Wechsel von 1512+ notwendig >>> End-of-Availability-Benachrichtigung für DSM 6.2

[hirschferkel]

Hallo,

nachdem ich heute über die formale Benachrichtigung bezüglich der Einstellung jeglicher weiterer Unterstützung, einschließlich weiterer Sicherheits-Updates von seiten Synologys informiert wurde, hätte ich eine Frage. Die DS läuft nach wie vor (fast) einwandfrei. Allerdings habe ich ein VPN für ein regelmässiges, tägliches Backup eingerichtet, das weiterhin natürllich mit OpenVPN 2.x läuft.

Ist es notwendig nun die DS zu wechseln, weil das OpenVPN 2.x als nicht mehr sicher eingeschätzt werden sollte?
Oder kann die Station guten Gewissens weiterhin betrieben werden, wenn sie läuft? Was denkt ihr?

Schönen Gruß, hirschferkel

 

[Iarn]

Meiner persönlichen Meinung nach sollten Synology Diskstations sowieso nicht mit dem Internet verbunden werden (offene Ports).
Auch wenn das manche Forumskollegen anders sehen, sehe ich alleine die nicht mehr supporteten Linux Kernel von DSM (auch von neuen Geräten) als hinreichend großes Problem. VPN würde ich entweder dem Router überlassen oder einen speziell dafür verwendeten Mini PC verwenden mit Linux oder BSD verwenden, zur Not tuts auch ein Raspi. Der Mini PC muss dann aber auch wieder halbwegs gepflegt werden, sonst ist der Sicherheitsvorteil auch wieder schnell dahin.
Solange Du das beachtest und regelmäßig Updates machst, kannst Du denke ich die Diskstation noch weiter verwenden.

 

[ctrlaltdelete]

Wozu wird denn die DS verwendet?

 

[ottosykora]

da habe ich eine DS212j mit dsm4.3, die kann an auch per VPN erreichen wenn nötig, oder auch FTP, läuft und läuft immer noch mit original Platten, warum soll ich mich ärgern lassen?

 

[hirschferkel]

Solange Du das beachtest und regelmäßig Updates machst, kannst Du denke ich die Diskstation noch weiter verwenden.

@larn darum geht es ja, dass es keine Updates für DSM 6.2 mehr gibt.

VPN würde ich entweder dem Router überlassen

Ja ich nutze eine Fritzbox, aber soweit ich weiß, kann man da das VPN nur so einrichten, dass man sich dazu in der Fritzbox Cloud registrieren muss und das will ich nicht. Außerdem habe ich festgestellt, dass das Fritzbox VPN super langsam ist. Wenn ich das mit meinem OpenVPN Vergleiche, ist das ein fast 10-fach geringerer Durchsatz gewesen, als ich es probeweise eingerichtet hatte. Drum will ich das nicht über die Fritzbox machen ...

 

[hirschferkel]

Wozu wird denn die DS verwendet?

Ich nutze sie als Fileserver in einer Firma und eines der Backups wählt sich Nachts über VPN ein um sich die täglichen Änderungen zu ziehen.

 

[hirschferkel]

da habe ich eine DS212j mit dsm4.3, die kann an auch per VPN erreichen wenn nötig, oder auch FTP, läuft und läuft immer noch mit original Platten, warum soll ich mich ärgern lassen?

Es geht mir nur um das VPN, das ja nicht mehr geupdated wird, und bei dem ja Sciherheitslücken dann offen liegen.

 

[plang.pl]

Ich würde eine DS nicht ins Internet hängen. Meine sind nur per VPN zu erreichen. Dabei ist es essenziell, dass der VPN-Einstiegspunkt nicht das NAS, sondern der Router oder eben ein anderes Gerät im Netzwerk ist (beispielsweise ein Linux-Server mit WireGuard). Wenn es keine Software-Updates mehr gibt, ist dieser Punkt noch wichtiger.

 

[hirschferkel]

@plang.pl gut dann muss ich mich wohl auf die Suche nach einer Alternative machen... das Fritzbox VPN hat bei mir aufgrund des niedrigen Datendurchsatzes leider nicht gut funktioniert ...

 

[plang.pl]

Was hast du denn für ne Fritte? Neueste Firmware drauf? Falls deine Fritte schon WireGuard kann, hast du es damit mal versucht?

 

[Iarn]

@larn darum geht es ja, dass es keine Updates für DSM 6.2 mehr gibt.

Sorry ich wollte eigentlich schreiben "regelmäßig Backups machst"

 

[hirschferkel]

@plang.pl eine FRITZ!Box 7530 mit der neuesten Software, dort ist auch die Option für Wireguard gegeben..

Bisher wählt sich meine Synology ja selbständig bei der anderen Synology ein. Wie würde das mit dem Wireguard auf der Fritzbox funktionieren? Das kann ich ja nicht in der Synology einrichten, oder? Oder kann man eine andere Fritzbox (also diesselbe nur bei mir daheim) so einstellen, dass die sich automatisch dann bei der anderen einwählt?

@larn ich will halt so wenig geräte wie möglich betreiben, nicht nur wegen der Wartung sondern auch wegen dem Stromverbrauch.

 

[Iarn]

Die Herausforderung kenne ich aber Backups brauchen in der Regel kaum Uptime der Geräte, sobald das erste Backup erstellt ist sind die inkrementellen Backups meist nur sehr kurz wo die zusätzliche Maschine rödeln muss.

 

[plang.pl]

Wenn du zwei FritzBoxen hast, würde ich die mit Site2Site VPN verbinden. Da kann man auch einstellen, welche Geräte durch den Tunnel dürfen

 

[hirschferkel]

Die Herausforderung kenne ich aber Backups brauchen in der Regel kaum Uptime der Geräte, sobald das erste Backup erstellt ist sind die inkrementellen Backups meist nur sehr kurz wo die zusätzliche Maschine rödeln muss.

@larn Nein das meinte ich nicht. Die Backups sind schon so eingerichtet. Der Zugang über den Raspery... das wäre dann ja ein zusätzliches Gerät ....

 

[hirschferkel]

Wenn du zwei FritzBoxen hast, würde ich die mit Site2Site VPN verbinden. Da kann man auch einstellen, welche Geräte durch den Tunnel dürfen

@plang.pl na das ist doch mal ne super Idee. Das muss ich mir mal durchlesen, denn das klingt absolut genau nach dem, was ich in meinem Fall dann suche. Lässt sich das dann auch zeitlich steuern?

 

[plang.pl]

Zeitlich lässt sich das nicht steuern. Der Tunnel ist immer up. Du könntest höchstens die DS einwählen lassen über IPSec zu der Fritte. Das ginge zeitgesteuert (https://mickderksen.wordpress.com/2016/06/08/how-to-schedule-a-vpn-connection-on-synology/). Das S2S VPN würde ich aber, wenn möglich, über WireGuard einrichten.

 

[hirschferkel]

@plang.pl Das VPN habe ich derzeit zeitgesteuert eingerichtet. Das wählt sich in kurzen Abständen in einem definierten Zeitfenster auch immer wieder selbst ein, wenn es aus irgendwelchen Gründen abbricht. Aber die WireGuard Lösung bin ich jetzt am einrichten, die ist dann halt rund um die Uhr aktiv. Dachte nur das wäre dann vielleicht wieder ein Sicherheitsproblem ...

 

[hirschferkel]

@plang.pl Also das war ein super Tip mit dem Wireguard! Das ist einfach viel besser so als die VPN Verbindungen der Synology Geräte zu nutzen und auch viel sinnvoller Netzwerktechnisch. Also das läuft super so. Musste leider nur meine 6590 gegen ein 6591 tauschen ...

Eine Frage hätte ich noch, die verstehe ich noch nicht so ganz und im Netz finde ich keine hilfreiche Beschreibung. Nur so Andeutungen und hier mal ein Hinweis und da mal aber nichts konsistentes.

Ich hatte anfangs die Option "Gesamten Netzwerkverkehr über die VPN-Verbindung senden" bei der einen Box aktiviert und dann viel gleich schon mal das Telefon aus und später dann auch immer wieder das Internet stellenweise aus. Paar Seiten waren noch zu erreichen und ca 85% gar nicht mehr.

Meine Frage: Warum leitet man überhaupt den gesamten Verkehr durch die andere Box? Weil man die Firewall dort z.B. nutzen möchte?

So ganz hab ich das noch nicht verstanden. Dass das Telefon abbricht das ist logisch, da der andere Router einen anderen Provider hat. Aber warum irgendwie das DNS sporadisch ausfällt, das habe ich nicht so verstanden.

Seit ich die Option deaktiviert habe, läuft alles einwandfrei. Ist das ohne die Option "Gesamten Netzwerkverkehr über die VPN-Verbindung senden" unsicherer?

 

[plang.pl]

Warum leitet man überhaupt den gesamten Verkehr durch die andere Box?

Dafür gibt es mehrere Gründe. Geoblocking umgehen, DNS-Filter der anderen Seite nutzen zum Beispiel.
Ich nutze diese Option jedenfalls nicht. Dann wird nur der Netzwerkverkehr über den Tunnel geschickt, der da auch hin muss.