Zugriff von extern einschränken

Status
Für weitere Antworten geschlossen.

TantGerda

Benutzer
Mitglied seit
13. Okt 2016
Beiträge
90
Punkte für Reaktionen
5
Punkte
8
Hallo zusammen.

Ich habe hier eine DS916 mit aktueller DSM Version und einigen Usern. Die User haben unterschiedliche Zugriffsrechte auf Dateien und Verzeichnisse über File Station. Die DS ist via Dyn DNS und Portweiterleitung auf dem Router für den Zugriff von außen eingerichtet.

Bsp:
- User Tom hat Zugriff auf das Verzeichnis DATEN und AUSTAUSCH.
- User Ute hat Zugriff auf das Verzeichnis AUSTAUSCH.
- User Alf hat Zugriff auf das Verzeichnis DATEN, AUSTAUSCH und GEHEIM.

Die Dateien, die im Ordner AUTAUSCH liegen sind nicht sooo wichtig, bspw. Fotos vom letzten Betriebsausflug. Die Dateien in den Ordnern DATEN und GEHEIM sind sensibel, bspw. Rechnungen (Ordner DATEN) oder Mitverträge (GEHEIM).

Nun hätte ich am liebsten, dass alle User sich von extern anmelden können, aber dann nur den Ordner AUSTAUSCH sehen. Wenn sie sich von intern anmelden (also über die lokale IP aus dem internen LAN oder per VPN) sollen sie alle Ordner sehen können. Das wird wohl so nicht gehen, oder? Zumindest habe ich irgendwo hier im Forum gelesen, dass die Syno nicht unterscheiden kann, ob jemand von außen oder von innen "kommt". Ich möchte aber vermeiden, dass die Syno dauerhaft von außen erreichbar ist und somit ja auch alle (sensiblen) Daten...

Also die einzige Möglichkeit, die mir einfällt, ist die, dass man eine Syno hinstellt für sensible Daten und die nur im LAN (bzw. per VPN) erreichbar ist und eine zweite, die nur als Austausch-Plattform fungiert. Aber das kann ja nicht die Lösung sein...

Die drei User oben sind nur beispielhaft, es gibt noch deutlich mehr User.
Den Zugriff von extern ganz und gar abzuschalten und allen Usern VPN einzurichten ist aus verschiedenen Gründen keine Option.

Ich würde das gerne so individuell einstellen können, dass man bspw. auch sagen kann, dass der User, wenn er von außen "kommt" nur Verzeichnisse A, B und C sieht und auch nur die Anwendungen X, Y und Z nutzen kann. Also von innen kann er auf alle Verzeichnisse zugreifen, wo er Berechtigungen hat und auch alle Anwendungen nutzen (bspw. Photostation, Notestation etc.). Von außen aber eben nicht.

Ich bin auf eure Idee gespannt, befürchte aber, dass es so strikt und detailliert nicht machbar ist?!?

PS: Es muss nicht zwingend auf Userebene eingeschränkt werden. Wenn man es auf Datei-/Verzeichnis-/Anwendungsebene einstellen könnte, wäre auch OK.

Vielen Dank schon mal.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Du hast dir doch alle Fragen schon mehr oder weniger selbst beantwortet. Es ist aktuell nicht möglich und die einzige saubere Trennung ist die "das kann ja nicht die Lösung sein" Lösung (mit Diskstations).
 

TantGerda

Benutzer
Mitglied seit
13. Okt 2016
Beiträge
90
Punkte für Reaktionen
5
Punkte
8
Du hast dir doch alle Fragen schon mehr oder weniger selbst beantwortet. Es ist aktuell nicht möglich und die einzige saubere Trennung ist die "das kann ja nicht die Lösung sein" Lösung (mit Diskstations).

Ja ich weiß, hatte diesbezügllich ja auch schon etwas recherchiert.. Aber die Hoffnung stirbt ja bekanntlich zuletzt :) Vielleicht hat hier ja noch jemand eine Idee.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
Sofern sie Intern nur über Netzwerkfreigaben zugreifen könnte man das über verschiedene "user" für intern/extern etwas einschränken. Jeder bekommt einen "userint/userext" Zugang und nur der "userext" bekommt die Filestation/Webdav etc Berechtigung mit den entsprechenden Ordnern. "userint" kann eben über die Netzwerkfreigben seine Ordner zugewiesen bekommen und bekommt keine Berechtigung für die ganzen "Apps".
 

TantGerda

Benutzer
Mitglied seit
13. Okt 2016
Beiträge
90
Punkte für Reaktionen
5
Punkte
8
Gute Idee. Geht aber leider nicht nur um Netzwerfreigaben sondern eben auch im die Apps wie Notestation, Calendar, Photostation etc. Aber dafür könnte man sich ja dann intern mit dem externen User anmelden. Also dem internen User nur Rechte auf die entspr. sensiblen Ordner geben und dem externen User nur Rechte für Apps und weniger sensible Ordner. Aber theoretisch bestünde ja trotzdem die Möglichkeit, dass sich jemand von extern mit dem internen User anmeldet und dann die sensiblen Daten sieht...

Angenommen, man schaltet den kompletten Zugriff von extern ab, also keine Portweiterleitung etc. sodass die User nur per VPN Zugriff haben. Bestünde denn die Möglichkeit, trotzdem via Filestation geteilte Verknüpfungen an externe zu verteilen, um bspw. die Fotos der letzten Weihnachtsfeier an Dritte zu verteilen? Also NUR Zugriff von extern auf eben diese Verknüpfung??
 
Zuletzt bearbeitet von einem Moderator:

TantGerda

Benutzer
Mitglied seit
13. Okt 2016
Beiträge
90
Punkte für Reaktionen
5
Punkte
8
Es ist aktuell nicht möglich und die einzige saubere Trennung ist die "das kann ja nicht die Lösung sein" Lösung (mit Diskstations).

Hallo Fusion, zu deinem Kommentar noch mal eine Frage: Bezieht sich dein "aktuell nicht möglich" auf Informationen, dass es bald möglich sein wird, also nach einem DSM Update o.Ä. ?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Es gab mal Gerüchte, dass mit DSM 6.2 oder später in diesem Bereich Änderungen kommen könnten. Bis jetzt hat sich das leider noch nicht bestätigt.
Einzig kann man aktuell bei den Berechtigungen für die Anwendungen unter (Systemsteuerung > Berechtigungen) eine Einstellung nach IPs setzen.
Vielleicht hilft dir das ja noch weiter.
 

TantGerda

Benutzer
Mitglied seit
13. Okt 2016
Beiträge
90
Punkte für Reaktionen
5
Punkte
8
Und noch eine Fraqge: Wäre es vielleicht ein Ansatz, eine Virtuelle Maschine auf der Syno einzurichten auf der ebenfalls DSM läuft und dann die Portfreigaben nur für die VM zu machen?? Da werde ich mich mal schlau machen.
 

Andy14

Benutzer
Mitglied seit
05. Mrz 2014
Beiträge
1.013
Punkte für Reaktionen
0
Punkte
0
... Aber theoretisch bestünde ja trotzdem die Möglichkeit, dass sich jemand von extern mit dem internen User anmeldet und dann die sensiblen Daten sieht...
Es sind ja nur die Dienste möglich die unter "Berechtigungen" freigegeben wurden. Wenn "user intern" keine Berechtigung für Desktop/FileStation etc. hat, dann kann er sich weder von intern noch von extern dort anmelden!
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@TantGerda - natürlich kannst du ein vDSM laufen lassen (mit Einschränkungen z.B. MailPlus Server geht dort nicht).
Musst dann halt auch die benutzer auf beidem Systemen anlegen bzw diese sich dort anmelden und die entsprechenden Nutzdaten auf dem Host-DMS oder dem vDSM vorgehalten werden.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat