Verschlüsselung im lokalen Netzwerk

bjoern-511

Benutzer
Mitglied seit
21. Aug 2022
Beiträge
4
Punkte für Reaktionen
1
Punkte
3
Hallo zusammen,

ich bin vor kurzem neu in die NAS-Welt eingetaucht und stelle mir aktuell eine wohl allgemeinere Frage. Aus meinen bisherigen Recherchen habe ich jetzt mitgenommen, dass die sicherste Möglichkeit von außen auf meine Daten zuzugreifen, sich über VPN-Verbindung realisieren lässt. Die VPN-Verbindung würde ich dann in meiner FRITZ-Box realisieren. Das heißt wiederum, dass ich alles wie im lokalen Netz behandeln kann.

Aber wie konfiguriere ich jetzt eine sichere WebDAV-Verbindung über https? Gleiches gilt bei der Konfiguration vom Syno Drive Client. Kein DDNS oder QuickConnect bedeutet kein Domainname und damit auch kein Zertifikat. Ohne Zertifikat lässt sich dann auch keine verschlüsselte WebDAV-Verbindung einrichten und auch keine SSL Datenverschlüsselung im Syno Drive Client auswählen.

Übersehe ich hier etwas? Oder bin ich aktuell zu übervorsichtig und eine Verschlüsselung im lokalen Netzwerk macht gar keinen Sinn? Letztendlich bin ich hier über die Forenbeiträge zum VPN gekommen, aber leider bleibt mir die Verschlüsselungsthematik im privaten Netzwerk unklar. Wie löst Ihr das?

Was auch möglich wäre: DDNS einrichten und den Port im Router freigeben (das was ich eigentlich vermeiden wollte, da Sicherheitsrisiko) und dann die hierbei erstellten Zertifikate für die Verschlüsselung nutzen?

Über Anregung und Hilfe würde ich mich sehr freuen. Vielen Dank im Voraus. :D
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
697
Punkte für Reaktionen
91
Punkte
48
Ich würde da nur den Port für die benötigten Anwendungen freigeben, jedoch die Firewall auf der DS aktivieren so das z.B. nur Verbindung aus Deutschland zugelassen werden. Gleichzeitig die Kontoregeln anpassen, z.B. nicht den Admin Account nutzen und nach 5x Kennwort falsch wird der Account gesperrt.
Bei VPN müsstest du sonst jedesmal und von jedem Pc/Handy die VPN aufbauen um DriveClient zu nutzen.
 

bjoern-511

Benutzer
Mitglied seit
21. Aug 2022
Beiträge
4
Punkte für Reaktionen
1
Punkte
3
Mit der Firewall auf der DS ist korrekt und trägt auch deutlich zur Sicherheit bei. Wenn ich die Sicherheit aber durch VPN noch mehr erhöhen kann, dann ist es für mich kein Problem mich mit zwei-drei Klicks vorher mit meinem Handy mit dem VPN zu verbinden.
Zumal die Geräte im lokalen Netz ohnehin keine VPN-Verbindung benötigen und das bei mir der häufigste Fall ist.

Aber vielen Dank für deine schnelle Antwort :)
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Die Verschlüsselung kannst du im Drive Client auch ohne Zertifikat aktivieren. Musst halt dann nur die Warnung bestätigen.

Ich löse das folgendermaßen: Ich habe eine DDNS-Adresse von Synology "bestellt", diese dann eingerichtet. Anschließend die Portweiterleitung im Router deaktiviert. In meinem lokalen DNS-Server (adguard home) habe ich dann konfiguriert, dass diese DDNS-Adresse auf die interne IP meiner DS zeigt.
 
  • Like
Reaktionen: bjoern-511

bjoern-511

Benutzer
Mitglied seit
21. Aug 2022
Beiträge
4
Punkte für Reaktionen
1
Punkte
3
Genial! Auch an Dich herzlichen Dank für die schnelle Rückmeldung. Ein Tag im Forum und ich bin extrem beeindruckt von der Syno-Community!

Dein Lösungsvorschlag gefällt mir. Ich werde AdGuard mittels Docker Container auf der Synology deployen. Oder ist ein extra Gerät aus bestimmten Gründen besser? Habe hier noch einen Raspberry Pi ohne Aufgabe rumliegen.
 
  • Like
Reaktionen: plang.pl

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Mit AdGuard auf der DS im Docker hast du prinzipiell nur ein kleines "Problem". Wenn du das via MACVLAN machst (so wie man das eigentlich macht), dann kann der Host (also deine DS) von Hause aus nicht mit dem Container kommunizieren. Das heißt, diese müsste einen anderen DNS-Server verwenden oder du bastelst dir eine IP-Route, sodass die DS mit dem Container sprechen kann, dazu hatte ich hier mal einen Thread aufgemacht.
Du kannst natürlich auch den Raspi nutzen, wenn der eh nur rumliegt. Ist letzten Endes deine Entscheidung.
Wenn du eh schon den AdGuard einrichtest, würde ich dir empfehlen, gleich noch den Docker-Container unbound mit aufzusetzen und einzubinden.
Wenn du hierzu noch Denkanstöße brauchst, habe ich hier noch ein paar Links für dich:
Komplett-Tutorial
Nur für AdGuard
Alternative: pi-hole (macht im Endeffekt das Gleiche wie AdGuard, muss man selbst testen, was einem besser liegt)
Einrichten einer IP-Route in der DS zum Docker-Container

Der Vorteil der ganzen Sache ist: Danach hast du gleich noch einen netzwerkweiten Werbeblocker!
Wenn du es einfach und schnell magst: Dann genügt für dein Vorhaben auch der Synology DNS-Server. Blockt halt dann keine Werbung.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat