Externer Zugriff beste Möglichkeit

[Noa]

Hi zusammen,

ich habe schon einiges gelesen aber alles sehr verwirrend für mich , bin kein Netzwerkexperte aber fuchse mich gerne in Sachen rein.
Ich würde gerne wissen was ist die beste Möglichkeit sich extern mit der Diskstation zu verbinden? Für mich selber aber auch um mal Freigaben zu erstellen.
- Quickconnect?
- VPN Server?
Oder doch was ganz anderes?

Ich habe einen Anschluss bei der deutschen Glasfaser und somit ipv6 denke ich. Mein Router ist eine FB7590 und ich nutze ausschließlich Apple falls das eine Rolle spielt.

Wäre über jeden Tipp dankbar in welche Richtung ich recherchieren soll.

Vg

 

[EDvonSchleck]

VPN über Fritzbox.

 

[Noa]

VPN über Fritzbox.

Fritzbox unterstützt VPN nur mit ipv4 oder liege ich da falsch?

 

[EDvonSchleck]

Ich würde sowieso auf das neue Wireguard (Labor) wechseln. Das läuft auch als Docker. Das neue FritzOS 7.50 steht in den Startlöchern, bei der Labor wurden in den letzten Updates nur noch kosmetische Fehler gefixt.

Ich würde die Labor nehmen, wenn es einfach sein soll, oder den Docker wenn du mehr Kenntnisse hast.

Anleitung: https://www.youtube.com/watch?v=cVtolpJanqM&t=996s
Labor: https://avm.de/fritz-labor/frisch-aus-der-entwicklung/frisch-aus-der-entwicklung/

 

[Gulliver]

Gut funktioniert auch ein Raspi mit pivpn/wireguard im Heimnetz. Sind letzthin etwas teuer geworden, aber falls man noch einen übrig hat...

 

[Noa]

Wireguard sieht ja sehr interessant aus, ich denke das werde ich mal probieren auf der FB.
Was ich dabei noch nicht verstehe, habe ich es auf der FB eingerichtet und möchte zb per Drive eine Datei freigeben, wie läuft das dann?

aber falls man noch einen übrig hat...

Hab sogar einen aber den möchte ich jetzt eigentlich in rente schicken

 

[Stationary]

eigentlich in rente schicken

Darfst ihn gerne zu mir schicken…

 

[plang.pl]

Freigaben gehen dann nur, wenn die Zielperson sich auch per VPN verbinden kann.
Außer:
-du richtest dennoch ein DDNS mit direkter Portweiterleitung nur für Freigaben an
-oder du nutzt einen Filesharer Dienst (vielleicht mit CloudSync) und gibst die Daten dort frei

 

[Noa]

Ok also Wireguard ist dann nur für mich und für freigaben könnte ich dann einfach weiterhin Quickconnect nutzen?
Ist das auch so wenn ich Wireguard auf der DS installiere?

 

[plang.pl]

QuickConnect kannst du unabhängig von Wireguard nutzen (was aber ja im Idealfall auf dem Router läuft und nicht auf der DS).
Würd ich aber nicht empfehlen. Stattdessen ein DDNS einrichten und für Drive (oder die FileStation, je nachdem, wie/wo die Freigabe läuft) einen separaten Port vergeben (im Anmeldeportal (DSM7)/Anwendungsportal (DMS6)). Dann nur diesen Port weiterleiten, sodass das Admin Interface der DS nicht von außen erreichbar ist

 

[Thonav]

QuickConnect funktioniert aber problemlos mit IPv6...

 

[plang.pl]

Stimmt. Aber der richtige DDNS-Anbieter kann das auch - ohne alles nach außen über einen "Proxy" freizugeben

 

[Noa]

Aber der richtige DDNS-Anbieter kann das auch - ohne alles nach außen über einen "Proxy" freizugeben

Also ist ein richtiger DDNS Anbieter sicherer als Quickconnect?
Hab auch irgendwo gelesen das QC ziemlich langsam sein soll, stimmt das?
Welche DDNS Anbieter sind zu empfehlen?

 

[EDvonSchleck]

VPN ist immer nur etwas für einen kleinen und bekannten Kreis (z.B. Familie) da du bei VPN zugriff auf dein komplettes LAN erhältst.
Für dein Vorhaben Bilder mit möglichen Kunden zu teilen taugt das VPN als nur bedingt. Da musst du eher eine Freigabe über den Ordner, Fotos oder über eine Docker App wie z.B. Lychee machen. Ich finde Ein Kunde sollte direkt auf die Dateien etwas herunter laden können ohne eine App zu installieren. Dazu würde ich auch nicht gerne für einige Zugriffe Benutzerkonten in der DS anlegen wollen. Somit würde ich eher in Richtung Lychee gehen - das ist aber meine Einstellung, dir kann etwas anderes natürlich besser gefallen. Andere User hier sehen das bestimmt auch anders. Du müsstest dir alles selbst einmal ansehen und anschließend entscheiden was dir besser gefällt,

Was die DynDNS angeht würde ich es nicht über Synology machen. Der Dienst ist nicht ganz durchsichtig und Quickconnect hat eine Limitierung. Für deine Ansprüche sollte schon eine eigene Domain geschaltet sein. Diese kostet nicht viel, In den Einstellungen gibt du dein IPv6 oder deine Myfritz-Adresse an und fertig ist die Sache. Wenn du dazu noch mit Subdomains arbeitest z.B. photo, bitwarden, file usw. kannst alles einfach erreichen und musst auch nicht für jede Anwendung einen Port öffnen. Es sollten,(wegen der Sicherheit) so wenig wie möglich und so viele wie nötig Ports geöffnet sein. Dazu sollte die Firewall auch richtig konfiguriert sein.

Beachte aber bitte das User (Kunden) ohne IPv6 keine Zugriff erhalten! Wenn das gewünscht musst du bei deinen ISP nach eine IPv4 anfragen (ggf. kostenpflichtig) oder einen Portmapper nutzen oder sogar dieses selbst mit einen VPS bereit stellen.

Auch gehört zu der DynDNS/Domain ein gültiges Zertifikat. Damit man das nicht extra kaufen muss oder vergisst es zu aktualisieren gibt es acme.sh. Damit ist es ganz einfach ein Zertifikat incl Subdomain oder Wildcard auszustellen und in der DS zu importieren. Der Vorteil dabei ist das du keine Ports dafür geöffnet haben musst. Unterstützte Domains und DynDNS findest du hier und hier

Ich denke du hast noch eine Menge Arbeit vor dir. Einfach einen NAS hinstellen einen Ordner/Bilder freigeben ist nicht wirklich zu empfehlen. Es sei denn du machst dir keine Gedanken über die Sicherheit.

 

[Synchrotron]

QC würde ich nicht Dritten mitteilen und damit letztendlich frei ins Netz stellen. Unabhängig von der Performance, QC ist ein persönlicher Zugang.

Der korrekte Weg zu Freigaben wurde im Thread schon beschrieben. Erwähnt werden sollte, dass ein Restrisiko bleibt: Sollte eine Lücke in der verwendeten Software vorhanden sein (speziell bei einem Zero Day Exploit), kannst Du alles richtig eingestellt haben, und trotzdem wird alles verschlüsselt oder gelöscht.

Daher: Wenn 1 Gerät im Heimnetz nach außen geöffnet ist, gehört zwingend eine wasserdichte Backuplösung dazu.

 

[Noa]

@EDvonSchleck
Vielen Dank für deine Ausführliche Antwort!

VPN ist immer nur etwas für einen kleinen und bekannten Kreis (z.B. Familie) da du bei VPN zugriff auf dein komplettes LAN erhältst.

Das war auch der Hauptgrund für die Anschaffung der Diskstation , mich und meine Familie aus den Cloud fängen zu lösen. Ich denke da ist Wireguard direkt auf der Fritzbox gut, werde das auch umsetzten.

Ich finde Ein Kunde sollte direkt auf die Dateien etwas herunter laden können ohne eine App zu installieren. Dazu würde ich auch nicht gerne für einige Zugriffe Benutzerkonten in der DS anlegen wollen.

Sehe ich zu 100% genau so.
Hab mir das alles ehrlich gesagt einfacher vorgestellt, werde das vorerst weiter über Cloud Dienste machen und mich da erstmal einlesen müssen.
Wenn das direkt auch über Synology Photos gut funktionieren würde fände ich ganz gut denke ich.

 

[EDvonSchleck]

Ich denke auch das VPN die beste Lösung für dich und deine Familie ist. Du kannst damit entspannt auf alle Dienste und Geräte zugreifen welche in deinen gesamten Netzwerk laufen.

Das andere würde ich zum Schluss einrichten. gerne kannst du mir ein Testaccount von deiner Cloud mir per pm zusenden. Eventuell kann ich dir denn sagen was am näherten in Frage kommt. Ich kann ja nicht wissen ob einfach nur ein Ordner mit den Files ist oder eine Bildervorschau. Auch kannst du natürlich beim Umstieg jetzt auch alles anders bzw. besser machen

 

[Noa]

ein Testaccount von deiner Cloud mir per pm zusenden. Eventuell kann ich dir denn sagen was am näherten in Frage kommt

Nutze momentan Dropbox und Picflow.
Ersteres ist ziemlich einfach zu ersetzen denke ich ( wenn das mit der Verbindung geklärt ist ) aber Picflow wird schwer glaube ich , da ist schon sehr umfangreich von den Funktionen

 

[EDvonSchleck]

Ich denke hier wirst du fündig. Eines wird dir bestimmt zusagen.

 

[Noa]

Ich habe eine eigene Webseite bei all-inkl und gerade gesehen das ich da über eine subDomain eine ddns Adresse erstellen kann, das wäre ja perfekt für den externen Zugriff ausserhalb der Familie oder hab ich da jetzt ein denkfehler?