Zugriff aus dem Internet wie sicher? Welche Variante am besten?

Turbolocha

Benutzer
Mitglied seit
23. Dez 2020
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Servus Leute,
ich muss sagen dass mein Kopf schon wieder am rauchen ist und ich verstehe langsam wieder nur Bahnhof, das ganze Netz und Netzconfig Thema
ist einfach so gigantisch und so komplex.....vielleicht blicke ich auch einfach die Grundlagen nicht. Was z.B. eine VPN macht, bzw. was da geschützt wird etc.

Aber egal nun zu meiner Frage.
Ich finde das Thema mit dem Quickconnect schon ganz geil vor allem weil hin und wieder Daten benötigt werden
von meinem NAS und ich sie bequem ziehen kann, allerdings ist die Frage wie sicher das ganze ist?

Vielleicht kann mir einer einfach mal in paar groben Worten erklären wie und was da zusammenhängt.
Ich möchte einfach so sicher wie mit meinen Mitteln möglich mein NAS einrichten um damit zu arbeiten und keine Doktorarbeit über Synology und Netze zu schreiben :D

Was ich habe:
-DS 720+
-FritzBox 7590
-Mehrere Domains mit Lets encrypt Zertifikaten

Meine Wünsche:
-Zugriff auf DS via Browser unterwegs (wenn es überhaupt soweit möglich ist, evtl. kann man den Admin User deaktivieren?)
-eingebundenes Netzlaufwerk im Netz und unterwegs (Die Frage wurde mir schon beantwortet -> "VPN", das ganze kann ich auch in der FritzBox vornehmen?)

Ich wäre euch echt dankbar wenn Ihr mich einfach etwas abholen würdet.
Evtl. hat jemand Lust mir das ganze am Telefon gegen eine kleine Spende zu erklären, gerne per PN :)


Ich bin wie gesagt schon wieder seit 4 Stunden am lesen und Videos schauen und verstehe gefühlt noch weniger wie davor

Vielen Dank

Alex
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Verständlich, daß dir der Kopf schon raucht.
Trotzdem oder vielleicht auch gerade deswegen verstehe ich deinen post nicht so recht: was konkret ist denn die Frage?
Du willst von unterwegs ins Netz zu Hause. Wenn es dir um Sicherheit geht, dann nimm vpn. Entweder auf die Fritz Box oder auf ne raspberry pi. Auf dem NAS würde ich es nicht machen.
Quickconnect bietet nur eine einfach zu handhaben Art der Verbindung. Sowohl das zu greifende Gerät als auch NAS sind in einem synology eigenen Server vermerkt, dieser leitet dann die Anfrage durch sich auf dein NAS um. Mal ganz einfach gesagt. Dabei wird aber auch nur der Verkehr umgeleitet, nicht zusätzlich verschlüsselt, afaik. Nutzt du also qc und kein https, so ist das eher doof. Und ob man da als mittelsmann synology vertrauen möchte, muss wohl jeder selbst entscheiden...
Also, stell deine Frage doch mal konkreter. Dann kann auch konkret geantwortet werden...
:)
 

Turbolocha

Benutzer
Mitglied seit
23. Dez 2020
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Hey, vielen Dank für deine Antwort.

Ja um es einfach zu sagen, ich habe momentan eine DS die ich frisch eingerichtet habe und habe noch keine Schritte in Richtung Sicherheit vorgenommen.

So wäre evtl. erstmal interessant zu wissen welche Punkte da angegriffen werden sollen.
-den Zugriff auf die DS auf VPN umstellen, habe ich soweit verstanden. Bzw ersteinmal in der Theorie. Wie genau ich des mache und mit den ganzen Ports und Firewall da tue ich mich noch ganz schwer weil in den ganzen Tutorials immer wieder gesagt wird "ja dann müsst ihr noch Ports etc. freigeben" aber keiner geht da wirklich mal drauf ein.

-Zugriff aus dem Internet, in dem Fall über qc, wie kann ich die ganze Geschichte so sicher wie möglich gestalten? Mir geht es halt auch darum dass ich einfach mal unterwegs z.B. von der Arbeit aus (wo ich keine Programme installieren darf/kann) einfach mal über den Browser auf meine DS zugreifen kann. Deshalb habe ich da an SSL etc gedacht, evtl. kann ich da irgendwie meine Domains einsetzen bei welchen ich Lets Encrypt Zertifikate habe.
Aber da habe ich bisher keinen Ansatz wie ich das angehen soll.
Oder gibt es da ganz andere Alternativen/Varianten wie das qc?

Danke euch
 

zxmc

Benutzer
Mitglied seit
11. Apr 2019
Beiträge
60
Punkte für Reaktionen
11
Punkte
8
Richte VPN auf der Fritzbox ein, einen VPN-Client auf deinem Endgerät und fertig. Ist die einfachste Lösung.

Quickconnect ist m.E. nur dann eine sinnvolle Option, wenn dein Internetanschluss von aussen nicht erreichbar ist.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
VPN über die FB ist eine schnell eingerichtete Lösung, und reicht für normale Zugriffe aus. Vorteil: Die MyFRITZ-Adresse ersetzt den DDNS-Service, den man sonst noch einrichten muss. Darüber findet das VPN die FritzBox, auch wenn man keine feste externe IP hat.

Die Geschwindigkeit des Fritz-VPNs wurde mit Fritz!OS 7.20 deutlich verbessert. Leider schaffen es einige Provider immer noch nicht, das auf die Router zu laden (hat jemand Vodafone gesagt ....).

Zeitgleich kann ein FritzBox-User nur eine VPN-Verbindung aufbauen. Falls mehrere Zugriffe zeitgleich nötig sind, mehrere User auf der FB anlegen, und jedem sein VPN einrichten.

Quickconnect mit einem starken Passwort ruhig lassen, als Rückfallebene.
 

abrocksi

Benutzer
Mitglied seit
27. Dez 2013
Beiträge
250
Punkte für Reaktionen
81
Punkte
28
Hallo Turbolocha,
wenn Du magst können wir gerne kurz mal dazu telefonieren.
cheers,
abrocksi
 

zxmc

Benutzer
Mitglied seit
11. Apr 2019
Beiträge
60
Punkte für Reaktionen
11
Punkte
8
Quickconnect mit einem starken Passwort ruhig lassen, als Rückfallebene.
Naja, das qc-Passwort braucht man nicht, um von aussen auf die DS zu kommen. Wichtig wäre eher, dass die Benutzerkonten auf der DS sichere PW haben und/oder 2fa-geschützt sind. Und zwar alle.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.669
Punkte für Reaktionen
1.566
Punkte
314
Vielleicht schaust du dir mal bei AVM an, wie man ein VPN einrichtet *klick*

Wenn du die Sicherheit der DS weiter erhöhen möchtest (unabhängig von VPN) dann könnte dich das hier vielleicht interessieren *klick*
 
  • Like
Reaktionen: Snyder

Turbolocha

Benutzer
Mitglied seit
23. Dez 2020
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Guten Abend an alle,
nachdem ich mit abrocksi telefoniert habe und er mir eine grobe Richtung gegeben hat(vielen dank nochmal für das nette Gespräch!!!),
habe ich nun geschafft eine DDNS Verbindung herzustellen.

Habe allerdings das Problem dass beim aufrufen der Domain mir eine Meldung mit "unsicherer Seite" erscheint.
Klicke ich dann auf "trotzdem besuchen"....komme ich drauf auf meine DS.

Meine Domain die ich verwendet habe ist mit einem Let´s encrypt Zertifikat versehen und sollte eigentlich den grünen
Hacken haben.

Habe das ganze über meine Fritzbox eingerichtet,
also die DynDNS Funktion von Fritzbox.
In der DS habe eine feste IP gegeben.
Ports (5000 (http) und 5001(https)) geöffnet für FIle Station

Habt ihr eine Idee woran es liegen sollte?

Danke
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Der Name der Domain wie du sie im Browser verwendest muss exakt übereinstimmen mit dem Namen im Zertifikat.
Wenn man sich die Warnung genauer ansieht steht es meistens schon da woran es hakt.
 

Turbolocha

Benutzer
Mitglied seit
23. Dez 2020
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Das sehe ich auf meinem Handy
 

Anhänge

  • Screenshot_20210126-2hgtrtg10639.jpg
    Screenshot_20210126-2hgtrtg10639.jpg
    192,1 KB · Aufrufe: 26

Turbolocha

Benutzer
Mitglied seit
23. Dez 2020
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Der Name der Domain wie du sie im Browser verwendest muss exakt übereinstimmen mit dem Namen im Zertifikat.
Wenn man sich die Warnung genauer ansieht steht es meistens schon da woran es hakt.
Kann es daran liegen dass ich die verwendete Subdomain nicht angelegt habe?
Habe es direkt in die DDNS Verbindung eingetragen
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wenn du https://sub.example.com aufrufst, dann muss auch sub.example.com im Zertifikat stehen.
Egal ob eigene Domain oder dynDNS, das hat damit alles nix zu tun. Es geht nur um die Übereinstimmung.
 
  • Like
Reaktionen: the other

Turbolocha

Benutzer
Mitglied seit
23. Dez 2020
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Das habe ich alles so eingerichtet, zeigt leider trotzdem unsichere Verbindung an, bin langsam am Verzweifeln.
Habe vorher gesehen dass er irgendwas von "Synology" Zertifikat gemeldet hat, kann es sein dass ich mein Let´s encrypt nochmal woanders hinterlegen muss?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Und wenn dann alles funktioniert mal drüber nachdenken, den Port 5000 für unverschlüsselt http wieder zu schließen und in der ds ggf auch einzurichten, dass eh alles auf https geleitet wird, als Vorschlag. Oder brauchst du das unbedingt?
;)
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wir können ja nicht sehen oder ahnen was du wo "hinterlegt" hast. Noch nicht mal, was du damit genau meinst.

Wenn du keinerlei vHost, reverse Proxy oder benutzerdefinierte Domain mit sub.example.com auf der DS eingerichtet hast musst du unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren dein LE Zertifikat dem Dienst "Systemvoreinstellung" zuweisen.

@the other - wenn http zu ist braucht es auch keine Umleitung auf https, weil es gar nicht umzuleiten gibt, kommt ja dann alles auf https eh schon rein. :)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Ja, @Fusion , das stimmt... Dachte mir dazu: Port zu machen, weil eh doof. Und im NAS umlegen, für den verschlüsselten Verkehr auch im LAN...
:)
Abgesehen davon würde ich wie so oft schon zum besten gegeben meinerseits eh zu vpn raten... ;)
 

Turbolocha

Benutzer
Mitglied seit
23. Dez 2020
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Servus Leute, vielen Dank für eure Antworten, der Fehler lag wirklich daran dass ich mein Zertifikat in der DS selbst zwar eingeflegt hatte, aber nicht umgestellt dass die DS über diesen zugreifen soll.

Habe momentan ein anderes Phänomen was ich mir nicht erklären kann.

Habe ja meine DDNS Domain eingerichtet, diese sieht in etwa so aus: nas.meinedomain.de:5001,
so jetzt kann ich über mein Smartphone darauf zugreifen, aber sobald ich von meinem Arbeits PC darauf zugreifen
will geht es nicht. Zeigt mir eine weiße Seite mit "Diese Seite funktioniert nicht" und "ERR_EMPTY_RESPONSE"

hat einer eine Idee was ich falsch mache?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Dein Arbeitgeber blockiert Port 5001. Alles weitere solltest Du mit diesem klären, Rechtsberatung kannst Du hier nicht bekommen.
 
  • Like
Reaktionen: blurrrr


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat