Scan zu NAS

[EDvonSchleck]

Ich denke nicht, aber eventuell soll es externe eingestellt/verwaltet werden, wenn der Frauenfilter greift und Ärger gibt.

 

[plang.pl]

Nun gut, dann möge das Sinn machen / überlebenswichtig sein

 

[update-freak]

Ich denke einmal Webinterface. Fraglich ist es, ob es immer unterschiedliche Ports sind oder ob der SSL-Port benutzt wird.

Muss mich korrigieren. Adguard hab ich aktuell nur intern verfügbar, da ich von außen nicht drauf zugreife (wenn doch -> WireGuard).

Habe folgende Dienste mit Ports: CalDAV, SSH (für Git), Vaultwarden, FreshRSS, PhotoPrism, Jellyfin, DokuWiki, ZeroTier, RustDesk, SFTP, Tandoor, Paperless-ngx

@plang.pl Wie geht das mit einem VDSM mit Remote Ordner?

 

[EDvonSchleck]

Ich bin mir nicht sicher, ob Paperless die Files vom Drucker annimmt. Wenn die UI nicht für den DruckerUser (Import) stimmt, ignoriert Paperless die hinterlegten Files. Du könntest aber versuchen, Paperless in der VM zu installieren. Einen Mischbetrieb sehe ich skeptisch oder man muss die Files regelmäßig mit einem Script im Hintergrund kopieren.

 

[update-freak]

Ok, danke für die Hinweise.
Was wäre denn damit: https://github.com/jan-di/scan-to-smb1

 

[EDvonSchleck]

Das wirst du in einem MACVLAN installieren müssen, damit du unterschiedliche IPs nutzen kannst. Ansonsten wirst du Probleme mit dem Synology-SMB bekommen.

 

[update-freak]

Alles klar.
Tendiere dann tatsächlich dazu SMB1 zu aktivieren und den Internetzugriff des Druckers in der Fritzbox zu sperren.
Gibt es weitere Möglichkeiten die Sicherheit zu erhöhen? -> Bringt es was einen extra Nutzer anzulegen der nur Schreibzugriff auf den entsprechenden paperless-ngx-Ordner hat oder bringt das nichts da sowieso bereits SMB1 am Server aktiv ist?

 

[EDvonSchleck]

Einen extra User verwende ich auch. Du musst aber die UID von diesem im Paperless eintragen.
Der User muss nicht unbedingt Zugriff auf /docker/paperless haben, sondern nur auf den consume-Ordner, wo immer der liegen mag.
Weiterhin: Firewall einrichten, so wenig wie möglich Ports öffnen, Block-List Script einsetzen. Webanwendungen nur über 443 laufen lassen.

 

[update-freak]

Perfekt danke.
Was meinst du denn genau mit "Block-List Script einsetzen. Webanwendungen nur über 443 laufen lassen."?

 

[EDvonSchleck]

1. Block-List-Script von @geimist
2. Allen Anwendungen mit einem Webinterface über eine Subdomain aufrufen nur den Port 443 nutzen z.B. mit Reverse Proxy

 

[plang.pl]

Wie geht das mit einem VDSM mit Remote Ordner?

VDSM Instanz installieren in VMM. Dort via FileStation den Remote-Ordner der realen DS einhängen. Dann SMB1 aktivieren im VDSM. Das wars im Prinzip

 

[update-freak]

Allen Anwendungen mit einem Webinterface über eine Subdomain aufrufen nur den Port 443 nutzen z.B. mit Reverse Proxy

Das mit der Blockliste hat geklappt.
Bei den Subdomains ist mir leider nicht ganz klar wie ich das einstelle. Bislang habe ich ich hier nur einem Reverse Proxy von einem Docker Port zu einem anderen Port eingestellt.
Kannst du das an einem Beispiel bitte zeigen?

 

[plang.pl]

Du brauchst einen DDNS-Anbieter, der Wildcard Auflösung unterstützt. Also dass sowohl deinedomain.de als auch *.deinedomain.de auf deinen Router zeigen. Dann dort den 443 ans NAS leiten. Und am NAS den Reverse Proxy einrichten, sodass du mit file.deinedomain.de beispielsweise zur FileStation kommst

 

[EDvonSchleck]

Ich empfehle dir dynv6.com als Anbieter zu nehmen. Dort wird außer eine E-Mail nichts benötigt, kommt aus Deutschland (Bremen) uns lässt sich vieles einstellen/einrichten wie RECORDS, CNAME, Zone, TXT usw. Auch IPv6 mit einer anderen Hardwareadresse stellt kein Problem dar. Des Weiteren ist es so einfach, dass man eigentlich keine Anleitung dafür benötigt. Dynv6 wird auch direkt von acme.sh für die automatische Zertifikatserneuerung ohne Portfreigabe unterstützt. Das Ganze ist natürlich kostenlos und wird nur noch mit einer eigenen Domain überboten (Angebot Netcup 1,60 € im Jahr)

 

[EDvonSchleck]

Und am NAS den Reverse Proxy einrichten, sodass du mit file.deinedomain.de beispielsweise zur FileStation kommst

Für die Synology Apps braucht man keinen Reverse Proxy. Dort kann man direkt unter den Anwendungseinstellungen die Domain hinterlegen, wie bei DSM auch. Das macht praktisch die gleichen Einträge, aber mit weniger Eindellungen. HSTS aber auch dort bitte aktivieren!

 

[update-freak]

Optimal. Vielen Dank für die Erklärungen.
Dann werde ich von SecurePoint DNS auf dynv6 wechseln.

Eine Frage noch: Muss ich diesen DynDNS-Dienst in der Fritzbox eintragen oder in DSM? Die Domains z.b. paperless.meinedomain.con muss ich dort dann vorher definieren?

 

[EDvonSchleck]

Ja alle Daten dazu findest du unter "Instructions" ganz unten unter: Fritz!OS (German). Dort sind die Felder für die Fritzbox bereits benannt. Einfacher geht es nicht mehr.

Wenn du nur eine IPv4 oder IPv6 nutzt reicht es auch aus, nur die entsprechende Update-URL einzugeben. Bei IPv6 musst du eh für deine DS ein extra RECORD anlegen, damit es funktioniert.

 

[update-freak]

Dynv6 ist nun bei der Fritzbox hinterlegt.
Alle Reverse Proxys gemäß file.deinedomain.de in DSM umgestellt.
acme.sh für die automatische Zertifikatserneuerung eingerichet.
-> wie kann ich nun dieses Zertifikat auswählen?

Muss ich bei dynv6 jetzt noch unter My Domains -> *.deinedomain.de eingtragen -> das hat irgendwie nicht geklappt

EDIT: Zertifikat war nach Neustart hinterlegt

 

[EDvonSchleck]

Das Zertifikat sollte als Standard hinterlegt sein und notfalls unter Einstellungen das Zertifikat für die Dienste zuweisen.

Du erstellst einfach einen CNAME deiner Wahl:


Data lässt du einfach leer. Somit hast du nach dem Speichern die Subdomain paperless.deinedomain.de angelegt. Diese sollte auch sofort erreichbar sein, wenn du diese im Reverse Proxy hinterlegt hast.

 

[update-freak]

Vielen Dank,
Zertifikat war nach Neustart des NAS hinterlegt.
Habe nun nur noch das Problem mit dem Rebind-Schutz der Fritzbox.

Muss hier dann paperless.deinedomain.de eingetragen werden?