Zugriff über Internet welche Weg ist sinnvoll?

[Swp2000]

Hallo zusammen,

Da ich mittlerweile bei meinem NAS im internen Netzwerk viele der Dienste nutze (Synology Fotos, Drive, Surveillance Station) möchte ich mich nun hier auch nach Außen öffnen.
Ich habe bisher immer ein Foto-Backup gemacht wenn ich zuhause war und somit im internen Netzwerk. Nun gibt es Kollegen die mir hier und da größere Dateien zukommen lassen wollen und bisher sind wir über den Weg gefahren das diese irgendwo hochgeladen werden und ich sie dementsprechend dann heruntergeladen habe.

Da mein NAS sowieso die ganze Zeit läuft möchte ich dies nun anders handhaben und zwar so das diese direkt auf die NAS geladen werden. Auch Fotos möchte ich sofort Synchronisieren und nicht erst warten bis ich zuhause bin.
Ich weiß das es ja die Möglichkeit gibt über Portfreigaben die Dienste von Drive und Co. in der Firewall freizugeben und per DynDNS (ist vorhanden) auf die NAS zuzugreifen. Ich hatte hierzu mal ein Video von iDomix gesehen der dies wohl selbst viele Jahre so gehandhabt hat.
Wie macht ihr das? Arbeitet ihr auch mit Portfreigaben und habt hier die Firewall entsprechend geöffnet, oder sollte ich hier lieber den Weg über VPN gehen? Oder gibt es noch eine weitere Möglichkeit die noch sicherer ist?
Ich hatte mal in der Dream Maschine SE eine PPTP VPN Server eingerichtet und mich damit verbunden. Hat zwar funktioniert, jedoch sehr sehr langsam. Das möchte ich natürlich auch nicht.
Wie macht ihr das? Was könnt ihr empfehlen?

Grüße und Dank
Sven

 

[alexhell]

Ich persönlich greife über meine Domain zu. Ich habe dafür den Port 443 freigegeben und über Docker-SWAG (Reverse Proxy) verteile ich die Anfragen auf die Dienste. Dafür nutze ich nur Subdomains und ein Wildcart Zertifikat. Je nach Dienst sind auch andere Geo Locations erlaubt. Man muss bei mir also die genaue Domain kennen um es zu erreichen. Docker-SWAG hat auch direkt eine Fail2Ban mit drin. Wer bei mir z.B. nach einer Wordpress Installation wird direkt gebannt. Ansonsten wenn man sich drei mal falsch einloggt usw. Man hat auch ein Dashboard mit der Auswertung der access.log, einer Übersicht über seine Proxys und wie Anzahl der Bans in Fail2Ban.
Bei mir läuft das aber nicht auf der NAS sondern auf einer VM unter Proxmox. Aber das funktioniert auch genau so mit der DS.

Edit: Ich habe aber wirklich nur Dienste freigegeben. DSM ist nur per VPN erreichbar.

 

[ottosykora]

ja, von einem Smartphone lade ich die Bilder auch automatisch auf die DS und verwende dafür ganz plump Quickconnect.

Das kann je nach Situation genau so schnell sein wie alles andere oder eben langsam wenn auch die Daten über den Vermittlungsserver gehen. Aber es kommt an.

 

[Synchrotron]

Man sollte wohl schauen, dass Aufwand und Nutzen zusammen passen. Reverse Proxy ist schick, wenn man mehrere Dienste nutzen möchte. Hier geht es, wenn ich es richtig verstanden habe, erst mal nur um Fotos, die von Kollegen gesendet werden sollen.

Ein möglicher Weg, ohne die DS zum Netz zu öffnen, könnte folgender sein: Die Kollegen laden die Fotos in eine Cloud, die einen Upload erlaubt. Auf der DS läuft CloudSync, und holt alle neuen Daten aus diesem Cloudspeicher ab.

QC würde ich für so etwas nicht nutzen, dazu müsste ich meine QC- Adresse an Dritte weitergeben. Das vermeide ich. Für die eigene Nutzung völlig in Ordnung, also zum Beispiel, um etwas vom Smartphone zu senden.

 

[Ulfhednir]

Gab doch hierzu schon mal einen Faden:
https://www.synology-forum.de/threads/brainstorming-sicherer-fernzugriff-ohne-vpn.112757/

 

[Swp2000]

Man sollte wohl schauen, dass Aufwand und Nutzen zusammen passen. Reverse Proxy ist schick, wenn man mehrere Dienste nutzen möchte. Hier geht es, wenn ich es richtig verstanden habe, erst mal nur um Fotos, die von Kollegen gesendet werden sollen.

Ein möglicher Weg, ohne die DS zum Netz zu öffnen, könnte folgender sein: Die Kollegen laden die Fotos in eine Cloud, die einen Upload erlaubt. Auf der DS läuft CloudSync, und holt alle neuen Daten aus diesem Cloudspeicher ab.

QC würde ich für so etwas nicht nutzen, dazu müsste ich meine QC- Adresse an Dritte weitergeben. Das vermeide ich. Für die eigene Nutzung völlig in Ordnung, also zum Beispiel, um etwas vom Smartphone zu senden.

Naja, hin und wieder sind es auch Dateien die man gerne per FTP oder WebDAV rüberschieben möchte. (Bilder, Videos, Dateien)
Wie gesagt geht es mir darum was hier ein guter Weg ist, die DS stellt soviele Dienste bereit die man dann eigentlich nicht sinnvoll von außerhalb nutzen kann, ohne ein Risiko eingehen zu müssen.
Genauso, wenn jemand eine Datei haben möchte, kann man einen Link generieren und flups hat der Gegenüber diese. Schon komfortabel und gerne möchte ich davon profitieren.
Hab mich eben gefragt wie ihr da draussen dies macht, Ports zu öffnen ist nicht gerade das sinnvollste wenn ich das zwischen den Zeilen lese?

 

[EDvonSchleck]

Das kann man nicht so verallgemeinern. Ich würde es über eine Freigabe oder VPN machen. VPN sollte aber nur für Personen innerhalb der Familie bzw. Lebensgemeinschaft sein. Einer Portfreigabe über einen verschlüsselten Port zusammen mit der Firewall und dem Block-List-Script stehen aber auch nichts im Wege. Ich würde den Port 443 nutzen und auf keinen Fall die Standardports von Synology. Dazu kannst du noch 2FA aktivieren.

Keine Privatperson wird so wichtig sein, dass keinen Angreifer mehr Energie verwendet. Die meisten Logins beruhen auf einfache Bot-Netzwerke. Wenn du die Sachen umgesetzt hast, bist du gut bedient.

Die Apps kannst du einfach über die Subdomains aufrufen. Dazu hinterlegst du die unterschiedlichen Subdomains direkt in den Anwendungen, Virtual Host oder Reverse Proxy. Am besten du nutzt ein Wildcardzertifikat, dann sind alle Domains gleichzeitig abgesichert.

 

[Synchrotron]

Man kann Ports öffnen, dann muss man sie aber sauber absichern. Ein Reverse Proxy ist so eine Möglichkeit, plus eine scharf eingestellte Firewall, und all die anderen Sicherheitsdinge, die oben schon mal erwähnt wurden.

Das braucht man allerdings nur, wenn man auch anderen Zugang (zum Beispiel über Links) geben will. Das ist bei mir persönlich nicht der Fall - daher ist mein Heimnetzwerk dicht. Ich greife selbst über VPN-Zugänge darauf zu, die ich selbst hoste. Das ist von der Sicherheit her wohl die beste Lösung, aber eben nicht für Dritte.

 

[Swp2000]

Das kann man nicht so verallgemeinern. Ich würde es über eine Freigabe oder VPN machen. VPN sollte aber nur für Personen innerhalb der Familie bzw. Lebensgemeinschaft sein. Einer Portfreigabe über einen verschlüsselten Port zusammen mit der Firewall und dem Block-List-Script stehen aber auch nichts im Wege. Ich würde den Port 443 nutzen und auf keinen Fall die Standardports von Synology. Dazu kannst du noch 2FA aktivieren.

Welche Ports sollte ich dazu den verwenden für SFTP/WebDAV, Drive, Fotos. Die Ports sind ja definiert?!
D.H ich nehme abgeänderte Ports die ich von außen auf den internen 443 weiterleite?
Bin da nicht so firm wie das gemeint ist.
Kannst du mir da ein Beispiel geben?
Jedenfalls für meine Subdomain die ich habe (Strato Mail&Domain) hab ich ein SSL Zertifikat aktiviert. Die Subdomain ist auch meine DynDNS Adresse mit welcher ich von außen Zugreifen würde.
ich hoffe es ist nachvollziehbar was ich geschrieben habe.

 

[alexhell]

Intern können die Ports so bleiben. Da musst du die nicht anpassen.
Angenommen deine Domain ist example.com und dein Wildcard Zertifikat ist gültig für *.example.com, dann könntest du z.B. https://webdav.example.com einrichten. Dies wird auf deine IP aufgelöst und der Port 443 ist offen und leitet auf deine Synology. Dann könntest du im Reverse Proxy z.B. folgendes einrichten:

Wenn du https://webdav.example.com aufrufst, dann leitet er dich weiter zum Port 5006. Ich weiß nicht ob der Port so stimmt, aber den kann man ja so anpassen wie man es will. Das kannst du jetzt auch für drive und jeden anderen Dienst machen.

 

[Monacum]

Unter Anmeldeportal für Drive und Fotos, für WebDAV im entsprechenden Paket.

 

[alexhell]

Ach stimmt... Die haben das ja auch schon. Ich vergesse das immer, weil ich das nicht über die Synology laufen lasse. @Monacum hat recht. Dafür braucht man nicht mal den Reverse Proxy

 

[Swp2000]

Intern können die Ports so bleiben. Da musst du die nicht anpassen.
Angenommen deine Domain ist example.com und dein Wildcard Zertifikat ist gültig für *.example.com, dann könntest du z.B. https://webdav.example.com einrichten. Dies wird auf deine IP aufgelöst und der Port 443 ist offen und leitet auf deine Synology. Dann könntest du im Reverse Proxy z.B. folgendes einrichten:
Anhang anzeigen 81202
Wenn du https://webdav.example.com aufrufst, dann leitet er dich weiter zum Port 5006. Ich weiß nicht ob der Port so stimmt, aber den kann man ja so anpassen wie man es will. Das kannst du jetzt auch für drive und jeden anderen Dienst machen.

Hallo alex,

ja das SSL Zertifikat ist für connect.example.com eingerichtet, jedoch nicht für die Hauptdomain example.com. D.h. Ich muss in der Firewall vom Router die 443 öffnen und die Anfrage wird bei deinem Beispiel dann intern auf den Port 5006 weitergeleitet?
Wäre es in diesem Fall nicht anders herum sicherer? Den Port 443 kennt jeder, wenn ich abegr einen Port definiere mit 6666 und leite diesen intern auf die 443 macht das nicht mehr Sinn?
Reverse Proxy ist mir kein Begriff, kannst du mir erklären was damit gemeint ist, für einen Laien?

 

[ottosykora]

eine Beschreibung kann man auch hier finden: https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/application_appportalias?version=6




es führen viele Wege nach...

man kann die zu der jeweiligen Anwendung gehörende Port im Router zu der DS durchleiten.
es ist möglich die Ports 'extern' anders zu nennen, also man kann Port 59990 von aussen nehmen und diesen dann auf Port 5006 der DS leiten um zum Bsp webdav anzusprechen (Port ~Anwendung)

Man kann auch alles auf den Port 443 der DS leiten und die DS dann so einstellen, dass sie selber herausfindet was sie mit den Anfragen tun soll. Das wäre hier dann mit dem Reverse Proxy gemeint.
Das kann oft zielführender sein wenn man zum Bsp aus einem anderen Netz gar keine Anfrage an 5006 senden kann weil dies dort gesperrt ist. 443 ist immer frei, also gibt es dann kaum Behonderung.

 

[Monacum]

Reverse Proxy ist mir kein Begriff, kannst du mir erklären was damit gemeint ist, für einen Laien?

Ein Proxy ist eine Zwischenstelle, hier zwischen dem Internet und dem NAS. Reverse deshalb, weil er die aufgerufenen Adressen und Ports in umgekehrter Reihenfolge, gegenüber dem Client im Internet, behandelt.

Anders gesagt kommuniziert ein Client mit dem NAS nicht direkt bei Verwendung des Reverse Proxys, sondern eben nur über diesen (und wie hier beschrieben Port 443), ohne dass der Client erfährt, welche Ports intern genutzt werden, was u. a. die Sicherheit des Netzwerks erhöht.

 

[Swp2000]

Ok...ich wiederhole nochmal was ich verstanden habe bzgl. Reverse Proxy:
Ich gebe im Router ausschließlich den Port 443 frei und richte für jeden Dienst den Reverse Proxy ein den ich nutzen möchte?
Wenn ich den 443 freigebe, das ist ja ein bekannter Port, habe ich dann nicht mehr Probleme als wenn ich einen von mir frei wählbaren Port freigebe und diesen dann zur NAS weiterleite? Vom Verständnis her habe ich bei der zweiten Methode sicher weniger Besucher als bei der ersten? Oder sehe ich das falsch.

 

[EDvonSchleck]

Du richtest für jeden Dienst am besten eine Subdomain ein.
Es gibt keinen sicheren Port. Die meisten Logins kommen nur von Bots. Die hinter den Port 5000/5001 eine Synology vermuten. Auch ein Portscan ist schnell gemacht. Dazu wie oben beschrieben nicht die Firewall und das Block-List-Script und fertig. Ich würde auch den Port 443 nutzen.

Warum probierst du es nicht erst einmal aus?

 

[Benares]

Ok...ich wiederhole nochmal was ich verstanden habe bzgl. Reverse Proxy

Ok, ich versuch's auch nochmal verständlich zu erklären:

1. Du brauchst nur eine Portweiterleitung im Router, nämlich 443 (meinetwegen auch 80) auf die DS.
2. Im Anmeldeportal bzw. über den Reverse-Proxy rangierst du, welcher angesprochene Name wo landet. Die Ziele können auf der DS liegen, aber auch woanders.

Aber: Du brauchst einen DynDNS-Dienst, der auch Wildcard-Auflösungen unterstützt (auch irgendwas.example.com wird per DNS aufgelöst) und am Besten auch ein Zertifikat mit Wildcard-Gültigkeit (*.example.com).

Dann kannst du z.B. solche Spielchen treiben wie z.B.

• photo.example.com:443 -> localhost:5443 (Synology Photos), implizit durch Eintrag von photo.example.com als Domain für Synology Photos im Anmeldeportal)
• audio.example.com:443 -> localhost:8801 (Audio Station), implizit durch Eintrag von audio.example.com als Domain für die Audio Station im Anmeldeportal)
• bitwarden.example.com:443 -> localhost:32769 (Bitwarden-Docker-Container)
  
  aber auch z.B.
  
  
• fritzbox.example.com:443 -> fritz.box:80
• ds1522.example.com:443 -> localhost:5001
• ds415.example.com:443 -> ds415:5001

usw. usw.

Stell dir das vor wie ein Namens-basierter Rangier-Verteiler
Prinzip verstanden?

 

[Swp2000]

Hi zusammen,
ja Prinzip verstanden. Ich hab von strato das Paket Mail Basic. Hier hab ich eine Domain frei, und ich glaube 5 Subdomains. Ein SSL Zertifikat ist auch mit dabei, das habe ich mir für meine DynDNS Subdomain connect.strato.de angelegt (Auch im Router unten Punkt DynDNS ist diese hinterlegt). Das anlegen weiterer Subdomains heisst aber auch das ich für jeden Eintrag unter dem Punkt DynDNS im Router für jeden Dienst, diesen anlegen muss oder?
Soweit ich das gerade sehe kann ich aber nur einen DynDNS Eintrag hinterlegen?!

Wildcards weiss ich nicht ob dies mit diesem Paket funktioniert, ich glaube dazu müsste man ein SSL Zertifikat kaufen.

 

[EDvonSchleck]

Bei Strato sollte Wildcard funktionieren, ansonsten gibt es in der Osteraktion von Netcup günstig eine Domain (1,60 € im Jahr) oder Webspace ,(12 € im Jahr), wenn man E-Mail auch benötigt. Eventuell lohnt sich einfach ein Umzug, um es kostengünstiger zu machen. Ich habe meine Domain auch dort. Ein Umzug gestalten sich einfach und das Angebot gilt eine Woche.

Das SSL Zertifikat von Strato funktioniert nur, wenn du es in deiner DS importierst. Alternativ kannst du auch ein Zertifikat über die GUI beantragen oder acme.sh benutzen. Letztes kümmert sich um die automatische Aktualisierung allein und ohne Ports dafür zu öffnen.

Die Subdomains erstellst du einfach als CNAME oder nutzt den *-Record.

Ein Zertifikat für Wildcard musst du auch nicht kaufen! Schau einmal in dein Postfach.