NAS nur über VPN, Vorteil von Cloudflare?

[ElaCorp]

Hi,

ich hab ein NAS. Und jetzt wird es wild. =D

Auf diesem NAS ist ein Docker Container drauf, der das WireGuard ermöglicht. Dieser ist von Außen erreichbar. Alles andere wird gespert.
Leider ist das so, weil ich kein anderes Gerät habe, was WireGuard kann, und die anderen Protokolle wollte ich nicht verwenden.

Nun denke ich, dass das NAS von außen nicht erreichbar ist. (würde ich so sagen)

Leider wäre es vorteilhaft, wenn ich einizelne Sachen freigeben könnte. Ordner, für andere zum Download. Fotos von Synology Fortos, oder eine Tabelle aus Synology drive. Damit jemand einmalig oder selber von seinem Zuhause zugriff hat. VPN ihm geben geht nicht.

Ist es da vorteilhaft, einen CloudFlare Tunnel wie hie einzurichten? Was denkt ihr?

 

[Rotbart]

Wenn du nur einzelne Dienste/Dateien erreichbar machen willst geht das eigentlich auch gut nit Quickconnect

 

[ElaCorp]

Wenn du nur einzelne Dienste/Dateien erreichbar machen willst geht das eigentlich auch gut nit Quickconnect

Ich verwende DDNS. Muss ich ja wegen dem VPN. Wobei das DDNS von Synology Router ist.

 

[Benie]

Hat eigentlich nichts miteinander zu tun, DynDNS kannst Du verwenden wie bisher und zusätzlich daneben her kannst Du QuickConnect verwenden.
WIe das mit QuickConnect läuft wird alles gut in der Synology KB erklärt. Kannst es Dir ja mal da anschauen.

 

[Ronny1978]

von Synology Router ist

Der Synology Router müsste doch VPN können, oder? Eine VPN gehört immer auf den Router und nicht auf das NAS, Und wenn es OpenVPN ist, dann nutze halt das auf dem Synology Router. Dort wird danach eigentlich auch geregelt, was du danach darfst und was nicht. ZUSÄTZLICH kann die Firewall der DS für bestimmte Adressbereiche Dienste freigeben oder sperren. Aber VOR dem Einrichten erst belesen und genau überlegen, was sinnvoll ist und was nicht.

der das WireGuard ermöglicht. Dieser ist von Außen erreichbar

...und...

Leider ist das so, weil ich kein anderes Gerät habe, was WireGuard kann, und die anderen Protokolle wollte ich nicht verwenden

Entschuldig. Das verstehe ich nicht ganz. Du hast einen Wireguard Server im Docker, der von außen erreichbar ist - weißt das er von außen erreichbar ist - ABER HAST KEIN Gerät was Wireguard kann??? Jedes Smartphone kann mit der Wireguard App eine Verbindung zum Server aufbauen.

Stelle bei den Apps (Photos, Drive, File, usw.) die INTERNE IP Adresse ein. Bist du zu Hause lässt du die VPN aus. Unterwegs dann halt anmachen.

 

[ebusynsyn]

@ElaCorp schreibt: "..Ist es da vorteilhaft, einen CloudFlare Tunnel wie hie einzurichten? Was denkt ihr?"

Ich hatte kurze Zeit einen CF-Tunnel in Betrieb und das hat ganz gut funktioniert. Ich wurde dann hier im Forum eines besseren belehrt. So ein Cloudflare-Tunnel bedeutet, dass Du von Deinem NAS aus eine direkte Verbindung (Tunnel) zu CF herstellst. Alles was durch diesen Tunnel geht ist von CF - soweit ich das verstanden habe - analysierbar. Die können also Deinen Traffic analysieren und daraus irgendwelche Schlüsse ziehen. OB CF das macht, weiss ich nicht. Sie könnten sogar auf Dein Heimnetzwerk zugreifen, weil die Firewall umgangen wird.

Nach meinem aktuellen Wissensstand - und ich bin bei weitem kein Profi - würde ich Dir eher von einem CF-Tunnel abraten und ein Wireguard-VPN einrichten. Das ist nicht so schwierig. Ich habe den WG-Server jedoch nicht im NAS eingerichtet, sondern auf einem separaten Raspberry-PI der am Router hängt. Aber auch das ist nicht so kompliziert einzurichten. Da gibt es in den weiten des Internets viele gute Anleitungen.

Noch ein Wort zur Smartphone-App von Wireguard. Die kannst Du so einrichten, dass - sobald Du Dein heimisches WLAN verlässt, automatisch auf VPN umgestellt wird.

Ung gleich noch ein Nachtrag: Schau Dir mal diesen kritischen Blick auf den CF-Tunnel an: https://www.youtube.com/watch?v=oqy3krzmSMA

 

[Kachelkaiser]

Noch ein Wort zur Smartphone-App von Wireguard. Die kannst Du so einrichten, dass - sobald Du Dein heimisches WLAN verlässt, automatisch auf VPN umgestellt wird.

Die originale kann das nicht, aber WG Tunnel.

 

[ebusynsyn]

@Kachelkaiser

Ich bin jetzt nicht sicher, ob ich Dich richtig verstanden habe. Ich nutze diese App auf meinem iPhone und MacBook und die kann das - also die automatische Aktivierung. Sobald ich das heimische LAN verlasse, bin ich via VPN mit 'Zuhause' verbunden.

 

[Ronny1978]

@ebusynsyn : Ich glaube, dass kann aber nur die App auf IOS. Bei Android geht das nicht.

von einem CF-Tunnel abraten

Jein. Auf dem NAS würde ich das auch nicht einsetzen, aber für Zugriffe auf Home Assistant, Unifi Controller usw. ist es ganz brauchbar. Und ob wirklich Daten ausgelesen und mitgeschnitten werden können, muss jeder selbst rausfinden. Wird aber wahrscheinlich keiner, außer Cloudflare bestätigt es. Man sollte aber bei einem CF Tunnel unbedingt die 2FA einschalten und NUR seine E-Mail freigeben. Dann wird jedes Mal ein 2FA Code an die E-Mail geschickt. Es gibt, glaube ich noch anderen Möglichkeiten, den CF Tunnel mit 2FA zu schützen, aber da müssen auch die Möglichkeiten gegeben sein.

Ich mag Christian und seine Videos auch. Grundsätzlich kann man aber den CF nicht gleich verteufeln. Man muss nur überlegen, wo man ihn einsetzt und wie. Wie gesagt: Wenn ich meine HTTP Verbindung per CF Tunnel mit 2FA Code an die E-Mail schütze und dann per HTTPS reinkomme und auch noch ein Passwort habe, was 30 Zeichen hat, sehe ich grundsätzlich nicht gleich Böses auf mich zukommen. Ganz klar ist VPN per OpenVPN oder Wireguard besser. Aber Cloudflare ist dennoch eine gute Alternativ, um die Firewall nicht zu durchlöchern und dann auch noch per HTTP arbeiten zu müssen.

Also, Fazit: Überlegen, Lesen, Einrichten, "Härten"!!! Und nochmal: VPN gehört auf den Router und nicht auf das NAS.

 

[alexhell]

Eine VPN gehört immer auf den Router

Wieso gehört das denn immer auf einen Router? Das es nicht auf dem Fileserver laufen sollte ist klar, aber wieso ist der Router der einzige Ort wo das zu laufen hat?

um die Firewall nicht zu durchlöchern

Aber das macht doch der Tunnel. Der umgeht die Firewall. Er stellt von innen die Verbindung her und umgeht die Firewall. Selbe Technik wie quickconnect

 

[Ronny1978]

Aber das macht doch der Tunnel. Der umgeht die Firewall. Er stellt von innen die Verbindung her und umgeht die Firewall. Selbe Technik wie quickconnect

Da gebe ich dir recht. Mit durchlöchern meinte ich jede Menge Ports auf dem Router öffnen. Das der Tunnel die Firewall umgeht, ist klar.

Wieso gehört das denn immer auf einen Router?

Weil für MICH das der Ort ist, wo das "Eindringen" ins Netzwerk stattfindet. Klar geht es auch mit dem VPN Server auf dem NAS, aber halte mich an die vielen Empfehlungen, den VPN Server nicht auf dem NAS zu vertreiben, sondern auf dem Router.

Ich gehe aber davon aus, dass du mit deiner Fragen eher auf einen RASPI mit dem VPN Server Wireguard anspielst. Das geht natürlich auch. Mein Ansinnen war eher, wenn der Router das kann, dann soll der Router auch das machen und nicht ein Gerät hinter dem Router. Hier habe ich mich vielleicht nicht korrekt ausgedrückt. Kann der Router das NICHT, dann muss man natürlich ausweichen - vollkommen richtig.

ERGÄNZUNG:
Aber @ElaCorp spricht von einem Synology Router. Daher war meine Meinung eher DORT die VPN nutzen und nicht nach hinten ins Netzwerk verlagern.

 

[alexhell]

Ich würde den VPN Server auch nicht auf der NAS laufen lassen, aber auf einem wo nur VPN läuft auf jeden Fall. Obwohl meine Fritzbox Wireguard kann, lass ich das lieber wo anders laufen.

Mich stört nur die Aussage, dass ein VPN Server IMMER auf dem Router laufen sollte. Das ist in meinen Augen einfach nicht richtig. Gibt genug andere Orte wo es laufen kann.

 

[Ronny1978]

Mich stört nur die Aussage, dass ein VPN Server IMMER auf dem Router laufen sollte

Alles klar. Dann würde ich die Aussage von "immer" in "sollte nach Möglichkeit" ändern. Man kann aber dennoch anderer Meinung sein. ICH habe ja schließlich die "Weisheit nicht mit Löffeln" gefressen. Ich, von meiner Seite!!!, spreche von einer OpnSense als VPN Server. Hier kann ich mehrere VPN Server anlegen (mehrere OpenVPN und auch mehrere Wireguard Server) und dann auch noch steuern, wer wohin darf und wer wohin nicht.

Gibt genug andere Orte wo es laufen kann.

Das wäre aber dann auch immer ein zusätzliches Thema der Sicherheit und Zugriffsrechte. Aber dort grenzt das dann schon wieder bei "genug andere Orte" ein. ABER: Auch wieder MEINE Meinung!!! Und auch "gibt/geht" ist ungleich "sollte".

 

[ebusynsyn]

Mich stört nur die Aussage, dass ein VPN Server IMMER auf dem Router laufen sollte. Das ist in meinen Augen einfach nicht richtig. Gibt genug andere Orte wo es laufen kann.

"Immer" ist halt schon sehr absolut.

Mein Router (der vom ISP) kann zum Beispiel kein Wireguard und wenn ich eins will, MUSS ich ausweichen. "Immer" geht also nicht. Um mich mit WG anzufreunden hatte ich hinter meinem Router eine FritzBox 7590 AX in Betrieb und dort den WG-Server eingerichtet. Sonst keinen weiteren Nutzen. In der weiteren Auseinandersetzung mit dem Thema habe ich dann einen Pi aufgesetzt und dort läuft jetzt der WG-Server. Das VPN auf dem NAS einzurichten "fühlt" sich für mich am falschen Ort an. Dieses Gefühl technisch begründen kann ich aber - mangels Kenntnissen nicht. Irgendwie denke ich, dass das beste Schloss weit vor dem Tresor sein sollte. Also am Hauseingang, nicht erst an der Bürotüre, wo der Tresor drin steht.

 

[Ronny1978]

"Immer" ist halt schon sehr absolut.

Auch DIR gebe ich natürlich recht. Daher habe ich meine Aussage ja auch korrigiert:

Aussage von "immer" in "sollte nach Möglichkeit" ändern

kann zum Beispiel kein Wireguard und wenn ich eins will

Dann geht es halt nicht anders. Auch das hatte ich ja geschrieben. Daher auch "...sollte nach Möglichkeit..."

Irgendwie denke ich, dass das beste Schloss weit vor dem Tresor sein sollte. Also am Hauseingang, nicht erst an der Bürotüre, wo der Tresor drin steht.

Besser hätte ich es nicht sagen können. Und genau das, trifft meine Aussage "...VPN....sollte nach nach Möglichkeit auf dem Router ..." -> Der Router ist nämlich die ERSTE Tür ins Netzwerk -> also HAUSEINGANG.

Aber VPN ist ein weites Feld mit vielen Meinungen und Möglichkeiten.

Das VPN auf dem NAS einzurichten "fühlt" sich für mich am falschen Ort an

Der Meinung bin ich auch.

 

[Kachelkaiser]

@ebusynsyn

Ah du hast die iOS Version. da geht das, in Android aber leider nicht, deshalb der Hinweis auf WG Tunnel