Zwei Standorte - Synology DiskStation DS213J NAS - Gemeinsamer Zugriff

Status
Für weitere Antworten geschlossen.

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Das einzige was mich jetzt noch stört, ist dass ich irgendwo gerne eine Geschwindigkeitsbegrenzung einbauen würde. Hast du da n Tipp für mich?
#33

Und kann man es einrichten, dass sich beim Start des Client PCs der VPN Tunnel automatisch aufbaut?

Am einfachsten ein paar Euro ausgeben und Viscosity erwerben. Hier kann dann ganz einfach "Diese Verbindung bein Start herstellen" angehakt werden.

Gibt es auch als Testversion.

Gruß Frank
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
OK, danke!
sag mal, das Subnetz vom Serverstandort (in meinem Beispiel 192.168.2.xxx) darf ja nicht die selbe sein wie beim Client. Momentan ist es kein Problem weil der Client sich in einem Subnetz 192.168.17.xxx befindet. Aber angenommen ich wollte mit einem Laptop in einem Hotel oder Flughafen mich verbinden und dort ist das Subnetz auch 192.168.2.xxx wie beim Server. Dann komme ich nicht auf die NAS, richtig?
Ist es Problematisch wenn ich beim Server im Router das Subnetz auf was untypisches wie 192.168.7.xxx oder so ändere? Somit wäre die Gefahr das es zu einer Kollision kommt sehr gering oder?
Ich frage, weil ja jeder Router von Werk aus eigentlich immer 192.168.2.xxx oder 192.168.1.xxx hat. Hat das einen Grund?

Und nochmal @ALL: Gibt es eine Möglichkeit die Geschwindigkeit für die VPN Verbindung im NAS zu begrenzen?
 
Zuletzt bearbeitet:

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.158
Punkte für Reaktionen
405
Punkte
393
Hallo,
im DSM unter Systemsteuerung - Datenfluss-Steuerung kannst Du die Bandbreite begrenzen.
In einem fremden Netz kann man nie ganz ausschließen, daß nicht zufällig das Clientsubnetz und Serversubnetz gleich sind zB wenn die Subnetzmaske sehr großzügig gewählt wird. Hatten wir hier schon mal den Fall - Hotel nimmt das komplette 10er Netz mit 255.0.0.0 als Subnetzmaske - damit hast Du keine Chance wenn Dein VPN-Netz das 10er Netz benutzt (Standard bei Synology). Größere Hotels benötigen schon mehr als nur ein /24er Netz da ist der Abstand ala 192.168.7.X nicht all zu groß, würde da wesentlich höher ran gehen.

Gruß Götz
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
Hallo,
im DSM unter Systemsteuerung - Datenfluss-Steuerung kannst Du die Bandbreite begrenzen.
In einem fremden Netz kann man nie ganz ausschließen, daß nicht zufällig das Clientsubnetz und Serversubnetz gleich sind zB wenn die Subnetzmaske sehr großzügig gewählt wird. Hatten wir hier schon mal den Fall - Hotel nimmt das komplette 10er Netz mit 255.0.0.0 als Subnetzmaske - damit hast Du keine Chance wenn Dein VPN-Netz das 10er Netz benutzt (Standard bei Synology). Größere Hotels benötigen schon mehr als nur ein /24er Netz da ist der Abstand ala 192.168.7.X nicht all zu groß, würde da wesentlich höher ran gehen.

Gruß Götz

Danke! Wegen der Datenfluss-Steuerung, was muss ich Einstellen, damit nur die Verbindungen von außen gedrosselt werden? Ist das dann er UDP Port 1194 von der VPN Verbindungen? Nein, oder? Im Netzwerk kann ja ruhig die volle Bandbreite ausgenutzt werden!
was würdest du empfehlen?
 
Zuletzt bearbeitet:

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.158
Punkte für Reaktionen
405
Punkte
393
Hallo,
UDP 1194 sollte schon passen. Die Drosselung betrifft dann nur den OpenVPN-Dienst und den wirst Du ja nur von extern nutzen.

Gruß Götz
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
Hallo,
UDP 1194 sollte schon passen. Die Drosselung betrifft dann nur den OpenVPN-Dienst und den wirst Du ja nur von extern nutzen.

Gruß Götz

OK! das werde ich mal testen! Danke!
Bei der Geschwindigkeitseinschränkung kann ich leider nicht zwischen UP und Down unterscheiden oder hab ich was übersehen?

Hat es irgendwelche Auswirkungen auf mein Netzwerk, ob ich 192.168.2.xxx oder 192.168.7.xxx im Router als Subnetz eingetragen, um wenigstens mit üblichen Netzwerken nicht zu kollidieren?
 
Zuletzt bearbeitet:

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.158
Punkte für Reaktionen
405
Punkte
393
Hallo,
Hat es irgendwelche Auswirkungen auf mein Netzwerk, ob ich 192.168.2.xxx oder 192.168.7.xxx im Router als Subnetz eingetragen, um wenigstens mit üblichen Netzwerken nicht zu kollidieren?
alle Geräte die eine manuelle IP Konfiguration haben müssen entsprechend bearbeitet werden, neue IP, neues Standard-Gateway und neuer DNS-Server. Dem Rest ist es egal.

Gruß Götz
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
Danke für eure ganze Hilfe. Es läuft nun alles wunderbar.

Ich würde jetzt noch gerne einen FTP auf dem NAS laufen lassen. Natürlich nur einen SFTP oder FTPS. Welche ist die sicherste Variante? Und vor allem welche Ports muss ich dafür am Router öffnen und wie gefährlich ist das? Sollte ich die Ports nur dann öffnen, wenn der FTP benutzt wird oder kann ich diese getröst durchgehnd offen lassen?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Du hast doch jetzt ein VPN. Da solltest Du dir keine Gedanken mehr über Verschlüsselung machen müssen. Alles was da durchläuft ist schon verschlüsselt. Somit würde auch nur Standard-FTP reichen.

Gruß Frank
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
Du hast doch jetzt ein VPN. Da solltest Du dir keine Gedanken mehr über Verschlüsselung machen müssen. Alles was da durchläuft ist schon verschlüsselt. Somit würde auch nur Standard-FTP reichen.

Gruß Frank

Die VPN Verbindung ist ja für unsere interne Verbindung der Standorte A und B gedacht, so dass wir virtuell in einem Netzwerk sitzen.
Der FTP wiederrum soll auch von Dritten genutzt werden können, um uns z.B. Anhänge, die zu groß für Mails sind, schicken zu können. Dort dann auch jedem erstmal bitten eine VPN Verbindung zu erstellen ist glaub ich etwas zu kompliziert. oder mach ich grad einen Gedankenfehler?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Dort dann auch jedem erstmal bitten eine VPN Verbindung zu erstellen ist glaub ich etwas zu kompliziert. oder mach ich grad einen Gedankenfehler?

Sicherlich richtig, vor allen DIngen wenn es dann um Kunden geht, auch schon mal ein ganz anderer Sicherheitskontext. Bitte nur zu bedenken, jeder nach Aussen geöffnete Dienst ist auch eine Schwachstelle. Dann die verschlüsselten Varianten zu wählen ist auf jeden Fall richtig. Bei den Ports könnte das helfen.

Gruß Frank
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
Sicherlich richtig, vor allen DIngen wenn es dann um Kunden geht, auch schon mal ein ganz anderer Sicherheitskontext. Bitte nur zu bedenken, jeder nach Aussen geöffnete Dienst ist auch eine Schwachstelle. Dann die verschlüsselten Varianten zu wählen ist auf jeden Fall richtig. Bei den Ports könnte das helfen.

Gruß Frank

Danke für die Portliste.
Ja das ist ja meine Frage. Wenn ich es über einen SFTP laufen lassen, ist der Transfer ja verschlüsselt. Dh. die Übertragung ist ziemlich sicher. Was mich beunruhigt, sind halt die offenen Port am Router, die ja dann für unser Netzwerk eine Gefahr darstellen.
Es wird nicht oft vorkommen, dass jemand auf den FTP muss. Deswegen werde ich wohl nur die Ports öffnen, wenn es nötig ist. Ist wohl die sichererste Wahl oder?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Ganz einfaches System, ist keine Tür (Port) offen kann auch keiner durchkommen. Grundsatz Nr. 1 nur immer die Ports öffnen für Dienste die auch wirklich gebraucht werden. Alle anderen geschlossen lassen. Und nur bei Bedarf öffnen, ist die (wenn praktikabel) allerbeste Wahl.

Gruß Frank
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
OK! Vielen vielen Dank für die ganze Unterstützung!
Klasse Forum!
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
ich muss dich leider nochmal nerven.
Ich habe jetzt den SFTP gestartet. Port 22 ist geöffnet.
Ich verstehe nur die Zuordnung der User und der Ordner nicht.

Wie kann ich jetzt einen speziellen User "FTP" erstellen, dem ein Ordner zuweisen auf dem er dann landet wenn er sich mit dem FTP verbindet.

Momentan kann ich mich mit jedem User auf dem FTP verbinden, aber kann keine Files transferieren (denied)... ich denke das liegt an dem Verzeichnis.
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
ich muss dich leider nochmal nerven.
Ich habe jetzt den SFTP gestartet. Port 22 ist geöffnet.
Ich verstehe nur die Zuordnung der User und der Ordner nicht.

Wie kann ich jetzt einen speziellen User "FTP" erstellen, dem ein Ordner zuweisen auf dem er dann landet wenn er sich mit dem FTP verbindet.

Momentan kann ich mich mit jedem User auf dem FTP verbinden, aber kann keine Files transferieren (denied)... ich denke das liegt an dem Verzeichnis.

Habe das Problem selbst gelöst. Es müssen trotz SFTP noch die Port 21 und die 55536-39 geöffnet werden
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Hallo,

erst einmal zu den Priviligien. Unter Systemsteuerung / Anwendungsberechtigungen kannst Du die Berechtigungen setzen. Für deinen ftp-User sollte nur bei FTP ein Haken bestehen. Zusätzlich kannst Du noch unter Systemsteuerung / Benutzer / auf Benutzerbasis klicken und den Benutzer-Home Dienst aktivieren. Und bei deinen Angaben zu den Ports bin ich mir nicht ganz sicher. Tippe hier auch von einem Mobilgerät weshalb ich das jetzt schlecht prüfen kann. Deshalb ohne Gewähr.

In den Einstellungen für FTP gibt's einen Punkt wo Du auch aktivieren kannst, das der ftp-User dann nur in seinem Home-Verzeichnis sich bewegt. Glaube war unter "Erweiterte Einstellungen".

SFTP nutzt meiner Meinung nach nur den Port 22.
FTPS wiederum die Standardports wie oben genannt aber per SSL.
Ich verwechsle das gelegentlich. Wichtig ist nur das Du eine verschlüsselte Variante nutzt und nicht zufällig nur Standard-FTP unverschlüsselt.

Gruß Frank
 

davidii

Benutzer
Mitglied seit
30. Jun 2013
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
Hallo,

erst einmal zu den Priviligien. Unter Systemsteuerung / Anwendungsberechtigungen kannst Du die Berechtigungen setzen. Für deinen ftp-User sollte nur bei FTP ein Haken bestehen. Zusätzlich kannst Du noch unter Systemsteuerung / Benutzer / auf Benutzerbasis klicken und den Benutzer-Home Dienst aktivieren. Und bei deinen Angaben zu den Ports bin ich mir nicht ganz sicher. Tippe hier auch von einem Mobilgerät weshalb ich das jetzt schlecht prüfen kann. Deshalb ohne Gewähr.

In den Einstellungen für FTP gibt's einen Punkt wo Du auch aktivieren kannst, das der ftp-User dann nur in seinem Home-Verzeichnis sich bewegt. Glaube war unter "Erweiterte Einstellungen".

SFTP nutzt meiner Meinung nach nur den Port 22.
FTPS wiederum die Standardports wie oben genannt aber per SSL.
Ich verwechsle das gelegentlich. Wichtig ist nur das Du eine verschlüsselte Variante nutzt und nicht zufällig nur Standard-FTP unverschlüsselt.

Gruß Frank

Danke!
Wenn ich allerdings auf Benutzerbasis gehe und den Benutzer-Home Dienst aktivieren will, bietet er mir nur die gesamte Festplatte an?!
Ich umgehe das Problem allerdings auch so, dass ich für jeden Benutzer einen Ordner angelegt habe, der für alle anderen Benutzer ausgeblendet ist.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.158
Punkte für Reaktionen
405
Punkte
393
Hallo,
die Auswahl des Volume bezieht sich auf den Speicherort wo die home Verzeichnisse angelegt werden sollen.

Gruß Götz
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Wenn ich allerdings auf Benutzerbasis gehe und den Benutzer-Home Dienst aktivieren will, bietet er mir nur die gesamte Festplatte an?!
Ich umgehe das Problem allerdings auch so, dass ich für jeden Benutzer einen Ordner angelegt habe, der für alle anderen Benutzer ausgeblendet ist.

Und genau das macht dieser Dienst. Er legt für jeden Benutzer einen eigenen Ordner an auf den nur er Zugriff hat. Die Ausnahme dann "admin" der kann auch unter "homes" und man beachte das "s" am Ende von "homes". Auf alle Odner zugreifen. Vorteil bei Benutzerbasis ist z.Bsp. auch das dann dieser Home-Ordner als Stammverzeichnis bei ftp genommen werden kann.

Gruß Frank
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat