Syno Server als Netzlaufwerk in Windows einbinden

[Epinephrine]

Hallo Zusammen

Für die meisten vermutlich eine banale Frage:
Zu Hause habe ich eine DS211j und habe diese ins Netz gebracht (FTP aktiviert). Die IP lasse ich von Dyndns weiterleiten. In Windows kann ich auf "Netzlaufwerk verbinden" gehen und dort "\\xxx.dyndns.org\FreigegebenerOrdner" eintragen und voila, es funzt perfekt. Für den PC ist's föllig egal, ob ich nun zu Hause bin (lokal) oder sonst wo, die Verbindung ist einfach schneller oder langsamer.

Nun genau das möchte ich auch auf dem Syno Server DS108j im Büro auch erstellen. Soweit hab ichs hingekriegt, dass ich via FTP von extern drauf zugreiffen kann, aber via Netzlaufwerk in Windows gehts nicht. Was muss ich wo ändern?

Zur HW:
Zu Hause: Swisscom Netopia Router und DS211j
Im Büro: Swisscom Zyxel Router und DS108j

Besten Dank für eure Antworten.

 

[Trolli]

Man kann keine FTP-Verbindung über "\\xxx.dyndns.org\FreigegebenerOrdner" herstellen. Und die Windows-Netzwerkfreigabe zum Internet hin zu öffnen ist wohl ein sicherheitstechnischer Super-Gau. Welche Ports hast Du denn in Deinem Heimnetzwerk zum Internet hin weitergeleitet?

Eine sichere Anbindung bekommst Du über ein VPN hin. Alternativ kannst Du z.B. Netdrive zum Verbinden eines Netzlaufwerks über FTP verwenden.

 

[Epinephrine]

Hallo Trolli

Beste Dank für deine Antwort.

Ports:
Zu Hause 20 -21
Im Büro 20-21, 80, 5000 (wobei 50 und 5000 hab ich nur aus Verzweiflung gemacht ...

Also die Verbindung geht wie ich sie dir beschrieben habe. Aber was meinst du mit Super-Gau?

 

[Trolli]

Das, was Du da beschrieben hast, kann meiner Meinung nach eigentlich nur funktionieren, wenn der Port 445 für die Samba-Freigaben zum Internet hin geöffnet ist und das darf eigentlich nicht sein. Hast Du die private DS möglicherweise in eine DMZ gesetzt, so dass alle Ports frei zugänglich sind?

 

[dany]

Hallo Epinephrine

Mit Super-Gau meint er, das eine Windows-Netzwerkfreigabe nichts im Internet zu suchen hat. Du hättest spätestens innert kürze einen "Einbrecher" in deinem Netzwerk. Warum willst du ftp öffnen? Ist es nur für dich? Oder sollen Kunden auf ein FTP-Laufwerk zugreifen? Den auch FTP ist nicht wirklich sicher, da das Passwort im Klartext übertragen wird. => Stichtwort: SFTP

Du schreibst das du im Büro das gleiche machen willst. Da ich dein Arbeitsverhältnis nicht kenne solltest du ggf. nicht vergessen das dies deinen Job kosten kann wenn du einfach einen Port nach draussen öffnest. Dies schliesst natürlich auch Share-Dienste mit ein.

 

[itari]

Das Stichwort 'SFTP' ist nicht sonderlich zielführend; das Stichwort 'FTPS' (FTP over SSL) wäre sinnvoller, denn das wird ja auf der DS standardmäßig unterstützt.

Itari

 

[dany]

Stimmt, FTP over SSL ist Standardmässig dabei und führt zum Ziel.

Da ich primär mit SSH/WinSCP arbeite war SFTP mein erster Gedanke, nur den muss man nachinstallieren/konfigurieren.

Dany

 

[-Tha-]

Also ohne Portweiterleitung auf den Router sowohl im Büro als auch zu Hause wird da wohl nichts gehen... Du hast nichts von eingerichteter Portweiterleitung zu Hause beschrieben, daher gehe ich mal davon aus das sich deine DS211j in der DMZ befindet - in Verbindung mit einem durch DynDNS weitergeleiteten FQDN ist das eine recht gefährliche Netzwerkkonstellation.

Für´s Büro sieht das nicht viel anders aus ... Auch hier müssen die entsprechenden Ports auf dem Router weitergeleitet werden und auch hier brauchst Du einen FQDN, der dann auf diesen Router verweist oder Du weißt die Internet-IP des Routers (so sie denn statisch ist) auswendig. Weiterhin kann natürlich auch noch ein Proxy im Weg stehen und eine Firmenfirewall muß geöffnet werden. Das übersteigt dann ganz sicher die Kompetenzen eines Users. Inwieweit eine solche Netzwerkkonstelation arbeitsrechtlich bei Dir erlaubt ist mußt Du natürlich auch erstmal in Erfahrung bringen. Ich als Systemadmin würde meinen Usern was husten - von außen unauthorisiert Dateien ins Netzwerk schleppen, zumal ungeprüft! Käme mir nicht in die Tüte... Und als Systemadmin selbst würd ich sowas erst recht nicht machen, ich muß schließlich als gutes Beispiel voran gehen. Da gibts auch andere Wege

 

[Epinephrine]

Hallo zusammen

Hm, zu Hause habe ich nur ein ip-weiterleitung eingerichtet und den Port 20-21 geöffnet. Das wars. Wenn ich euch richtig verstehe, sollte das eigentlich garnicht funktionieren, das eingebundene Netzwerk. Aber auf jeden Fall ein riesen Sicherheitsrisiko ist.

Hm, wie richtet man diese FTP SSL Geschichte ein?

Vielleicht der Grund, warum ich das Laufwerk einbinden möchte: Die Firma hat eine Access-DB, die auf der Syno läuft. Das Backend liegt auf dem Server, das Frontend ist lokal. Solange man inhouse ist, kein Problem. Aber man brauch die Daten ja auch ausser Haus.
Gäbe es hierfür eine andere Lösung?

Danke Jungs und Mädels

 

[-Tha-]

Man kann doch keine Access-DB via FTP bedienen ...

Und Firmenanwendungen sollten in der Firma bleiben, also wenn überhaupt Zugriff von außen auf Firmendaten dann über gesicherte Verbindungen, z.B. VPN ins Firmennetzwerk rein und dann mit den Daten arbeiten.
Ließe sich mit einem Router, der als VPN-Server fungieren kann in Verbindung mit einem FQDN und DynDNS für die I-Net IP des Firmenrouters regeln ...

 

[jahlives]

Oder als Alternative zu "echtem" VPN, kann man auf der DS auch OpenVPN verwenden. Lässt sich ziemlich einfach installieren. Es gibt einen guten Wiki-Beitrag dazu. Mit OpenVPN, Zertifikaten und der Firewall lassen sich ziemlich umfangreiche Sicherheitskonzepte umsetzen. So kann man mit OpenVPN schnell gegeneinander abgeschottete Clients an denselben Server verbinden. Allerdings erfordert die Konfiguration der Firewall ziemlich schnell sehr viel Aufwand

 

[dany]

Hallo Epinephrine

FTP-Protokoll
Nur Port 20 und 21 zu öffnen reicht nicht aus. Da meist passiv FTP verwendet wird.
http://de.wikipedia.org/wiki/File_Transfer_Protocol

Zum Thema Sicherheit hat es eine nette Wikiseite:
http://www.synology-wiki.de/index.php/Grundsätzliches_zum_Thema_Netzwerksicherheit

Client: Wie setze ich die Funktion "Sicheres FTP" ein?
http://www.synology.com/support/faq_show.php?q_id=316&lang=deu

Wie richte ich einen FTP Server mit explizites TLS/SSL ein?
Kleines How-To: http://bit.ly/glxzsi

Access-DB.
Damit du die Access-DB auch ausser Haus nutzen kannst wirst du ein VPN brauchen. Da Access physischen zugriff via Netzlaufwerk braucht. Ich nehme an, dass das Frontend in einer Access-Runtime läuft. Hierfür würde ich emfehlen dies mit eurem Informatiker (oder externe Beratung) zu besprechen. Es gibt günstige Router für KMU die VPN haben. (Cisco, SonicWall) Alles andere unterwandert euere Sicherheit und gefärdet euer Unternehmen.
Alternativ gibt es z.B. auch den IPcop mit einem OpenVPN. (läuft selbst auf einem alten 486 PC) Dies ist aber nur für versierte Benutzer die sich mit Firewalls auskennen. http://www.ipcop.org

Natürlich kann man ein OpenVPN auf der DS installieren, finde aber, das dies nicht auf einem produktiven Server in einem Unternehmen gehört. Für private Server zu Hause kann man das machen, wenn man die Risiken tragen kann.


Alles in allem aus deiner Fragestellung vermute ich das Ihr ein Unternehmen seid, ohne Informatiker. Ich würde daher empfehlen euch externe Beratung beizuziehen. Es kann ja nicht sein, das ein Mitarbeiter Ports öffnet wenn er nicht weiss was er macht. (Soll nicht persönlich gemeint sein, nur die sensibilisierung der Problematik). Ein Schaden kann teuer sein und auch den Job kosten.

Gruss Dany

 

[Epinephrine]

@ Tha

Na klar geht das. Wie gesagt, kann ich meine Syno als Netzlaufwek verbinden. Und da Windows nicht unterscheidet, ob ich übers Netzwerk oder übers Internet drauf zugreiffe, ist es entsprechend auch der Access DB egal von wo ich drauf zu greife.

@ Rest
Nochmals die Fakten:
Zu Hause:
- Syno DS211j (FTP-Dienst aktiviert, Firewall aktiviert, Dyndns-Konto eingerichtet)
- Swisscom Netopia Modem (IP-Weiterleitung eingerichtet und NAT 20-21 freigeschaltet)

Intern hat die Syno keinen Namen mehr, Zugriff nur via IP (Syno stellt sich automatisch die WAN-IP ein, trotz manu-ip) oder Dyndns adresse. An die Daten komm ich per Browser, FireFTP oder Windows-Netzlaufwerk.
Exakt genau das gleiche gilt für extern.

In der Firma: (Meine Syno ist noch leer, sonst würde ich nicht solche Spiele machen!)
- Syno DS108j (FTP-Dienst aktiviert, Firewall aktiviert, Dyndns-Konto eingerichtet)
- Swisscom Zyxel Modem (NAT Portweiterleitung mit Port IP-Weiterleitung mit Port 20-21 eing eingerichtet)

Intern hab ich via Syno Namen und IP (ist hier die statische interne geblieben) zugriff. An die Daten komm ich per Browser oder Windows-Netzlaufwerk.
Extern komm ich via Browser über die WAN-IP oder den Dyndns Namen drauf. Oder via FireFTP. Nicht aber via Windows-Netzlaufwerk.

So, damit sollte ich alles beschrieben haben.

Nun also, ihr sagt, dass das Netzlaufwerk von Windows eigentlich garnicht funcktionierne sollete via FTP. Nun es geht aber, zumindest in einem Fall. Klar ist aber, dass es ein enormes Sicherheitsrisiko ist! Dabei sei DMZ eingeschaltet. Was ist das? Mit SSL könnte man das FTP sicherer machen. Wie stelle ich das ein?
Die beste Variante wäre ein VPN.

Alles in allem komme ich zu folgender Schlussfolgerung:
- Zu Hause: DMZ beenden (wenn ich wüsste was das ist?). Den FTP auf SSL ändern (wenn mir jemand sagen kann wie ich das anstellen soll?)
- Im Büro: Ich schliesse wieder alle Ports und stelle den FTP-Service und die Dyndns ab. Der Router hat (glaube ich zumindest gesehen zu haben) einen VPN-Service. Damit liesen sich alle Probleme erschlagen und die Sicherheit wäre wieder gewährleistet.

Könnt ihr "Götter" mir das mit dem SSL und DMZ erklären?

He herzlichsten Dank für euer Wissen!!!

 

[Trolli]

Eine DMZ ist eine demilitarisierte Zone. Bei günstigen Heimroutern heisst das in der Praxis nichts anderes, als dass der Rechner in der DMZ komplett zum Internet hin freigegeben ist. Jede Anfrage auf egal welchem Port wird an diesen Rechner weitergegeben, deshalb ist dieser Rechner für alle Angriffe besonders anfällig. Wenn ich das gerade richtig nachgeschaut habe, wird diese Funktion bei Deinem Router als "Static NAT" bezeichnet.

EDIT: Ah ja - SSL: Über SSL kann eine FTP-Verbindung verschlüsselt werden. Dabei gibt eigentlich der zugreifende Client das entsprechende Kommando, damit der Server die Verschlüsselung anschmeisst. Das ist bei FTP immer möglich und wird wie gesagt beim Client entsprechend eingestellt. Wenn man aber möchte, dass die FTP-Verbindungen auf jeden Fall immer verschlüsslet sein sollen, kann man im Disk Station Manager die Option "nur SSL/TLS" erlauben" aktivieren. Dann wird die eine unverschlüsselte Verbindung direkt nach der Anmeldung vom Server wieder getrennt.
-> http://de.wikipedia.org/wiki/FTP_über_SSL
-> http://de.wikipedia.org/wiki/SSL-Verschlüsselung

 

[Epinephrine]

Hi Trolli

Thanx für die Info. Jep, Static Nat war schon immer ausgeschaltet. Wie empfohlen hab ich SSL/TLS aktiviert auf der Syno und ebenfalls der HTTPS-Dienst. Nun komm ich leider nicht mehr auf die Syno via FTP, FireFTP schreibt immer:

- The certificate is only valid for synology.com.
- The certificate does not come from a trusted source.

Was soll ich damit machen?

He aber eine andere Frage: FTP hin oder her. Jeder Benutzer dieser Syno kann sich auch ganz normal im Browser einloggen und dort die Daten hoch oder herunterladen, SSL und SFTP hin oder her. Ist dass dann sicherer?

Merci!!!

 

[Trolli]

Das mit dem Zertifikat ist nur eine Warnung, die man einfach ignorieren kann. Das hat keine Auswirkung auf die Sicherheit der Verbindung. Verschlüsselungen (egal ob FTPES oder HTTPS) basieren immer auf Zertifikaten, die von Zertifizierungsstellen ausgegeben werden und dann nur für eine bestimmte DNS gültig sind. Da Synology Deine DNS ja nicht kennen kann, wird ein Standardzertifikat benutzt, das auf synology.com ausgestellt ist und damit natürlich nicht zu Deiner DNS passt, außerdem wurde das Zertifikat nicht von einer bekannten Zertifizierungsstelle ausgestellt, sondern von Synology. Diese Zertifikatwarnungen werden bei jeder gesicherten Verbindung zu Deiner DS angezeigt, in manchen Clientprogrammen kann man dauerhafte Ausnahmen für diese Fälle hinterlegen, in anderen wiederum ist das nicht vorgesehen.

Man kann diese Warnungen auch wegbekommen, indem man sich entweder ein entsprechendes Zertifikat kauft oder selber erstellt, wobei die selbst erstellten Zertifikate dann wieder auf dem Clientrechner installiert werden müssen, da diese ja dann wieder nicht von einer bekannten Zertifizierungsstelle ausgegeben wurden.

Unverschlüsselte Verbindungen sind generell unsicher (egal ob Browser oder FTP), da dabei der Benutzername und auch das Passwort im Klartext übers Internet geschickt werden. Auf dem Übertragungsweg können diese Daten dann theoretisch ausgelesen werden. Wie groß die Wahrscheinlichkeit ist, dass das tatsächlich passiert, kann ich nicht wirklich beurteilen. Deswegen sollte man auch im Browser nur verschlüsselte HTTPS-Verbindungen verwenden, sobald irgendwelche Passwörter im Spiel sind. Beim Disk Station Manager geht man dazu über

https://DeineDNS:5001

für die File Station benutzt man

https://DeineDNS:7001

Die HTTP-Ports 5000 und 7000 sollten im Router nicht weitergeleitet werden.

 

[Epinephrine]

Guten Morgen Trolli

Ok, das mit dem SSL hab ich.

Das mit dem https hingegen nicht. Die beiden Dienste (FTP: nur SSL/TLS verbindungen und Webdienste: nur https) hab ich aktiviert. auf die Kiste komm ich aber nur per http://xxx.dyndns.org:5000, egal ob lokal oder extern. 5000 hab ich nie irrgendwo freigeschaltet, komm aber immer drauf. Soll ich nun 5001 freischalten?

Thanx!!!

 

[Trolli]

Genau das ist das Problem. Bei Dir scheinen alle Ports zum Internet hin frei zu liegen. Das musst Du unbedingt noch in den Griff bekommen. Zur Not mit einem neuen Router.

HTTPS musst Du evtl. noch aktivieren:

 

[Epinephrine]

Ich leg ein Ei!!!

Jungs ihr seit "Sebäsiechä"! (CH-Deutsch ... )

Das Unbekannte lag im Router der Swisscom (Netopia): Dort kann man IP-Weiterleitung einstellen. Dann muss man aber auf der Syno die WAN-IP und co. einstellen; also alles was der Router nach aussen hat. Und dan hat man dieses DMZ, ohne das man sowas je wollte... Die Syno verliert ihre interne IP und ihren Namen, sie ist nurnoch via Dyndns auffindbar. Aber, man kann sie so ins Windoof einbinden und dieses merkt dann nicht mal mehr, ob die Syno intern oder sonstwo auf der Welt seht. Super, aber super-gau, hab ich gelernt. Also, auf dem Router zwingend IP-Weiterleitung deaktiviern und dafür NAT den Port 5001 freigeben. Über die Netzwerkeinbindung von Windoof geht dann nichts mehr, aber dafür ist's sicher!

FireFTP hab ich aufgegeben: Der mäckert sooo laut, das da was nicht in Ordnung sein sollte, da hab ichs aufgegeben. Man kann ja schliesslich mit dem Browser auf die Syno. Obwohl, Trolli war der Meinung, die Sicherheitsmeldung sei zu vernachlässigen. Trotz dieser SEHR penetranten MEldungen?

Thanx and have a nice day!!!

 

[Trolli]

Ja, die Zertifikatwarnung ist definitiv normal und hat bei einem bekannten Server keine Sicherheitsrelevanz. Durch die Zertifikate soll die Identität des Servers eindeutig sichergestellt werden, was aber in diesem Fall nicht notwendig ist. Die Verbindung ist aber nach wie vor verschlüsselt. Ich hab ja auch ein paar Tipps gegeben, wie man auch diese Warnung wegbekommt. Wenn Du beim Browsen im Internet auf so eine Zertifikatwarnung triffst, solltest Du aber schon genau hinsehen.

Intern im lokalen Netz sollten die Netzlaufwerke aber noch funktionieren - nur eben nicht mehr über den DynDNS-Namen sondern über den Namen der DS (im Zweifelsfall über den Synology Assistenten einrichten).