server.domain.de -> DS [Zertifikat / DomainFactory / W724V]

[menz]

Ich möchte schon länger meine DS unter meiner eignen Domain erreichbar machen, bisher hatte ich immer nur eine Weiterleitung von meiner Domain auf meine Quickconnect Adresse >.<, ich habe es schon öfters versucht anders zu schaffen, das war aber bisher eher suboptimal. Ich wollte nun meine DS jetzt einmal „perfekt“ einrichten. Ich habe jetzt schon ein paar Stunden nach einer Lösung gesucht, habe bisher aber leider nichts passendes gefunden

Meine Ausgangssituation
DS214 – 2 x 4 TB WD Red
Speedport W 724V (Eingeschränkte DynDns Dienste) [siehe Bilder]
.de Domain bei domainfactory [siehe Bilder]

Nun würde ich gerne meine Diskstation über eine Subdomain[server.domain.de] erreichbar machen, jedoch bietet DomainFactory kein DynDns an, also bräuchte ich einen „Mittelsmann“, sprich einen DynDns Anbieter. Ich möchte diesen Anbieter so wenig nutzen wie es geht, sprich ich will auch in der Adresszeile nur server.domain.de stehen haben, da ich diese Domain mit einem Zertifikat von letsencrypt.org nutzen möchte.

Meine Frage ist wie ich dies am besten realisieren kann bzw. wie logisch mein Plan ist.
Also meine Wunschvorstellung ist, dass ich meine Subdomain direkt mit der DS „verbunden“ habe.

PS: Habe auch schon mal mit CNAME rumprobiert, aber wusste bald auch nicht mehr weiter.

 

[jugi]

Bei Domainfactory ist CNAME genau richtig, als CNAME trägst du am einfachsten DEINEDS.synology.me ein (Den DynDNS Dienst kannst du verwenden, wenn du Quickconnect eh schon verwendest - schau in der DSM mal unter "Externer Zugriff").

CNAMEs sind dabei so eine Art versteckte Weiterleitung. Du siehst im Browser also dein server.domain.de und nur intern leitet der Browser weiter auf DEINEDS.synology.me. Du kannst so auch das Zertifikat für server.domain.de nutzen.

edit: Die Portfreigaben sehen so zwar einigermaßen richtig aus, wir raten hier allerdings eher davon ab, die DS so offen aus dem Internet zugreifbar zu machen. Das ist einfach ein großes Sicherheitsrisiko.

 

[menz]

Ok danke, dann werde ich mich noch ein bisschen einlesen

Wie soll ich das mit den Portfreigaben denn am besten machen ohne die Möglichkeit zu verlieren per App/Browser auf meine DS zuzugreifen?

mfg

edit: Quickconnect bin ich mittlerweile abgeneigt, da ich mich da mit dem Datenschutz nicht so recht anfreunden kann

 

[jugi]

(Open)VPN ist immer gut, da du dann nur ein Einfallstor hast (bei L2TP sinds schon technisch gesehen schon 3) - viele hier nutzen den VPN-Server der Fritzbox (die du nicht hast - aber die DS hat ja auch einen).

Wenn du bspw. den ssh dienst aktivieren musst, dann ist es zumindest ratsam den Port zu ändern. Bei Wikipedia kannst du nachsehen, was frei ist - bzw welche du nutzen kannst, weil du die zugehörigen Programme nicht nutzt: https://de.wikipedia.org/wiki/Liste..._Ports#Registrierte_Ports:_1024.E2.80.9349151

 

[menz]

Danke dir, wenn es nicht anders geht werde ich dann auf jeden Fall mal die Ports ändern, aber mit einem VPN hast du etwas interessantes angesprochen. Die DS hat ja auch onboard die Möglichkeit über einen VPN in's Netz zu gehen, welche Vorteile würde dies bieten bzw. wie muss ich mir das vorstellen? Um die DS anzusprechen müsste ich mich ja trotzdem die direkte IP kennen oder kann man einen VPN auch "rückwärts" nutzen?

Ok, ich denke ihr merkt, dass ich netzwerktechnisch nicht ganz fit bin

 

[jugi]

Allet jut, dafür sind wir ja da

VPN ist einfach gesprochen erstmal die Möglichkeit sich Sicher in ein irgendwo befindliches LAN einzuwählen. Mögliche Szenarien sind bspw. der Starbucks in der City, wo das WLAN nicht sicher ist, oder eben weil man zuhause an seine Geräte möchte, wie du jetzt.

Immer da, wo man "ankommen" möchte, muss ein VPN-Server stehen - in deinem Fall ist die DS also der Server und du wählst dich von außen "da rein". Da dein Router das nicht kann, musst du da einmal die nötigen Ports freigeben.

Lade dir mal das Paket "VPN Server" herunter und schau es dir an. Wenn noch Fragen sind - einfach fragen

 

[menz]

Danke Ok jetzt verstehe ich, ich dachte die Diskstation sollte einen VPN Dienst nutzen. Der Nachteil den ich jetzt nur sehe ist, dass ich nicht mehr von überall mal eben zugreifen kann, jetzt kann ich mal eben an einen fremden PC und per Browser auf meine Daten zugreifen. Dies könnte ich dann ja nicht mehr ohne einen VPN an besagtem PC einzurichten. Also müsste ich Port 5000/5001 für HTTP(S) eigentlich offen lassen. Sprich ist es sinnvoll oder besser gesagt sicher 5000/5001 als einzigste Ports aufzulassen?

 

[jugi]

Du willst dich auf einem fremden PC mit deinem Benutzer an deiner DS anmelden? Das alleine halte ich für grob fahrlässig

Und dein angesprochener "Nachteil" ist eigentlich eher ein Vorteil - eben weil nicht mehr jeder bitchchecker die Möglichkeit hat sich an deiner DS zu versuchen…


Edit: und das DSM ist der letzte Port, den du öffnen solltest - gibts da ein Bug und man kommt als Admin ins DSM ist Polen offen…
=> ich male hier gerade ein wenig schwarz, aber da du selber sagst davon nicht viel Ahnung zu haben mach ich dir jetzt lieber etwas zu viel Angst, als hier hinterher einen jammernden user zu haben, der blauäugig mit Dingen hantiert hat, von denen er keine Ahnung hatte

 

[menz]

Du willst dich auf einem fremden PC mit deinem Benutzer an deiner DS anmelden? Das alleine halte ich für grob fahrlässig

Und dein angesprochener "Nachteil" ist eigentlich eher ein Vorteil - eben weil nicht mehr jeder bitchchecker die Möglichkeit hat sich an deiner DS zu versuchen…


edit: und das DSM ist der letzte Port, den du öffnen solltest - gibts da ein Bug und man kommt als Admin ins DSM ist Polen offen…

Von jedem x beliebigen Rechner logge ich mich auch nicht ein, jedoch ist es einfach praktisch z.B. privat seine Fotos eben kurz online im Browser zu zeigen bzw. mal eben kurz eine Datei hoch-/herunterzuladen wenn kein Stick zu hand ist. Wenn ich meine DS so abschotte bleibt mir nicht so viel davon. Vielleicht würde eine verschlüsselung des CloudStation Verzeichnisses reichen? Denn nur da sind wirklich sensible Daten. Naja ich werde mir erstmal bis morgen überlegen wie ich alles handle, aber erstmal vielen Dank

 

[jugi]

Am Ende muss das natürlich jeder mit seinem Gewissen selbst klären, ich hab meine sensiblen Daten halt lieber abgeschottet.
Wer mir Daten geben will, soll das über irgendeinen anderen Kanal machen (Aber KEIN USB-Stick ) - gibt ja genug Möglichkeiten.
Will ich Bilder zeigen, dann mache ich das über mein Telefon, welches sich via VPN nachhause verbindet.
Eine Verschlüsselung des CS-Verzeichnisses bringt in dem Fall auch nix, da ein gehackter admin-account ja trotzdem zugriff auf den Ordner hätte…

Der "beste" Weg für dein Szenario wäre übrigens eine zweite DS, die du Zuhause in der DMZ hast und die du als eine Art Proxy/Cache verwendest (Wobei die "DMZ" bei den meisten Comsumer-Routern auch n Witz ist…).