Toggle sidebar

Möglichst sicherer Zugriff auf NAS ohne VPN

So isses, bis auf den Port, das ist 443 :-)

Damit hast du sicherheitstechnisch das Beste erreicht was so möglich ist.

Toppen lässt es sich nur noch mit einem VPN, was man am besten im Router betreibt und nicht auf der Syno. Damit landest du direkt im LAN und es ist so als wärst du mit deinem mobilen Gerät zu Hause und hast alle Optionen eines lokalen Netzwerkes.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: realklaus
Der Vollständigkeit möchte ich zu diesem Thema noch "Tailscale" als Zugriffsoption hinzufügen.
Für mich sehr wichtig geworden für Zugriffe von außerhalb, da ich wegen CGNAT von Starlink weder DDNS noch Wireguard VPN nutzen kann.
Tailscale bietet vollen Zugang, auch z.B. zu Resilio und Syncthing (im Unterschied zu Quickconnect).



P.S.
Hier ist mittlerweile eine tolle Zusammenfassung mit vielen wichtigen Informationen entstanden!
Mein Dank an @realklaus für seine freundliche Beharrlichkeit, das Thema so komprimiert und gut nachzufragen und an alle hier für ihre vielen guten Antworten und Erklärungen!
👍
 
Zuletzt bearbeitet:
  • Like
Reaktionen: realklaus
Hinter Tailscale versteckt sich Wireguard. Natives Wireguard ist so einfach zu konfigurieren dass sich mir der Mehrwert von Tailscale in normalen Internetanschlüssen nicht erschliesst, aber das ist ein anderes Thema und gehört hier eigentlich nicht hin.

P.S.: Tailscale wird in der Cloud gemanaged, da ist also wieder ein anderer Betreiber zwischengeschaltet, der alles konfiguriert.
Wenn überhaupt würde ich dann Headscale verwenden, da es auf dem eigenen System betrieben wird.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: *kw* und ctrlaltdelete
Ich glaube ich würde mir eher einen kleinen VPS holen um eine VPN Verbindung vom Heimnetz zum VPS zu erstellen und dann darüber alles routen lassen. Dann hat man keinen anderen Betreiber dazwischen und ist für alles selber verantwortlich.
 
Das Management in der Cloud ist auch so nen Thema warum ich Tailscale meide und da eher die Variante mit nem VPS bevorzuge
 
VPS, head scale anstatt tailscale usw., Danke für die Infos, kannte ich nicht bisher.
Tailscale wurde hier im Forum mehrfach als Tip genamnt, so bin ich übrigens darauf gekommen.
Ist für mich neu, dass es evtl. bessere//sichere Lösungen gibt.

Bislang war ich auf dem Level, froh zu sein überhaupt etwas gefunden zu haben, was trotz CGNAT funktioniert, da DDNS und Wireguard mit Fritzbox und Starlink hier nicht funktionieren. Solche Probleme kommen in Deutschland vermutlich selten auf; kenne ich auch erst, seit ich nicht mehr in Deutschland lebe.
Und das ich mal froh bin über Quickconnect und Tailscale, das hätte ich früher sicher niemandem geglaubt 😉.
 
Beim VPS wäre dein Einstieg in dein Heimnetz der VPS. Der hat ja statische IPv4 und auch IPv6 IPs. Und dein Heimnetz stellt die Verbindung zum VPS her. Also muss dein Anschluss selber nicht erreichbar sein. Er muss nur nach außen kommunizieren können.
 
Das hört sich super an, fast wie
"Quickconnect, selbst gemacht".
Ich werde mal recherchieren, wie das genau geht.
 
Auch von mir noch mal herzlichen Dank für Hilfe und die gute Anleitung. Soweit ist alles so eingerichtet, wie oben beschrieben, natürlich mit Port 443 @NSFH .
Allerdings habe ich jetzt folgende Meldung erhalten, wenn ich die Systemsteuerung öffne:

Bildschirmfoto 2025-03-02 um 11.24.28.png

Wenn ich auf OK klicke, werden die drei Ports in der Firewall unter global für alle IPs freigegeben.
Das möchte ich nicht, oder?
Wie richte ich die Ausnahmen in der Konfiguration von oben richtig ein?
Danke und Grüße, alex
 
Und muss ich für PPPoE in der Firewall auch Regeln formulieren (mindestens alles verbieten), auch wenn ich das nicht (bewusst nutze)?
 
Du nutzt kein pppoe,(ist deaktiviert) daher brauchst du da auch nichts konfigurieren.

Für den Zugang aus deinem LAN in die Syno musst du wenigstens lokal Port 5001 (https) zulassen.
Wenn du Drive verwendest auch diesen Port. Den kann man leider nicht "verbiegen".

Wenn du SMB, also Freigaben nutzt, musst auch dafür die Ports freigeben, aber nur für die internen Adressen!

HTTP würde ich auch im eigenen LAN niemals nutzen. Ein kompromittierter PC im LAN könnte so den gesamten Verkehr zu Syno mitlesen, inclusive aller Passwörter.
 
NSFH schrieb:
Für den Zugang aus deinem LAN in die Syno musst du wenigstens lokal Port 5001 (https) zulassen.
Zum Vergrößern anklicken....
Das mache ich über die Firewall auf der Syno, richtig? Weil auf dem Router habe ich ja nur 443 geöffnet, der alles an 443 auf der Syno weiterleitet. D.h. es muss doch, neben 443, in der Syno-Firewall 5001 und 6690 von außen (nicht interne, feste-IPs) freigegeben werden, richtig?
5001 ist, neben anderen relevanten Ports, intern freigegeben. Auch die im Screenshot genannten Ports.

Im vorliegenden Fall bedeutet das, dass ich in den Firewall Regeln für LAN formuliere, dass
ich für alle IP's (aus D) 5001 und 6690 freigebe – in jeweils einer eigenen Regel)?

Auch im LAN sind grundsätzlich alle unsicheren Verbindungen ausgesgesperrt.
 
Alles in der Syno.
5001 = DSM kannst du auch mit eigener Subdomain über der RP laufen lassen, also mit 443 rein kommen.
Nur Drive geht nicht mit dem RP. Drive wäre also neben 443 der einzige nach Aussen offene Port.

Aus dem internen LAN lässt du aber diese Ports zu.
 
  • Like
Reaktionen: ctrlaltdelete und realklaus
NSFH schrieb:
5001 = DSM kannst du auch mit eigener Subdomain über der RP laufen lassen, also mit 443 rein kommen.
Zum Vergrößern anklicken....
Danke für Deine Antwort. Es bleibt also dabei, dass ich im Router nur 443 auf 443 Route und dann alles andere in der Syno FW passiert.
In der Syno FW habe ich jetzt für den Zugriff von außen den Zugriff auf 443, 5001 und 6690 aus Deutschland freigegeben.
Drive habe ich über Anwendungen via drive.my-domain.synology.me auf 10003 gelegt (war der hier ausgegraute Port).
Wenn ich jetzt 5001 mit eigener Subdomain über den RP laufen lasse und in der FW 5001 wieder zu mache (für Zugriff von außen) komme ich über die Subdomain von außen nicht mehr rein.

Wenn ich über die DriveApp auf dem Handy zugreifen will, geht das aus dem Heimnetz auch, von außen bekomme ich keine Verbindung. Beide Zugriffsgeschwindigkeiten sind unterirdisch langsam (quickconnect ist deutlich schneller).
Aber das ist dann vielleicht ein Problem für ein anderes Thema. Die Warnmeldung (s.o.) erhalte ich jetzt zumindest nicht mehr.

Danke und Grüße, alex
 
Drive verwendet zum Synchronisieren den Port 6690. Diesen kannst du auch nicht ändern oder anpassen.
 
Den hab' ich in der Syno FW doch freigegeben, oder was meinst Du?
 
Zuletzt bearbeitet von einem Moderator:
Wir diskutieren was generell am sichersten ist und was du wirklich benötigst:
Wireguard VPN ist natürlich am sinnvollsten, aber nicht ganz so komfortabel, obwohl ich es jetzt sogar am Handy nutze, wegen Pi-Hole und sicherem DNS.
 

Anhänge

  • 1741173003227.png
    1741173003227.png
    30,1 KB · Aufrufe: 8
Also muss ich auf dem Router auch 6690 an 6690 in der Syno weiterleiten?
@ctrlaltdelete plex und abfb sagen mir wenige, aber ich entnehme dem, dass Du auch 443 und 6690 geöffnet hast – wenn auch über einen anderen Weg (Wireguard VPN)?
 
Wie schon mal gesagt: KEINE Freigabe und Weiterleitung von 5001 im Router! Nur 443 und 6690
Auch DSM läuft über den RP. Beispiel: Du hast eine subdomain dsm.meinedomain.de.
Die rufst du auf und landest im RP. Dieser setzt dann auf Grund der des subdomain namens dsm.... eine interne Weiterleitung auf den Port 5001
 
  • Like
Reaktionen: ctrlaltdelete

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten