NAS DS218 bei synology anmelden

[Thonav]

Belass es auch mal bei Deiner besseren Hälfte und Dir. Oder würdest Du auch mir und anderen Zugang in Dein Netzwerk erlauben? Vielleicht auf einen bestimmten Bereich Deiner DS, aber sicherlich nicht auf Dein gesamtes Netzwerk.
Das sind die Grenzen, die hier bei allen Empfehlungen auch klar benannt werden müssen.

Wenn Du davon sprichst, dass alles "super schnell" funktioniert - meinst Du zuhause oder warst Du auch mal in externen Netzen? Videos kann ich überall auf der Welt abspielen - auch per Zugriff via DynDns.

 

[EDvonSchleck]

Quickconnect wird gedrosselt auf 10Mbit. Was die Anwendung betrifft, ist die Verwendung von VPN in deinem Fall die beste und sicherste Lösung.

 

[ascendens]

Ja ich war heute in Großstadt, 4G Netz und über VPN superschnelle Verbindung einfach genial, und ja , VPN nur enge Familie.

 

[luddi]

Hier wird immer massiv die Empfehlung zur Nutzung von VPN gedrängt.

Da empfehle ich lieber zig mal starke Passwörter, Benutzernamen und minimalistische Portweiterleitung in Verbindung mit DynDns als immer nur VPN...

Endlich spricht mir jemand aus der Seele.
Ich kann dieses VPN auch nicht mehr hören…
Jedes hat seine vor und Nachteile. Und man muss für sich entscheiden was der eigentliche Verwendungszweck der eigenen NAS ist.

Auch ich nutze für bestimmte Zwecke eine VPN Verbindung, mache dies aber nicht explizit.

 

[EDvonSchleck]

Das sehe ich nicht so! Es kommt immer auf die Konstellation an. Generell ist ein VPN einer Portfreigabe vorzuziehen (z. B. in der Familie) für alle anderen Clients muss man es anders lösen oder eine Freigabe erstellen. Für alle anderen Clients muss man es anders lösen oder eine Freigabe erstellen. Das habe ich bereits in #118 schon geschrieben.

Da empfehle ich lieber zig mal starke Passwörter, Benutzernamen und minimalistische Portweiterleitung in Verbindung mit DynDns als immer nur VPN...

Ich würde noch geänderte Ports hinzufügen, bevor man unzählige Login versuche auf seinen NAS hat und noch etwas Schlimmeres. Dazu nur eine verschlüsselte Verbindung mit SSL nutzen.

 

[luddi]

Das sehe ich nicht so!

Kann jeder sehen wie er will und das ist auch legitim. Ich habe nie behauptet dass VPN schlechter ist als eine Portfreigabe zu erstellen.
Aber es wird immer nur VPN empfohlen um auf das NAS von außerhalb zuzugreifen.

Aber ich kann doch nicht jedem User der Zugriff auf mein System hat auch freundlicherweise noch über VPN in mein Netzwerk lassen.

 

[EDvonSchleck]

Die meisten User hier nutzen ihrem NAS nur privat für 1–6 Personen innerhalb der Familie. Diese User haben meistens eh Zugriff zum Netzwerk. Wenn dem so ist, spricht doch nichts gegen ein VPN. Es ist einfach eingerichtet und man muss sich nicht mit Zertifikaten umher schlagen.

Was meinst du, wie oft sein WLAN geteilt wird? Dort gibt es auch keine Bedenken zwecks Störerhaftung oder ähnlichen. Ich denke, das größte Problem ist der unbedarfte Umgang mit technischen Geräten, egal welcher Art. Wenn man andere User/Bekannte darauf hinweist, heißt es einfach: „machen ja andere auch“. Dazu kommt noch die unpräzise Beschreibung des Problems, um gleich die ‚richtige‘ Methode vorzuschlagen.

 

[Thonav]

Chill mal - keiner greift Dich an.
Es geht auch nicht um das eine oder nur das andere. Es geht darum, dass man, wenn man das VPN irgendwelchen Forenmitgliedern empfiehlt, auch ganz klar und verständlich mitteilt, dass man das nur machen sollte, sofern man den Zugriff nur in kleinem Kreis machen sollte. Sobald der Kreis auch "Freunde und Bekannte" einschließt, empfinde ich es als definitiv unkontrollierbar.
Aus meiner Sicht ist eine Kombination aus sicheren PW, DynDNS, gut eingerichteter Firewall, geschickter Portweiterleitung und optionalem VPN sicher genug für den gewöhnlichen Nutzer.

 

[ascendens]

OHHH man, recht herzlichen Dank an euch alle, dass ihr mein Thema und meine Unerfahrenheit so reichlich diskutiert. Aber ich muss EDvonSchleck zustimmen, die ganzen Fragen beruhen ja auf meiner Unwissenheit. Ich hatte ja vorher die NAS über DynDNS und Ports verbunden, nur war damals meine Vorgehensweise extrem laienhaft und hat halt geklappt. Erst hier im Forum habe ich durch euch vieles verstanden und gelernt, und dann hat VPN zusätzlich meine Neugier geweckt und ich habe jetzt beschlossen beides einzusetzen. VPN für mich und meine bH, und alles andere über den konventionellen Weg, mit Freigaben, Berechtigungen über DNS und Port.

 

[ascendens]

Jetzt nochmal zu VPN, ich möchte mein Laptop über VPN auf die Fritz!Box verbinden, auch über öffentlichem Wi-Fi, und würde diese gerne so einfach einrichten wie am Handy, mit der Fritz!Box einen WireGuard QR-Code generieren und dann irgendwie mit dem Laptop abscannen, ist das möglich ??

 

[EDvonSchleck]

Eine Anleitung findest du direkt bei AVM.

Was die Sicherheit von der DS angeht, solltest du nicht die originalen Ports verwenden sowie nur die verschlüsselte Variante der Ports (SSL) veröffentlichen. Auch solltest du das Script von @geimist einsetzen, um dich vor unberechtigten Zugriffen zu wehren. Weiterhin sollte die DS Firewall aktiviert und ordentlich eingerichtet sein. Dazu sind neben den Ports auch die erlaubten Länder sinnvoll. Auch solltest du so wenig wie möglich Ports öffnen und ggf. mehrere Dienste über einen Port laufen lassen.

 

[ascendens]

Hi mit langer herumtüftlerei habe ich es auch geschafft mein Laptop auf VPN zu setze. Ich habe einen WireGuard QR-Code an der Fritz!Box generiert, den habe ich dann mit dem Handy mit einem QR Scanner abgescannt, dann habe ich WireGuard auf dem Laptop installiert, dann hab ich die abgescannte Verschlüsselung vom Handy aufs Laptop kopiert, dann im Laptop WireGuard geöffnet, leeren Tunnel angeklickt, dort dann die kopierten QR Daten dort eingefügt, Name vergeben, gespeichert, fertig hat sofort funktioniert, voll einfach.

 

[ascendens]

Ja das mit den Ports macht mir noch Kopfzerbrechen, kann ich für die NAS beliebige Ports wählen, welche Unterschiede gibt es da, von sicher bis unsicher, aber ist es nicht so, wenn jemand meine Synology Adresse , oder meinen Quick Connect kennt, kann er doch ganz einfach durchprobieren, bis er irgendwann am Passwort ankommt, und für einen Crack ist das doch ein Kinderspiel. Oder liege ich völlig falsch mit meiner Vermutung

 

[EDvonSchleck]

Warum lädst du nicht die fertige *.conf herunter? Siehe Anleitung Punkt 3.9 und importierst du diese in Punkt 4? Komplizierte als das, was du gemacht hast, geht es wohl nicht mehr.

Du kannst fast jeden Port nehmen, den du magst. Es gibt Ports, die bestimmten Anwendungen und Diensten zugeschrieben sind. Wenn du die Ports änderst, in der DS siehst du schon, ob es Probleme gibt. Das Problem stellt eher die Standardport, dass die jedem bekannt sind. Portscans kann man auch schnell machen, somit wäre es mit etwas nur minimal mehr Zeit den Port herauszufinden. Ich würde einen 5-Stelligen Port nutzen. Ob du nun den Port in der DS änderst oder die NAT im Router nimmst, ist technisch gesehen egal. Dieses funktioniert jedoch nur bei IPv4. Beim Nachfolger IPv6 ist die NAT bzw. das Umleiten von einem Port auf einen anderen nicht mehr möglich.

Was das Passwort angeht, kannst du mehrere Vorkehrungen treffen:

1. sehr starkes Passwort in Verbindung mit einem Passwortmanager
2. 2 Faktor Authentifizierung
3. Kennwortlose Anmeldung

Alle 3 Möglichkeiten bieten einen Schutz, sofern man sie richtig anwendet. Die meisten Anwender machen die Fehler, dass sie einfach zu leichte Passwörter verwenden, um es sich einfach zu machen. Meine Passwörter besitzen 30+ Zeichen. Zusammengesetzt aus Buchstaben, Zahlen, Sonderzeichen und 2FA (sofern möglich). Auch ein Crack kommt nicht so schnell an die Passwörter. Eher werden Sicherheitslücken (Zero Day oder Exploit) genommen, um über Umwege an die Daten zu kommen. Das können auch andere Geräte sein wie IoT, Drucker, Scanner, Mobiltelefone etc. Man sollte halt nicht alles glauben. Wir sind ja hier nicht bei Hollywood.

 

[Thonav]

Zum anderen kannst Du einstellen wie oft ein User versuchen kann sich mit seinem Passwort einzuloggen. Falls er es so, beispielsweise nach 5 Versuchen nicht schafft seine richtigen Zugangsdaten einzugeben, wird er ausgesperrt.

 

[w00dcu11er]

kann ich für die NAS beliebige Ports wählen

Schau dir diese Seite mal kurz an:
https://kb.synology.com/de-de/DSM/tutorial/What_network_ports_are_used_by_Synology_services

Da sind die relevanten DSM-Ports, die intern so belegt werden, aber von außen dann eine andere - nicht in Liste vorkommende - "Hausnummer" z.B. 5001 --> kannst du gerne 55011 oder 50019 oder eben 51515 nehmen (so ist es mal meine Eselsbrücke, damit ich sie mir auch merken kann ^^).

 

[ascendens]

OK danke, sowie ich gesehen habe sind die Standard Ports für die NAS die immer funktionieren 5000-5001, und wenn ich die ganzen You Tube Anleitungen betrachte, werden diese Ports da immer verwendet. Habe ich das so richtig gesehen ?

 

[ascendens]

Warum lädst du nicht die fertige *.conf herunter? Siehe Anleitung Punkt 3.9 und importierst du diese in Punkt 4? Komplizierte als das, was du gemacht hast, geht es wohl nicht mehr.

Beziehst du das auf Wireguard am Laptop, wenn ja, welche Anleitung und welche config. ??

 

[EDvonSchleck]

OK danke, sowie ich gesehen habe sind die Standard Ports für die NAS die immer funktionieren 5000-5001, und wenn ich die ganzen You Tube Anleitungen betrachte, werden diese Ports da immer verwendet. Habe ich das so richtig gesehen ?

Nein, ich würde keine Standardport benutzen. Die Anleitungen dienen der Orientierung, damit man sich erst einmal zurechtfindet. Immer alles aus irgendwelchen Videos zu übernehmen, ist gefährlich.

Beziehst du das auf Wireguard am Laptop, wenn ja, welche Anleitung und welche config. ??

Eine Anleitung findest du direkt bei AVM.

Beitrag #131

 

[w00dcu11er]

Wie @EDvonSchleck schon angemerkt hat, sind die Videoanleitungen (sowie alle anderen) so konzipiert, dass es überhaupt mal laufen kann, wie die Hersteller / Blogger es gerne hätten.

Du kannst auch deine postialische Adresse hier veröffentlichen, ist sicher so, dass sich alle auf Anhieb zurechtfinden. Aber du selbst willst es nicht unbedingt, dass du ungebetene Gäste vor deiner Türe stehen hast. Daher gibt es auch Postfächer oder eben andere Adressen, wo du sie dorthin hinschickst, damit du sie antreffen kannst (Bahnhof, Restaurants etc.). So ist es mit den Ports - analogisch betrachtet halt.