Danke euch allen für die Antworten – schön zu hören, dass ich mich dank das Forums grundsätzlich in die richtige Richtung bewege. Ich versuche mal der Reihe nach die angesprochenen Punkte zu adressieren und ggf. direkt Anschlussfragen zu formulieren. Zunächst allgemein, warum ich zusätzlich zum VPN eine andere Zugangsmöglichkeit brauche:
- es sollen zeitweise auch andere Personen, die nicht zum Haushalt gehören Zugriff auf bestimmte Bereiche im NAS haben
- ich arbeite mit drei Computern, 2x Stationär, einmal mobil, die ich mit der NAS und Synology Drive synchron halte. Mindestens einer davon ist in einem Netzwerk aktiv, aus dem ich mit VPN nicht raus komme
- Ich möchte keinen Mailing-Dienste, wie Google, Apple, o.ä. mehr nutzen und diese Firmen auch indirekt nicht über Arztbesuche o.ä. Dinge aus meinem Kalender informieren. Insbesondere nicht unter den aktuellen politischen Entwicklungen in dem Land, wo die meisten dieser Server stehen. Ich führe vier Kalender, ohne elektronische Kalender, die auf 4 Geräten dauerhaft synchron arbeiten, bin ich aufgeschmissen.
- Ich bin zwar IT Anfänger, aber durchaus gewillt, mich da intensiver mit zu beschäftigen. Ich werde kein Profi, denke aber, dass ich mit mit etwas mehr Zeit in die Lage versetzen kann ein (möglichst) sicheres System zu hosten.
Daher nicht nur VPN, sondern auch die reverse Proxy Variante. Nun zu den weiteren Punkten:
Mache ich nicht. Es ist auf dem Router nur 443 offen, der an die NAS-IP und dort ebenso 443 weitergeleitet wird.
Ja, so mache ich es zur Zeit. Aber ich folge gern dem Tip. Kann ich den Adminuser dann auch so konfigurieren, dass dieser sich nur lokal vor Ort einloggen kann? Was wäre sonst der Vorteil?
Ok, das ist gut. D.h. auch, dass ich mehrere Dienste anhand der Synology Portliste auf den gleichen Port legen kann? Bspw. Chat, Calendar, Notestation mit jeweils eigener Subdomain auf Port 5001?
Alle Accounts die Zugriff haben müssen sich mit 2FA anmelden (Systemsteuerung>Sicherheit>Konto>2FA: Für alle Benutzer erzwingen. Ist das gemeint, oder noch etwas anderes?
Beide FW Router und NAS laufen, mit automatischer Blockierung, Kontoschutz, etc. Zukünftig dann auch mit Geoblocking und Blacklists. Danke [USER=130670]@metalworker[/USER] für den Hinweis zum Geoblocking und
Ja, das alles immer aktuell sein muss, versteht sich von selbst. Bin eh täglich an und in der NAS aktiv, daher ist das eigentlich kein Problem.
[USER=38041]@ctrlaltdelete[/USER] Danke für den Hinweis mit der Blacklist. Die Anleitung hatte ich schon im Forum gefunden und im Ursprungspost verlinkt. Dem Link zu GitHub entnehme ich, dass sich das Skript eine automatisch immer wieder aktuelle Liste holt und somit sich immer wieder selbst aktualisiert. Richtig?
Danke auch hier für die abschließende Klarstellung. Ich denke, dann bin ich auf nem möglichst sicheren Weg für meine Nutzungszwecke und werde mit C2 auf jeden Fall ansehen.
Eine Frage noch zur Webstation: ist es gut diese zu installieren und die Umleitung damit zu blockieren? Bedeutet dass, dass ich über die DDNS nicht mehr auf die DSM Startseite komme, sondern nur noch die Subdomains aufrufbar sind?
Danke nochmals für die Unterstützung! Ich weiß das sehr zu schätzen.
Herzliche Grüße, alex
