Netzlaufwerk via Internet in Windows XP einbinden

[--Q--]

Hi,

meine DS ist über das Internet mit Hilfe von dyndns.org erreichbar. Jetzt würde ich gern auf einem Win XP Rechner eine Freigabe als Netzlaufwerk über das Internet einbinden. Beim Mac geht das recht einfach, mit XP habe ich da leider wenig Erfahrungen. Ich habe versucht das über die Funktion "Netzwerkressource hinzufügen" zu machen (im lokalen Netzwerk in einer meiner VMs funktioniert das auch wunderbar). Leider meldet Win dabei, dass der Server nicht gefunden wurde, ich habe verschiedene Variationen der Adresse benutzt, "xxx.dyndns.org", "xxx.dyndns.org:7000, "\\xx.dyndns.org\" und was Win sonst noch so vorschlägt. Der Server ist jedes mal angeblich nicht erreichbar.
Weis jemand wie das geht, ist die Funktion dafür überhaupt geeignet, oder gibts was anderes?

Danke für eure Hilfe.

 

[jahlives]

Direkt als Netzwerkfreigabe (also Samba Share) wird es nicht gehen. Dazu müsstest du die Samba Ports am Router öffnen und das solltest du KEINESFALLS tun. Das wäre sicherheitstechnisch sehr bedenklich

Alternativ könntest du dir z.B. openvpn auf der DS installieren und dann via openvpn auf Samba zugreifen. Damit wäre alles verschlüsselt und du hast Zertifikate zur Authentifizierung. openvpn Clients gibt es für Mac und Windows auch
Mit der neusten Firmware wurde auch Webdav eingebaut. Damit kann man auch sehr bequem von extern zugreifen. Ich selber verwende bei WebDAV den Windows Client von NetDrive auf einem XP. Allerdings scheint es bei WebDAV in Verbindung mit https noch Probleme zu geben.

Persönlich kann ich openvpn nur empfehlen. Du bist auch von ausserhalb immer innerhalb deines LANs. Das heisst du brauchst nur eine Portweiterleitungsregel für openvpn am Router und kannst dann auf alle Dienste der DS wie im LAN zugreifen. Dann kannst du auch auf Samba zugreifen ohne die Samba Ports am Router öffnen zu müssen.
Es ist ein bisschen ein Aufwand da einzurichten, aber wenn es funzt wirst du es lieben

Gruss

tobi

 

[--Q--]

Ok, dann werd ich das mal so probieren. THX!

Aus reiner Neugier: Wieso sind Samba-Portfreigaben riskanter als zB Freigaben für die Photostation oder Filestation?

 

[jahlives]

Weil Samba ein Protokoll ist, das eigentlich nur für LAN Zugriffe entwickelt wurde. Es bietet z.B. keinerlei Verschlüsselung, weder der Datenübertragung noch der Login Daten.
Ausserdem wird es bei offenen Samba Ports keine 2 Minuten dauern, ehe du den ersten Besucher (oft aus China) bei dir hast
Bei Photostation und Filestation hast du die Möglichkeit sowohl Login als auch Datenübetragung via SSL/TLS zu sichern

 

[--Q--]

Alles klar, Danke für deine Ausführungen.

 

[Nasenmann]

Hallo,

@ jahlives
Du schreibst, das Samba von aussen nicht erreichbar sei. Ich habe aber eben eine ander Erfahrung gemacht. Ich saß an meinem PC, als ich plötzlich regen Netzwerkverkehr an der DS108j feststellte. Ich habe mich dann über den DSM 3.0 1337 eingeloggt und im Verbindungs-Protokoll gesehen das ein Fremdrechner von ausserhalb über Samba munter am downloaden war. Nachdem ich dann den Samba Server abgeschaltet hatte, gab es auch keinen Netzwerkverkehr mehr. In meinem Router habe ich keine Samba Ports freigegeben. Auch in der Firewall der DS war bei PPPoE eingestellt, das sie blockieren soll wenn keine Regel zutrifft.
Jetzt habe ich zusätzlich eine Regel erstellt, die Samba blockiert und den Server wieder aktiviert. Ich kann jetzt nur noch hoffen, das die Regel was bringt. Auf jeden Fall muß ich die DS im Auge behalten.

Edit: Ich habe vergessen zu erwähnen das laut Protokoll schon öfter Fremdrechner über Samba verbunden waren, aber nur auf meinen beiden Ordnern music und video die für guest lesbar zugreifbar sind.

Gruß
Nasenmann

 

[ubuntulinux]

Wie gesagt, wenn man die Ports öffnet, sollte es schon gehen. Ist nur eine Sicherheitsfrage. Benutze auch OpenVPN, WebDav ist so ziemlich lahm.


Das mit den unerwünschten Besucher werde ich mal testen (virtuelle maschine, windows XP, keine Updates, Samba-Freigabe Dann hab ich paar IP's zu bannen )

gruss ubuntulinux

 

[Super-Grobi]

Ääääh, das kann doch aber (wenn Dein Router wirklich keine Portweiterleitung für Samba hat) nur bedeuten, dass Dein NAS selbst eine Pppoe Verbindung zu Deinem Provider aufbaut, und wenn Du das nicht in der Config eingeschaltet hast, stimmt da was nicht, dann hat es vielleicht jemand anderes eingetragen?

Grüße

 

[Nasenmann]

Ich habe in der DS keine Verbindungsdaten eingetragen. Bin über ein Kabelmodem mit dem Internet verbunden und da brauche ich keine Zugangsdaten.
Eben habe ich mal versucht über mein Handy den DSM zu erreichen und siehe da es hat funktioniert. Laut der DS Firewall sollte der Zugang aber wegen fehlender Regel blockiert werden. Nachdem ich dann eine Regel erstellt hatte in der ich den Zugriff auf DSM verboten habe, funktionierte auch der Zugriff nicht mehr. Die Funktion Blockieren bei fehlender Regel scheint wohl nicht richtig zu funktionieren.

 

[ubuntulinux]

Hast Du hoffendlich nicht ein dmz gemacht auf die syno?

 

[Nasenmann]

Ups blöder Fehler. Genau das war es. So ein Anfängerfehler sollte mir eigentlich nicht mehr passieren. Hab wohl damals nach vielem rumprobieren vergessen wieder zurück zu stellen *schäm*
Ich hatte bis vor kurzem aber auch nie irgendwelche Fremdzugriffe. Erst seit ich die beiden Ordner für guest lesbar gemacht habe. Naja zum Glück haben die nur Musik und Videos geladen und nichts schlimmeres angestellt. Jetzt ist aber schluß damit
Vielen dank für die Hilfe.

 

[--Q--]

Meine Freundin greift jetzt per WebDAV zu. Danke an jahlives.

Weils gerade passt, mich würde mal interessieren, wie ich "testen" kann, ob und wie unerwünschte Fremdzugriffe erfolgen können.
Ich hatte vor einiger zeit, dass IPs aus China versucht haben sich einzuloggen, habe aber die automatische Blockierung aktiviert. Ansonsten sind sichere Passwörter vorhanden, ich habe die Ports 80, 433, 5000/5001, 5005/5006 und 7000/7001 weitergeleitet.

 

[itari]

Man sollte sich immer Gedanken darüber machen, ob man die Ports wirklich alle braucht, denn jeder Port bedeutet im Grunde ein Einfallstor für Angriffe. Ich persönlich würde z.B. nie meine wichtigen Daten (z.B. Backups) auf der gleichen DS speichern, die auch überhaupt einen öffentlichen Zugang hat. Und mir kann auch keiner wirklich erzählen, dass das eine Frage der Kosten ist. Für einen öffentlichen Zugang braucht man meist keine Performance, da tut es auch eine zweite DS, z. B. eine DS110j ...

Itari

 

[Nasenmann]

Hallo

@ --Q--
Wenn du testen willst wie und ob Fremdzugriffe erfolgen können, solltest du mal einen Portsniffer einsetzen. Damit kannst du dein Netzwerk (oder auch fremde) auf mögliche Einfallstore überprüfen. Portsniffer kannst du über Google viele verschiedene finden.

Gruß
Nasenmann

 

[itari]

Hi Nasenmann,

Portscanner musste meist dann einsetzen, wenn dir nicht genau klar ist, welche Ports alle auf einem Rechner von den Server-Programmen/Diensten aufgemacht wurden (z.B. bei einem PC).

Hier in diesem Fall bringt das nicht so viel, weil der Fragesteller ja selbst die Ports weiter leitet und jetzt noch testen, ob der Router das auch richtig macht, wäre schon ein wenig herb. Deswegen stellt sich eher die Frage, welche Ports sollte er konzeptionell erst gar nicht im Router aufmachen bzw. weiterleiten ...

Nichts desto trotz finde ich es gut, dass du dich an der Diskussion mit einem Vorschlag beteiligt hast.

Itari

 

[Nasenmann]

Nach meinem kleinen Problem (auf der ersten Seite zu lesen) habe ich mal einige Portsniffer getestet um zu sehen ob jetzt wirklich nur noch das erlaubt ist was ich vorgegeben habe. Manche Portsniffer zeigen sogar gleich noch die freigegebenen Ordner an, auf die man dann per Klick zugreifen kann. So haben das wohl auch die Fremdrechner bei mir gemacht. Ist wirklich erschreckend wenn man bedenkt das selbst Laien recht einfach in schlecht geschützte Netzwerke eindringen können.

Gruß
Nasenmann

 

[itari]

Wie hast das getestet? Vom Internet-Cafe aus?

Itari

 

[Nasenmann]

Nein nicht vom Internet Cafe. Du muß einfach nur deine externe IP Adresse scannen. Daran siehst du gleich was dein Router durch läßt oder nicht. Wenn du ganze IP Bereiche scannst, dann werden dir gleich auch noch Fremdrechner angezeigt. Es gibt auch Seiten im Internet die Portscanns anbieten.

 

[--Q--]

Welches Online-Tool genau hast du benutzt?

 

[Nasenmann]

Von den Online Scannern hab ich noch keinen getestet. Versuch es mal mit NMAP. Das ist benutzerfreundlich und liefert viele Informationen. NetScan ist auch noch ein ganz nettes Tool. Muß nicht installiert werden, macht aber einen Eintrag in die Registry den man leicht wieder entfernen kann. NetScan ist zwar auf Englisch, aber dennoch verständlich.

Nasenmann

Edit: Habe eben mal bei Google Portscanner online eingegeben und die ersten paar Ergebnisse getestet. Alle sagen mir das nur mein Port 80 offen ist so wie es auch sein soll. Mit den Tools für den Rechner bekommst du aber viel mehr Infos und hast auch mehr Test- und Scanoptionen.