Externer Zugriff - Mal wieder....

[appel2000]

Hallo Zusammen,

ich weiss, das Thema wurde nun schon das ein oder andere Mal behandelt, aber je mehr ich lese, desto weniger blicke ich durch (Wald und Bäume und so).

Eigentlich möchte ich nur wissen, welcher Zugang auf meine DS213 von aus die für mich passende Lösung ist:

Auf meiner DS sind keine hochsensiblen Daten, aber dennoch möchte ich nicht unbedingt, dass jeder x-beliebige Möchtegern durch einfachste Mittel an die Daten kommen kann.
Eine gewisse Sicherheit sollte also gewährleistet werden.

An externen Geräten kommt (theoretisch) die gesamte Bandbreite vor:
Mac, Win, iOs und Android.

Wenn ich jetzt mal die drei mir bekannten Varianten des externen Zugriffs nenne, dann hoffe ich das ihr mir eine Empfehlung geben könnt, was eine gute Mischung aus Bedienung und Sicherheit darstellt:

1.) Dynamic DNS
2.) QuickConnect (ist ja im Prinzip wie 1., oder?): Ports am Router freischalten oder nicht?
3.) VPN

Gerne auch eine Mischung aus allem.

Ich bin zwar nicht ganz unbegabt, aber dennoch möchte ich nicht jedesmal, wenn ich von extern zugreifen will (kommt nicht so häufig vor) erst 30 Min an dem Endgerät rumdoktoren, bis das klappt.


Ich hoffe Ihr könnt mir weiterhelfen!

Danke vorab und einen schönen Abend!

Steffen

 

[jugi]

Wenn es immer die gleichen Geräte sind (können schon viele sein, nur eben nicht ständig neue), dann ist VPN schon ein sehr gutes Mittel.
Quickconnect oder DynDNS ist n bissl wie Pest und Cholera, such dir was aus QC hat den Vorteil auch an DS-Lite Anschlüssen zu funktionieren.

 

[Tommes]

ich weiss, das Thema wurde nun schon das ein oder andere Mal behandelt...

Du bist lustig. Das ein oder andere Mal behandelt... ich würde wohl eher sagen, das Thema ist zu einer Dauerschleife geworden. Aber wir wären ja nicht WIR, würden wir dir nicht weiterhelfen, von daher...

Lies am besten mal *hier* weil da schon recht viel zum Thema Sicherheit und Absicherung drinsteht. Sollten dann noch Fragen offen sein, dann einfach melden. Ich hab noch einen ganzen Sack voll Links zum Thema in Petto

Tommes

 

[appel2000]

Habe ich schon gelesen, daher ja die Ansage: Wald und Bäume.

Also, da alle Apps ja so schön mit dem Quickconnect funktionieren, dann würde ich es gerne mal damit versuchen.

DSM sagt mir ja da in den Einstellungen auch den Link an, den ich benutzen soll.
Soweit, so gut.
Wenn ich drauf klicke, mich anmelde, geht alles (nicht nur aus dem heimischen Netz, sondern immer. Das hab ich schon getestet)
Je nach Benutzer ist dann nur die normale DSM Oberfläche mit File Station und Audio Station zu sehen.
Port 5001 habe ich am Router weitergeleitet, passt.

Nehme ich den Port 5001 jetzt aber raus, kann ich nicht mehr verbinden.
Obwohl dieser doch für die File Station wohl gar nicht gebraucht wird, oder?

Wo ist mein Denkfehler?

Und: Sollten HTTP Verbindungen automatisch zu HTTPS umgeleitet werden? Ist diese Option sinnvoll?

 

[Tommes]

Ich halte nicht viel von Quickconnect, aber das ist meine persönliche Meinung. Zur Areitsweise von Quickconnect findest du *hier* was passendes (leider nur in Englisch) Für den Notfall hat Quickconnect sicherlich seine Daseinsberechtigung, mehr aber auch nicht.

Der Port 5000 bzw. 5001 gehört dem DSM und dieser gehört für mich nicht durchs Internet zugänglich gemacht, weil du innerhalb des DSM's auch alle Anwendungen sowie Systemeinstellungen erreichen kannst. Wie du in dem von mir verlinkten Thread vielleicht gelesen hast, kannst du die FileStation auch gezielt über den Port 7000 bzw. 7001 ansprechen und somit verhindern das sich jemand im DSM breit macht. Gleiches gilt für jede (soweit mir bekannt) andere Anwendung bzw. Paket.

Bei http werden alle Daten unverschlüsselt über den Äther transportiert, so auch deine Zugangsdaten. Daher sollten heutzutage nach Möglichkeit alle Zugriffe über https, also verschlüsselt übertragen werden. In der Regel reicht diese Art der Verschlüsselung auch und wem es nicht reicht, der nutzt halt VPN.

Tommes

 

[winka]

Es ist schon sicherer von außen per VPN auf die DSM-Oberfläche zuzugreifen. Überhaupt ist VPN sehr praktisch.
Aber in Hotels kann man über deren Wlan manchmal kein VPN nutzen, daher ist eine zweite Möglichkeit von Vorteil.
Die Geschwindigkeit ist durch VPN eingeschränkt!

Quick Connect lässt manche DS nicht in den Ruhestand gehen.

 

[Tommes]

Es ist schon sicherer von außen per VPN auf die DSM-Oberfläche zuzugreifen.

Wenn ich denn auf den DSM zugreifen muß, dann mach ich das auch via VPN. Deshalb schrieb ich ja, das der DSM nicht ins Internet gehört. Aber wenn ich "nur" als Benutzer mit eingeschränkten Rechten auf die Filestation zugreifen möchte ist imho https ausreichend und vertretbar.

Tommes

 

[jugi]

Aber in Hotels kann man über deren Wlan manchmal kein VPN nutzen

In solchen Hotels willst du aber erst recht nicht deine Daten (unverschlüsselt) durch deren Netz jagen…

Die Geschwindigkeit ist durch VPN eingeschränkt!

Minimal, das ist eigtl. zu vernachlässigen.

 

[winka]

@Tommes
War allgemein gemeint und pro VPN. ;-)
Du hast natürlich recht.

 

[appel2000]

Da kommen wir der Sache doch schon näher:

Ich kann also auf die FileStation direkt zugreifen, dann wird der Port 7000 bzw 7001 verwendet, korrekt?
Dann muss ich nicht den Umweg über DSM machen, und der Port 5000 / 5001 wird somit nicht benötigt?
Dann kann ich aber nicht die Adresse http://QuickConnect.to/xyz benutzen, sondern eine andere?
Welche?

Die Apps für iOs bzw Android nutzen eh die "richtigen" Ports?
Bspw 7000 7001 bei der File Station App, korrekt?

Einfach gesprochen:

Ich bin unterwegs und hab mein Laptop nicht dabei, dann nutz ich IPhone und die Apps. Punkt.
Das mach ich dann mit Quickconnect, sichere Verbindung und einem sehr guten Passwort, richtig so?

Auf dem Lap richte ich einen VPN ein, mit diesem kann ich dann auch von unterwegs als "Admin" agieren?

Und wenn ich jetzt unterwegs bin, die Freigabe in den Explorer oder Finder einbinden will, dann nutze ich webdav?

Hab ich das so richtig zusammengefasst?

Muss ich bei Quickconnect zwingend Ports freigeben? Ich vermute mal, aber ich frag lieber nochmal nach....

Danke für die Geduld

 

[Tommes]

Ich kann dir nicht viel zu Quickconnect sagen, da ich einen großen Bogen darum mache.

Normalerweise hängt man an die URL den gewünschten Port mit dran, wobei auch hier zwischen http und https Ports unterschieden werden muß. So ist der Port 7000 für die Filestation der http und der Port 7001 der https Port. Demnach müßte es heißen...

http://Quickconnect.to:7000

Oder eben

https://Quickconnect.to:7001

Letzteres in Verbindung mit einem starken Passwort wäre somit eine gute und sichere Eintrittskarte zur FileStation. Ich weiß grad nur nicht. Ob das mit Quickconnect so geht, sollte aber.

Mobile Apps nutzen neben den oben genannten Ports bzw. Protokoll auch gerne WebDAV. Hier sind die Ports 5005 (unverschlüsselt) bzw. 5006 (verschlüsselt). Das Verfahren ist das gleiche wie oben, nur das Protokoll ist ein anderes.

Ich mach das z.B. so. Mit meinem iPhone Spanne ich ein VPN nach Hause, über meine Fritzbox auf. Innerhalb des (VPN)-Tunnels kann ich mich dann bewegen, als wäre ich in meinem lokalen Nezwerk und habe auf alles Zugriff. Nun nutze ich gelegentlich aber auch ganz gerne mal die Filestation, weshalb ich diese auch über den Port 7001 auch ohne VPN von jedem Punkt der Erde erreichen kann (wenn ich denn will) Als DDNS-Anbieter nutze ich jedoch nicht Synology VS. Quickconnect, sondern einen x-beliebigen... auch die Ports habe ich von Hand in meinem Router eingetragen, welche neben VPN (wird über die Fritzbox verwaltet) nur der Port 7001 sowie 80/443 ist. Fertig. Mehr brauch ich nicht.

Tommes

 

[appel2000]

Das klingt doch mal ganz vernünftig.
Ob ich es umgesetzt bekomme, schauen wir dann mal aber ich versuche es.

Nur noch zwei Fragen:

Welchen DDNS Anbieter nutzt Du?
Klappt das mit den Zertifikaten? Oder ist das nicht so wild? (Das war jetzt alles EINE Frage )

WebDAV hab ich soweit auch verstanden.
Macht es denn jetzt Sinn, die Laufwerke auch im Heimnetzwerk über WebDAV einzubinden?
Ich denke da gerade an meine Freundin, die sicherlich nicht Lust hat (und wohl auch nicht den absoluten Durchblick) mit Ihrem Win sich die Laufwerke "normal" (via smb, wenn ich nicht irre) einzubinden und unterwegs dann wieder was anders machen muss. Verstehst? Es soll, wenn möglich, immer gleich sein. Oder gibts da Probleme/Einschränkungen, die dagegen sprechen?

 

[Tommes]

Aktuell nutze ich spdns.de als DDNS-Anbieter. Zertifikat hab ich, aber nur ein unsigniertes was für meine Zwecke aber vollkommen ausreicht. Ich hab mich auch noch nicht näher mit Zertifikaten beschäftigt, ich weiß zwar wie ich eins generieren kann, jedoch nicht wie man ein signiertes Zertifikat einbindet. Ist noch eine Wissenslücke, die ich noch schließen muß. Aber ich arbeite an mir

Laufwerke im Heimnetzwerk mit WebDAV einzubinden halte ich für keine so gute Idee, da würde ich lieber zu SMB (Samba) greifen. SMB hat aber nichts im Internet zu suchen, sondern gehört ausschließlich ins LAN. Verschlüsseltes WebDAV per DDNS einzubinden ist jedoch schwierig, da brauchst du auch ein Zertifikat für. HIer würde eher VPN passen, wenn überhaupt.

Tommes

 

[heavy]

Ich habe selfhost.de, da ich auch den Mail Relay server von denen nutze um mit meiner DS über meine Domain mails versenden zu können. Für meine Domain habe ich bei startssl ein Zertifikat erstellt und eingebunden, wenn man sich ein bisschen damit beschäftigt und das video von idomix nicht 1zu1 umsetzt sondern nur als hinweis nimmt, dann klappt das auch "relativ" einfach. Webdav einzubinden ist (anscheinend, wie man hier liest) wegen dem benötigten zertifikat nicht ganz so einfach, ich selber habe es noch nicht eingerichtet.

 

[appel2000]

Genau die Videos von idomix haben mich ein bisschen verwirrt.
Aber die sind ein guter Anhaltspunkt, dass stimmt.

Also ich hab mich jetzt ma bei spdns registriert und schau mal, wie es weitergeht.

Soweit schon einmal danke für die Hilfe!

 

[appel2000]

Ich muss noch einmal einhaken.
Also DDNS über spdns klapt soweit.
Muss noch ein bisschen hin und her testen, aber so langsam läuft das.

Ins Thema VPN hab ich mich auch schon reingeschafft, zumindest wie man den Server der Box einstellt und somit einen "Tunnel" öffnen kann.

Jetzt meine Fragen:

Ich eröffne mit dem Laptop einen VPN.
Wie komme ich dann auf meine Diskstation?
Durch Eingabe der ganz normalen IP in den Browser, die ich auch im Heimnetzwerk verwenden würde?

Im Prinzip schließt sich meine zweite Frage direkt dort an, nämlich die Nutzung der Apps auf einemal Smartphone:
Ich klinke mich mittels OpenVPN sicher "zu Hause" ein, muss dann als Zugangsdaten in den Apps ebenfalls die Ip der Station im Heimnetz verwenden.
Eröffne ich den Tunnel NICHT, sondern greife mittels App auf die Station zu, verwende ich die DDNS Adresse?

Hab ich das richtig verstanden?

 

[Tommes]

Genauso ist es!

 

[appel2000]

Ein letzes Mal muss ich noch einmal um Hilfe bitten...ich nerv mich ja schon selbst, sorry....

Ich habe den OpenVPN Server auf der DS installiert.
Da kann man ja jetzt nicht soo viel falsch machen (glaube ich zumindest)
Den Port an der Fritzbox freigeschaltet (wieso wird hier jetzt eigentlich der UDP Port vorgeschlagen??)
Konfigurationsdateien exportiert und die IP angepasst
Tunnelblick auf dem Mac installiert
Dateien einlesen lassen

Klick auf verbinden, er verbindet auch, will Konto und Passwort wissen (meckert auch nicht rum nach dessen Eingabe) und jetzt....Warten auf Server Antwort bis zum Time Out....

Ich vermute, ich habe die IP in den Config Dateien falsch angeben
hierzu nutze ich ja meine spdns adresse.
Jetzt die Frage: In welcher Form muss ich die eintrageb?
a) https://xyz.spdns.de:Port
b) http......und so weiter
c) ohne Doppelpunkt vor dem Port?

Oder wo könnte denn der Fehler sein?

Danke!

 

[goetz]

Hallo,
in der config Datei einfach nur
xyz.spdns.de
ohne Protokoll und Port.

Gruß Götz

 

[appel2000]

das war es nicht

fehlermeldung
Tunnelblick konnte OpenVPN nicht starten, um openvpn zu verbinden. Für Details sehen Sie bitte in das VPN Details… Fenster