Zugriff auf freigegenen Ordner auf LAN begrenzen

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
384
Punkte für Reaktionen
40
Punkte
34
Hallo zusammen,

ich würde gerne einen freigegebenen Ordner nur über das LAN erreichbar machen. Also Zugriffe aus dem Adressbereich 192.168.xxx.xxx des DHCP sollen den Ordner sehen und nutzen dürfen (schreiben und lesen), Zugriffe aus dem WAN (also aus dem Internet) sollen unterbunden werden.

Dies soll nur für einen einzigen Ordner gelten. Hat jemand einen Tipp?

Danke und Grüße
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.364
Punkte
194
Das wird nicht funktionieren.
du kannst nur dienste so einschränken.
 

Der Paul

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
131
Punkte für Reaktionen
26
Punkte
28
In der Firewall der DS kannst Du bei den Regeln "Windows file server" aus den "built-in applications" auswählen und unter Source IP Deine DHCP Range eingeben. Action ist dann "allow"
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.364
Punkte
194
Da kannst doch aber keinen ordner mit einschränken
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.173
Punkte für Reaktionen
929
Punkte
148
@metalworker hat recht. Einschränkungen über die DS Firewall gehen m. M. nach Diensten nicht nach Ordnern. Ordnerberechtigung/-beschränkungen muss du über die freigebenen Ordner regeln.

@RalfPeter : Kannst du mal etwas näher auf deinen Anwendungsfall eingehen? Warum möchtest du das so reglementieren?
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
384
Punkte für Reaktionen
40
Punkte
34
@RalfPeter : Kannst du mal etwas näher auf deinen Anwendungsfall eingehen? Warum möchtest du das so reglementieren?
Ja klar kann ich das näher erklären: die meisten meiner Dateien sind zwar wichtig (werden jeden Tag gesichert), würden aber im Verlustfall niemand anderem helfen oder etwas preisgeben.

Ich möchte aber auch Dateien ablegen (z.B. Passwortdateien aus KeyPass), die nur innerhalb des eigenen LAN geööfnet werden können sollen. Mit Keypass for Android hat man dann eine synchronisierte Datei auf dem Smartphone. Die Synchronisation ist aber nur innerhalb des LAN möglich und findet nie über öffentliche Zugänge statt.

Diese Dateien wären aber im Zweifel (jemand hakt und bekommt Zugang zu den Daten) z.B. auch per FileStation oder DS File zugreifbar.

Meine Idee: die sensiblen Dateien nur zugreifbar machen, wenn das zugreifende Gerät im LAN ist.

Aber vielleicht gibt es ja bessere Ansätze?
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.364
Punkte
194
Was hast denn von außen erreichbar gemacht? bzw. wie .

Ich hab das bei mir z.b. mir 2 getrennten NAS Systemen gelöst.

Alternativ könntest du auch ne V DSM aufsetzten , und nur dort daten rein die von außen erreichbar sein sollen.
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
384
Punkte für Reaktionen
40
Punkte
34
Zugreifbar ist (user und gruppen gesteuert): Fotos, Musik, Videos und die Dateien des Benutzers.

2 DS? Wow, Luxus :)
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.364
Punkte
194
nee ich meinte wie genau.
Also Portfreigabe nach außen ?

Vielleicht kannst es auch per VPN lösen?

Na als ITler . Und ich teste damit zuhause viel . Um dannach das auf Arbeit um zu setzen.

daher ist alles was direkt von außen erreichbar ist bei mir getrennt in der DMZ .
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.173
Punkte für Reaktionen
929
Punkte
148
Mit Keypass for Android hat man dann eine synchronisierte Datei auf dem Smartphone
Hallo RalfPeter,

danke für deine Info. Wenn es "nur" um Keepass geht, würde kurz erläutern, wie ich verfahre: Ich habe einen Ordner, wo nur 4 Personen Zugriff (+Admin) -> nämlich meine Familie (ich + Frau + 2 Kinder).

Punkt 1: Ich habe einen Reverse Proxy und keinen weiteren direkten Zugang von außen. Also ist der Zugriff per SFTP ohne Umwege NICHT möglich.
Punkt 2: Den SFTP Port habe ich gewechselt und in der OpnSense Firewall nur für Intern + VPN Nutzer freigegeben. Somit MUSS zwangsläufig von "Außen" VPN aktiviert werden.
Punkt 3: Ich nutze Keepass XC. Vorteil hier: Die Import/Exportfunktion. Ich bin der "Hauptadmin" der Datenbank und Exportiere für meine Familie 3 weitere "Teil"datenbanken.
Punkt 4: Zusätzlich zum Hauptpasswort ist BEIM Hauptadmin ein Yubikey zum Entschlüsseln erforderlich. Bei den "Unter"datenbanken gibt es jeweils ein KEYFILE, welche sich NUR auf den Endgeräten und NICHT auf dem NAS befinden.
Punkt 5: Jetzt kommt sicherlich die Frage? Was ist wenn das/die KEYFILE(S) weg ist/sind? Sind sie nicht, Sie befinden sich als Anhang in meiner Keepass HAUPTDATENBANK.

In der Theorie könnte ich sogar die Datenbank in einen Cloudspeicher stellen, solange niemand meinen Yubikey in die Hand bekommt.

Vielleicht hilft dir das weiter. ;)

P.S. Auf den Smartphones nehme ich Keepass2Android mit SFTP und Passwort + Challenge Response (Yubikey)
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
384
Punkte für Reaktionen
40
Punkte
34
@Ronny1978 : das habe ich nur in Teilen verstanden. Bisher gibt es 2 kdbx Dateien, je eine für je einen Benutzer. Ich möchte nicht, dass diese Dateien "geklaut" werden.

Bei deiner Lösung: wenn ich deinen Benutzer "hake" (nur theoretisch) dann könnte ich doch per FileStation oder DS File die Datenbank klauen. Dann fehlte mir "nur" noch das Masterpasswort um die Datei entschlüsseln zu können. Stimmt das?
Besser würde mir gefallen, wenn man diese Dateien nur aus dem LAN lesen könnte (was vermutlich nicht geht).

Vielleicht könnte ich einen Benutzer anlegen, der keine Dienste und keine Rechte an sonstigen Ordnern hat, nur diesen einen Ordner (auch kein home) benutzen darf. Diesen Ordner (nennen wir ihn geheim), sperre ich auch für alle anderen Benutzer. Dieser "Geheimbenutzer" darf nur WebDAV. Den Port für WebDAV lasse ich im Router und der Firewall geschlossen.
Vermutlich (ganz sicher) könnte trotzdem jemand mit dem Benutzer root Zugriff erlangen. Aber es scheint schon viel schwerer zu sein. Oder bin ich paranoid :-( ?
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.173
Punkte für Reaktionen
929
Punkte
148
deinen Benutzer "hake" (nur theoretisch) dann könnte ich doch per FileStation oder DS File die Datenbank klauen
Jein. Hacken geht nur mit einem 2. Faktor -> Yubikey als Hardwareschlüssel ;). Solange du den nicht hast, dann "kommst du net rein".

Ich gehe mal davon aus, du hättest es an der 2FA vorbei auf mein NAS geschafft und hättest meine Datenbank bei dir auf dem PC/Laptop ->
Dann fehlte mir "nur" noch das Masterpasswort um die Datei entschlüsseln zu können. Stimmt das?
NEIN!!! Zusätzlich zum Masterpasswort benötigt du zum Entschlüsseln immer noch MEIN Yubikey. Der stellt den 2. Faktor für die Datenbank dar. Ich habe eine Sicherheitskopie der Datenbank bei mir auf Arbeit. Eine Sicherheitskopie - wo auch immer - halte ich für Pflicht. Bei meiner Frau und meinen Kindern ist der 2. Faktor der Datenbank das KEYFILE. Und das liegt nur auf dem Endgerät. Also müsstest du dort nicht nur auf das NAS kommen, um die Unterdatenbank zu stehlen, sondern auch noch auf das Handy bzw. den Laptop, müsstest schauen, was das KEYFILE ist und auch dort das Masterpasswort haben. Wie wahrscheinlich ist das für dich???
Vielleicht könnte ich einen Benutzer anlegen, der keine Dienste und keine Rechte an sonstigen Ordnern hat, nur diesen einen Ordner (auch kein home) benutzen darf
Kannst du natürlich > Freigabeordner KEEPASS -> Benutzer A1 und B1, zum Beispiel.
sperre ich auch für alle anderen Benutzer
Perfekt.

Dieser "Geheimbenutzer" darf nur WebDAV. Den Port für WebDAV lasse ich im Router und der Firewall geschlossen.
Würde ich nicht machen. Nutze SFTP und KEINE Portweiterleitung. Nutze die VPN auf deinem Router. Wenn du eine Fritzbox hast -> Wireguard. Somit kommen nur Nutzer, die auch VPN dürfen auf dein NAS, müssen den Ordner kennen, dürfen SFTP nutzen, müssten das Passwort kennen und im Idealfall die 2FA im NAS überwinden. Dann das Masterpasswort kennen und haben auch noch den 2. Faktor der Datenbank. Wenn er ALL DAS schafft, hat er meine Datenbank auch verdient. :ROFLMAO:
Vermutlich (ganz sicher) könnte trotzdem jemand mit dem Benutzer root Zugriff erlangen
Nochmal: Dann hat er deine Datenbank. Aber das Masterpasswort und den 2. Faktor der Datenbank hat er immer noch nicht.
Oder bin ich paranoid :-( ?
Naja, ist ja nicht immer schlimm, vorsichtig zu sein.

Darf ich mal neugierig sein.
Bisher gibt es 2 kdbx Dateien, je eine für je einen Benutzer
Bist das du und dein(e) Partner(in), ob mit Ring oder ohne? Pflegt dein "Gegenüber" die Datenbank selbst? Meine Frau macht das ungern. Daher bei mir Export von meiner Hauptdatenbank und Import bei ihr. Ändere ICH einen Eintrag bei mir, welchen auch sie nutzt, dann wird der automatisch bei ihr aktualisiert. Dafür gibt es ein Keepass SHARE, welches ein 80-stelliges Passwort hat. Du siehst: "Paranoid" liegt im Auge des Betrachters.

Nutzt du Keepass2 oder KeepassXC?
 

RalfPeter

Benutzer
Mitglied seit
02. Apr 2014
Beiträge
384
Punkte für Reaktionen
40
Punkte
34
Danke dir für deine umfangreiche Antwort. Ich werde das nochmals in Ruhe lesen und versuchen es nachzustellen.

Meine Frau möchte eine eigene Datei, die sie selbst pflegt. So gut wie immer am Handy. Und ich möchte auch nicht alle ihre Einträge pflegen (und will auch keinen Zugang zu ihren Anmeldungen).

Diese Änderungen werden dann (nur zur Sicherheit) in die Datei (kdbx) synchronisiert, sobald Keepass2Android (Handy) im LAN gestartet wird. Auf den PCs / Laptops läuft Keepass2.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.173
Punkte für Reaktionen
929
Punkte
148
Ergänzung zu all dem: Ein Yubikey - MIT NFC!!! - hat sich definitiv bei mir gelohnt. Sowohl meine Frau, als auch meine Kinder haben jeder einen eigenen. Und der lässt sich mittlerweile für so vieles nutzen: Google, Apple, Paypal, Amazon alles was Passkeys unterstützt. Als Hardwareschlüssel zum Beispiel bei Google, Microsoft, Synology usw. und natürlich auch für OTP Codes. Als Hardwareschlüssel und OTP Backup, hat jeder noch einen Token2. Der kann aber kein Challenge Response (für Keepass) ist aber billiger.
 
Zuletzt bearbeitet:

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.173
Punkte für Reaktionen
929
Punkte
148
Meine Frau möchte eine eigene Datei, die sie selbst pflegt
Alles gut. War nur eine Frage.
Diese Änderungen werden dann (nur zur Sicherheit) in die Datei (kdbx) synchronisiert, sobald Keepass2Android (Handy) im LAN gestartet wird
Passt. Es gibt auch am Handy eine lokale Kopie. VPN bekommt deine Frau mit Sicherheit auch hin.
Keepass2Android (Handy) im LAN gestartet wird
Per SFTP? oder Webdav? Ich würde SFTP bevorzugen.
Auf den PCs / Laptops läuft Keepass2

Schau dir trotzdem mal KeepassXC an. Da gibt es zwar keine Plugins, aber ein Yubikey wird NATIV unterstützt, auch bei Keepass2Android.
Ich werde das nochmals in Ruhe lesen und versuchen es nachzustellen
Erstelle dir eine Kopie deiner Datenbank auf dem Laptop und teste einfach. Oder mach eine neue Datenbank auf.

Wenn du Hilfe brauchst. Sag bescheid. ;)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Schon mal C2 Password (kostenfrei) probiert?
Funktioniert auf allen Systemen super und ist immer verfügbar.
Ja man nutzt die Cloud dafür aber die ist nicht unsicherer als die heimische Syno am Internet!
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.173
Punkte für Reaktionen
929
Punkte
148
Schon mal C2 Password (kostenfrei) probiert?
Grundsätzlich nicht schlecht. Aber so wie Synology mit den privaten Nutzern derzeit umgeht??? Ein NEIN von meiner Seite. Warte mal noch 1-2 Jahre dann kostet das auch.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.364
Punkte
194
Na dann vielleicht eher sowas wie Vaultwarden
 
  • Like
Reaktionen: Ronny1978

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.173
Punkte für Reaktionen
929
Punkte
148
Auch du hast recht. Aber das war, glaube ich Docker, oder? Da weiß ich nicht, was der TE dazu meint.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Grundsätzlich nicht schlecht. Aber so wie Synology mit den privaten Nutzern derzeit umgeht??? Ein NEIN von meiner Seite. Warte mal noch 1-2 Jahre dann kostet das auch.
Deine Aussage trifft somit auch auf jedes andere kostenfreie Programm ebenfalls zu. Dann am besten zu Hause bleiben, es könnte einem der Himmel auf den Kopf fallen!
 
  • Haha
Reaktionen: Ronny1978


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat