sicher haben, um beruhigt die DS nach außen zu veröffentlichen. VPN dafür ist keine Option, da ich ja "mal eben schnell" Bilder mit externen Leuten teilen möchte.
Wie seht ihr das? Was sollte ich tun, um dies umzusetzen? Ich bin über Meinungen und weitere Lösungsansätze sehr denkbar.
Vielen Dank Viele Grüße!
