Scan zu NAS

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich denke nicht, aber eventuell soll es externe eingestellt/verwaltet werden, wenn der Frauenfilter greift und Ärger gibt.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Nun gut, dann möge das Sinn machen / überlebenswichtig sein :ROFLMAO:
 

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
402
Punkte für Reaktionen
36
Punkte
28
Ich denke einmal Webinterface. Fraglich ist es, ob es immer unterschiedliche Ports sind oder ob der SSL-Port benutzt wird.
Muss mich korrigieren. Adguard hab ich aktuell nur intern verfügbar, da ich von außen nicht drauf zugreife (wenn doch -> WireGuard).

Habe folgende Dienste mit Ports: CalDAV, SSH (für Git), Vaultwarden, FreshRSS, PhotoPrism, Jellyfin, DokuWiki, ZeroTier, RustDesk, SFTP, Tandoor, Paperless-ngx

@plang.pl Wie geht das mit einem VDSM mit Remote Ordner?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich bin mir nicht sicher, ob Paperless die Files vom Drucker annimmt. Wenn die UI nicht für den DruckerUser (Import) stimmt, ignoriert Paperless die hinterlegten Files. Du könntest aber versuchen, Paperless in der VM zu installieren. Einen Mischbetrieb sehe ich skeptisch oder man muss die Files regelmäßig mit einem Script im Hintergrund kopieren.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das wirst du in einem MACVLAN installieren müssen, damit du unterschiedliche IPs nutzen kannst. Ansonsten wirst du Probleme mit dem Synology-SMB bekommen.
 
  • Like
Reaktionen: update-freak

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
402
Punkte für Reaktionen
36
Punkte
28
Alles klar.
Tendiere dann tatsächlich dazu SMB1 zu aktivieren und den Internetzugriff des Druckers in der Fritzbox zu sperren.
Gibt es weitere Möglichkeiten die Sicherheit zu erhöhen? -> Bringt es was einen extra Nutzer anzulegen der nur Schreibzugriff auf den entsprechenden paperless-ngx-Ordner hat oder bringt das nichts da sowieso bereits SMB1 am Server aktiv ist?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Einen extra User verwende ich auch. Du musst aber die UID von diesem im Paperless eintragen.
Der User muss nicht unbedingt Zugriff auf /docker/paperless haben, sondern nur auf den consume-Ordner, wo immer der liegen mag.
Weiterhin: Firewall einrichten, so wenig wie möglich Ports öffnen, Block-List Script einsetzen. Webanwendungen nur über 443 laufen lassen.
 
  • Like
Reaktionen: update-freak

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
402
Punkte für Reaktionen
36
Punkte
28
Perfekt danke.
Was meinst du denn genau mit "Block-List Script einsetzen. Webanwendungen nur über 443 laufen lassen."?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
  • Like
Reaktionen: update-freak

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
402
Punkte für Reaktionen
36
Punkte
28
Allen Anwendungen mit einem Webinterface über eine Subdomain aufrufen nur den Port 443 nutzen z.B. mit Reverse Proxy
Das mit der Blockliste hat geklappt.
Bei den Subdomains ist mir leider nicht ganz klar wie ich das einstelle. Bislang habe ich ich hier nur einem Reverse Proxy von einem Docker Port zu einem anderen Port eingestellt.
Kannst du das an einem Beispiel bitte zeigen? :)
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Du brauchst einen DDNS-Anbieter, der Wildcard Auflösung unterstützt. Also dass sowohl deinedomain.de als auch *.deinedomain.de auf deinen Router zeigen. Dann dort den 443 ans NAS leiten. Und am NAS den Reverse Proxy einrichten, sodass du mit file.deinedomain.de beispielsweise zur FileStation kommst
 
  • Like
Reaktionen: update-freak

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich empfehle dir dynv6.com als Anbieter zu nehmen. Dort wird außer eine E-Mail nichts benötigt, kommt aus Deutschland (Bremen) uns lässt sich vieles einstellen/einrichten wie RECORDS, CNAME, Zone, TXT usw. Auch IPv6 mit einer anderen Hardwareadresse stellt kein Problem dar. Des Weiteren ist es so einfach, dass man eigentlich keine Anleitung dafür benötigt. Dynv6 wird auch direkt von acme.sh für die automatische Zertifikatserneuerung ohne Portfreigabe unterstützt. Das Ganze ist natürlich kostenlos und wird nur noch mit einer eigenen Domain überboten (Angebot Netcup 1,60 € im Jahr)

1676888352985.png
 
Zuletzt bearbeitet:
  • Like
Reaktionen: update-freak

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Und am NAS den Reverse Proxy einrichten, sodass du mit file.deinedomain.de beispielsweise zur FileStation kommst
Für die Synology Apps braucht man keinen Reverse Proxy. Dort kann man direkt unter den Anwendungseinstellungen die Domain hinterlegen, wie bei DSM auch. Das macht praktisch die gleichen Einträge, aber mit weniger Eindellungen. HSTS aber auch dort bitte aktivieren!
 
  • Like
Reaktionen: update-freak

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
402
Punkte für Reaktionen
36
Punkte
28
Optimal. Vielen Dank für die Erklärungen.
Dann werde ich von SecurePoint DNS auf dynv6 wechseln.

Eine Frage noch: Muss ich diesen DynDNS-Dienst in der Fritzbox eintragen oder in DSM? Die Domains z.b. paperless.meinedomain.con muss ich dort dann vorher definieren?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ja alle Daten dazu findest du unter "Instructions" ganz unten unter: Fritz!OS (German). Dort sind die Felder für die Fritzbox bereits benannt. Einfacher geht es nicht mehr.

Wenn du nur eine IPv4 oder IPv6 nutzt reicht es auch aus, nur die entsprechende Update-URL einzugeben. Bei IPv6 musst du eh für deine DS ein extra RECORD anlegen, damit es funktioniert.
 
  • Like
Reaktionen: update-freak

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
402
Punkte für Reaktionen
36
Punkte
28
Dynv6 ist nun bei der Fritzbox hinterlegt.
Alle Reverse Proxys gemäß file.deinedomain.de in DSM umgestellt.
acme.sh für die automatische Zertifikatserneuerung eingerichet.
-> wie kann ich nun dieses Zertifikat auswählen?

Muss ich bei dynv6 jetzt noch unter My Domains -> *.deinedomain.de eingtragen -> das hat irgendwie nicht geklappt

EDIT: Zertifikat war nach Neustart hinterlegt
 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Das Zertifikat sollte als Standard hinterlegt sein und notfalls unter Einstellungen das Zertifikat für die Dienste zuweisen.

Du erstellst einfach einen CNAME deiner Wahl:
1676915108155.png

Data lässt du einfach leer. Somit hast du nach dem Speichern die Subdomain paperless.deinedomain.de angelegt. Diese sollte auch sofort erreichbar sein, wenn du diese im Reverse Proxy hinterlegt hast.
 
  • Like
Reaktionen: update-freak

update-freak

Benutzer
Mitglied seit
19. Feb 2018
Beiträge
402
Punkte für Reaktionen
36
Punkte
28
Vielen Dank,
Zertifikat war nach Neustart des NAS hinterlegt.
Habe nun nur noch das Problem mit dem Rebind-Schutz der Fritzbox.

Muss hier dann paperless.deinedomain.de eingetragen werden?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat