Fernzugriff, was ist die beste Möglichkeit

Status
Für weitere Antworten geschlossen.

b1gt4nk

Benutzer
Mitglied seit
27. Dez 2012
Beiträge
95
Punkte für Reaktionen
0
Punkte
0
Hallo,

Ich bin zur Zeit am überlegen wie ich es meinen Geräten ermögliche per Fernzugriff auf meine DS zuzugreifen. Es gibt ja eine Menge Möglichkeiten aber da ich nicht all zu tief in den Themen stecke fällt es mir etwas schwer mich für eine Möglichkeit zu entscheiden. Welche Vor- und Nachteile haben die einzelnen Varianten? Kann mir das eventuell jemand sagen? Vielleicht kann ich anhand dessen eine Entscheidung fällen. Grundsätzlich sollte es auch möglich sein mal mit dem Laptop (Windows und Mac) von außen zugreifen zu können. Und die ganzen DS Apps sollen auch funktionieren (iPhone).

Möglichkeiten:

1) Qucikconnect: so richtig verstehen wie das läuft tue ich nicht. Wie sieht es hier mit der Sicherheit aus? Auch bezüglich ungewollten zugriffen von außen? Geht das auch mit Laptop?
2) VPN einrichten und alle Devices die Herstellung der VPN Verbindung ermöglichen. Sehe grade noch keine Nachteile. Scheint ja recht simple zu sein wenn es eingerichtet ist.
3) DDNS einrichten und schlicht und ergreifend Ports weiterleiten. Das hatte ich schonmal habe die Ports dann aber aufgrund von Sicherheitsbedenken (bin da nicht so tief im Thema) erstmal wieder geschlossen.

Ich wäre dankbar für jede Hilfe.

Grüße

Pascal
 

the0bone

Benutzer
Mitglied seit
18. Jan 2014
Beiträge
183
Punkte für Reaktionen
0
Punkte
0
Also Quickconnect ist auch nichts anderes als DDNS.
Die DS meldet sich halt nur bei Syno an. Dadruch kennen die deine aktuelle IP und wenn du mit der Quickconnect ID kommst, wird das da übersetzt.
Wenn du aber deine Firewall zu hast, dann hilft es dir genauso wenig wie bei DDNS.

Die Frage nach den Zugriffen richtet sich aber primär nach: Wozu brauchst du es?
VPN = Du bist unterwegs wie zuhause. Ordnerstruktur etc. Kannst auch deine lokalen Drucker ansprechen usw. usw.
Ports öffnen = du kannst nur auf die Dienste dort zugreifen.

Beispiel iPhone und DS Cam App. Wenn du erst eine VPN aufmachen willst und dann auf DS Cam was zu sehen... mir zu aufwändig!
Zumal die VPN im Sperrbildschirm wieder geschlossen wird.
Stell die https Verbindung her und es geht immer.

Willst du aber voll in der Ordnerstrucktur arbeiten, dann kommst du um VPN nicht herrum. Weil der DSM File Browser ja nicht ganz die Haptik der natürlichen Betriebssystemumgebung hat.

Zur Sicherheit?
Wenn du die Portfreigaben auf https setzt, dann sind die sicher. Mehr Sicherheit hat deine Bank ja auch nicht!
Wenn du dann mit Blacklist und block nach x Anmeldeversuchen etc. die DS absicherst, dann ist alles getan.
 

b1gt4nk

Benutzer
Mitglied seit
27. Dez 2012
Beiträge
95
Punkte für Reaktionen
0
Punkte
0
ok also würde aus deiner Sicht die Portweiterleitung der https Ports in Verbiindung mit dem Zugriff über die DDNS dann das empfehlenswerteste sein? An sich bin ich relativ selten mit dem Laptop wo anders und wenn dann packe ich mir wichtige Daten in meine Cloudstation wo ich das dann ja eh auf dem Laptop gespeichert habe.

Dann werde ich mich wohl nocheinmal mit der https Verbdinung austoben. Nur um nochmal die Schritte nachzuvollziehen:
1) Entsprechend Ports ausfindig machen und in dem Router an die DS weiterleiten.
2) DDNS einrichten und diese als Zugang in den DS Apps nutzen.
3) Blacklist und block einstellen um Fernzugriffe mit Passwort rumrprobieren auszuschließen.

Und dann bin ich auf der sicheren Seite ohne mir gedanken machen zu müssen das jemand von außen die DS hackt? (auch wenn es möglich ist aber mit relativ hohem Aufwand?)
 

tops4u

Benutzer
Mitglied seit
12. Sep 2013
Beiträge
126
Punkte für Reaktionen
0
Punkte
16
Wenn Du ein Smartphone hast würde ich noch 2-Way Authentication z.B. mit dem Google Authenticator App verwenden.
 

the0bone

Benutzer
Mitglied seit
18. Jan 2014
Beiträge
183
Punkte für Reaktionen
0
Punkte
0
Und was machst du, wenn der Dienst eingestellt, gestört ist, iPhone geklaut, verloren, nicht zur Hand... dann gehts nicht.

Ist zwar OT aber da sollte jemand drauf hingewiesen werden, wenn er es anmachen sollte!
 

Scholle

Benutzer
Mitglied seit
05. Mrz 2013
Beiträge
111
Punkte für Reaktionen
0
Punkte
22
Und was machst du, wenn der Dienst eingestellt, gestört ist, iPhone geklaut, verloren, nicht zur Hand... dann gehts nicht.

Das hab ich eine Mailadresse hinterlegt auf die die DS mir dann meinen Code schickt!!!!
 
Zuletzt bearbeitet:

tops4u

Benutzer
Mitglied seit
12. Sep 2013
Beiträge
126
Punkte für Reaktionen
0
Punkte
16
Und was machst du, wenn der Dienst eingestellt, gestört ist, iPhone geklaut, verloren, nicht zur Hand... dann gehts nicht.

Was für ein Dienst? Du hast Dich scheinbar noch nicht so damit beschäftigt. Das ist kein Dienst sondern ein zeitgesteuerter One Time Code. Wenn er nicht mehr geht oder sonst was kannst Du Dir wie geschrieben einen Recovery Code zusenden lassen.
 

b1gt4nk

Benutzer
Mitglied seit
27. Dez 2012
Beiträge
95
Punkte für Reaktionen
0
Punkte
0
was genau ist 2-Way Authentication und wie muss ich mir das praktisch vorstellen? Wird da ein zusätzliches Paket auf der Synology installiert?
 

Fozzybaer

Benutzer
Mitglied seit
08. Jan 2011
Beiträge
146
Punkte für Reaktionen
0
Punkte
0
Die 2 Wege Authentifizierung ist eine Erweiterung des "normalen" Logins mittels Benutzername und Passwort, um einen "zweiten" Weg. Im Fall von Synology zum Beispiel dem Google Authenticator.
Was passiert also?
Zunächst meldest du dich an deiner DS mit deinem normalen Benutzernamen und Passwort an. Anschliessend fordert dich die DS auf einen 6 Stelligen Code einzugeben.
Diesen Code bekommst du über die Google Authenticator App auf deinem Smartphone. Diese verknüpft deine Mailadresse mit der App. Der Code wechselt alle 60 Sek.
Sobald du diesen Code bei deiner DS eingetragen hast, prüft die DS gegen Google, ob der Code zu diesem Zeitpunkt gültig ist.
Wenn ja, erfolgt der Login. Wenn nicht wird das als fehlerhafter Zugriffsversuch gewertet und du kannst es erneut versuchen.

An und für sich ist diese "dynamische" Art ein Passwort zu generieren den statischen Passwörten vorzuziehen.
 

Merthos

Benutzer
Mitglied seit
01. Mai 2010
Beiträge
2.709
Punkte für Reaktionen
2
Punkte
84
Sobald du diesen Code bei deiner DS eingetragen hast, prüft die DS gegen Google, ob der Code zu diesem Zeitpunkt gültig ist.
Nee, da ist nix Google drin. Der Code wird basieren auf einem gemeinsamen Geheimnis und der aktuellen Zeit berechnet.
 

tops4u

Benutzer
Mitglied seit
12. Sep 2013
Beiträge
126
Punkte für Reaktionen
0
Punkte
16
Genau. Dazu ist vom Smartphone aus auch keine Internetverbindung erforderlich. Das läuft alles Zeitgesteuert (dazu muss natürlich die DS wie auch das Smartphone über die korrekte Zeit verfügen, da das Zeitfenster für die Codegültigkeit eben jeweils nur 60sec ist). Ansonsten hat auch Google damit nix zu tun, die bieten lediglich die App an, da die auch für den Login bei Google oder z.B. auch für Amazon AWS verwendet werden kann.

Um das aufzusetzen zeigt die DS einen QR Code an, welchen man abfotografiert und anschliessend einen ersten Prüfcode eingibt. Ab dann akzeptiert die DS nur noch einen Login mit User, Password & dem aktuell gültigen 6 Zahlen Code.

Vorteil : Auch wenn User & Passwort mal bekannt/geklaut sein sollten (ist immer noch möglich z.B. wenn man IMAP/SMTP zur Verfügung stellt, da da ein 2 Way Authentication nicht geht) kann man immer noch nicht auf die DS selbst einloggen.
 

b1gt4nk

Benutzer
Mitglied seit
27. Dez 2012
Beiträge
95
Punkte für Reaktionen
0
Punkte
0
geht das auch mit iO? hört sich an sich zwar sehr sicher aber auch recht umständlich an wenn man mal von unterwegs darauf zugreifen will.
 

the0bone

Benutzer
Mitglied seit
18. Jan 2014
Beiträge
183
Punkte für Reaktionen
0
Punkte
0
Du hast Dich scheinbar noch nicht so damit beschäftigt.
Jup, da ich ja grad mit inhouse Hosting von allem was Google oder Dropbox oder so heisst weg wollte.

Google Authenticator App
Und das Ding ist Standalone und kein Google Dienst, wo ich eine Verbindung zu Google brauche oder Google quasi den Code kennt?
Also das gleiche wie SecurID? Das kenne ich von VPN her.

dazu muss natürlich die DS wie auch das Smartphone über die korrekte Zeit verfügen, da das Zeitfenster für die Codegültigkeit eben jeweils nur 60sec ist
Und genau dort hatte doch ein anderer User hier im Forum sein Problem.
 

b1gt4nk

Benutzer
Mitglied seit
27. Dez 2012
Beiträge
95
Punkte für Reaktionen
0
Punkte
0
habe heute mal versucht VPN einzurichten. Aus dem eigenen LAN klappt die Verbidnung zu der Synology dann auch. Aber aus dem 3G netzt wird mir jedes mal gesagt "DER Client antwortet nicht".

Habe ich es richtig gemacht? Ich habe in der Synology einen DDNS eingerichtet. In der Fritzbox habe ich den 1723 Port an die Synology weitergeleitet. In der Synology Firewall diesen auch auf zulassen gestellt. Der Zugriff funktioniert aber nicht. Mache ich was falsch?
 
Mitglied seit
10. Jan 2014
Beiträge
393
Punkte für Reaktionen
0
Punkte
0
Ich würde für Ddns und Vpn die Fritte nehmen, weil:

- die Fritte weiss sowieso, wann sich ihre externe IP ändert. Die DS weiß das nicht und muss m.E. ständig pollen
- wenn jemand den VPN Zugang hackt, hat er trotzdem noch keinen Zugriff auf deine Daten...bei der DS wäre ich da unsicher
- die Fritte ist sowieso immer an, die DS kann schlafen, oder aus sein
 

joku

Benutzer
Mitglied seit
06. Mrz 2011
Beiträge
6.664
Punkte für Reaktionen
2
Punkte
164
Aber aus dem 3G netzt wird mir jedes mal gesagt "DER Client antwortet nicht".
Hallo,
sind bei Deinem Anbieter Ports gesperrt ?
Hast Du es mal mit einem anderen Gerät versucht ?
Von einem Bekannten oder Kollegen ?
Die Synology Firewall mal ausgeschaltet ?

Gruß Jo
 

b1gt4nk

Benutzer
Mitglied seit
27. Dez 2012
Beiträge
95
Punkte für Reaktionen
0
Punkte
0
@Ameisentaetowierer: Wie stelle ich das ganze denn dann über die Fritzbox ein? Und wieso sind dann meine Daten noch sicher selbst wenn der VPN Zugang gehackt wird?

@joku: Ein anderes Gerät habe ich nicht probiert. Nur halt ob es im eigenen Netzt funktioniert. Synology Firewall war auch zwischendurch mal aus. Hat auch nichts gebracht.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat