DSM 7.2 DS220+ mit Fritzbox 7530 Internet trennen

[billybuy26]

Hallo an Alle,

Starte jetzt mit einer DS220+ mit Raid1 und das Teil läuft ja 24h mit Fritzbox 7530 als Router.

Kann ich das Teil so konfigurieren, dass kein externen Zugriff aus dem Internet möglich ist (brauche ich auch nicht),

bzw. soll ich dazwischen noch einen Router schalten ?

Will nicht, dass es 24 im Internet hängt, weil ich es nur intern nutzen möchte......

Danke vorab für eure Hinweise dazu!
lg

 

[Monacum]

Du kannst in der FRITZ!Box den Internetzugriff auf die Disk Station komplett sperren, dann gehen keine Pakete rein oder raus, Updates müsstest du dann bspw. manuell laden und über einen PC/Mac einspielen.

Ansonsten: Wenn keine Ports für die DS geöffnet sind, kann auch von außen nicht auf das NAS zugegriffen werden.

Für Fernzugriff empfehle ich in dem Falle VPN über die FRITZ!Box mit WireGuard.

 

[EDvonSchleck]

Gateway in der DS ändern oder Internetzugang in der Fritz!Box für die 220+ sperren.

 

[Benares]

dass kein externen Zugriff aus dem Internet möglich ist

Ich denke, @billybuy26 meint es andersrum. Das ist Standard, wenn man nichts weiter (Portfreigeben etc.) auf der Fritzbox konfiguriert (s. Bericht Diagnose, Sicherheit)

 

[billybuy26]

Ok also Gateway ändern und Fritzbox Ports schließen.

Ist es besser einen Router/Switch dazwischen, wenn jemand die Fritzbox austrickst ?

Soll man fixe IP Adresse zu vergeben ?

Danke für die Hinweise !!

lg

 

[Benares]

Was willst du denn nun? Dass die DS nicht ins Internet kommt oder keiner vom Internet auf die DS?
Denk dran, dass die DS auch Updates/Pakete aus dem Internet lädt.

 

[ctrlaltdelete]

Einfach keinen Port an Fritzbox aufmachen für die DS.

 

[Monacum]

Soll man fixe IP Adresse zu vergeben ?

Macht es im internen Netzwerk zumindest einfacher.

Ok also Gateway ändern und Fritzbox Ports schließen.

Die sollten standardmäßig gar nicht erst auf sein. Oder darf die Disk Station sich selbst Portfreigaben einrichten?

 

[EDvonSchleck]

Ok also Gateway ändern und Fritzbox Ports schließen.

Normal sind keine Ports geöffnet!

Ist es besser einen Router/Switch dazwischen, wenn jemand die Fritzbox austrickst ?

Wer soll was austricksen?

Soll man fixe IP Adresse zu vergeben ?

Wenn du den Gateway ändern willst, musst du es manuell machen, Die IP ist dabei egal, weil die Filter über die Mac-Adresse laufen.

Wovor hast du denn genau Angst? Wenn du keine Freigaben eingerichtet hast, kommt auch keiner auf den NAS! Ein möglicher Einbrecher wird sicherlich ein anderen Weg finden z.B. IoT Geräte oder ein Gerät ohne Sicherheitsupdates.

 

[alexhell]

Wenn jemand die Fritzbox "austrickst", dann ist es egal ob da ein Switch zwischen ist oder nicht oder ob deine DS eine feste oder dynamische IP hat. Wenn du nicht willst, dass die DS von außen erreichbar ist, dann musst du eigentlich nichts machen. Standardmässig ist sie es nämlich nicht. Quickconnect nicht aktivieren, sonst ist sie darüber erreichbar.

 

[billybuy26]

Hallo,
danke für die Rückmeldung. Habe keine Angst, aber muss das NAS 24h im Internet hängen ?
Ich zumindest brauche es nicht und reduziert dann auch die Gefahr von irgendwelche Lücken,
die das NAS betreffen.....
lg

 

[EDvonSchleck]

Natürlich nicht. Selbst die Zeit kannst du in der Fritz!Box unter Kindersicherung einschränken.
Ein e größere Gefahr sehe ich aber eher durch andere Geräte im Netzwerk. Die DS muss ja nicht unbedingt im Internet hängen, um dort eine Schwachstelle auszunutzen. Das ist aber eher für einen Enduser/Angriffsziel nicht wirklich interessant. Ich würde mir nicht solche Gedanken machen. Bei mir ist auch nichts blockiert.

 

[Benares]

... oder DS nach Zeitplan hoch und runter fahren - dann sparst du sogar Strom

 

[mombert]

Hallo zusammen,

jetzt habe ich doch noch eine Frage in Bezug auf "Zugriff von außen".

Bei mir ist eigentlich alles eingestellt wie oben beschrieben, d.h. Quick Connect ist AUS, in meiner FritzBox darf die DS nicht nach außen aber trotzdem kann sie sich Updates übers Internet ziehen. Die einzelnen Pakete aus dem PaketZentrum zeigen auch an dass a) ein Update anliegt und b) ich es aktualisieren kann.

Wo bitte liegt mein Denkfehler.

Danke und schöne Woche
Mombert

 

[Ulfhednir]

Definiere "nicht nach außen"? Hast du das Internet für die DS komplett gesperrt? Oder hast du einfach keine Portfreigabe eingerichtet?
Bei der Firewall gibt es einen Unterschied, ob es eine ausgehende oder eingehende Verbindung ist. Updates werden Regel ausgehend angefordert. Da spielt das Forwarding keine Rolle.

 

[Benie]

in meiner FritzBox darf die DS nicht nach außen

Wie oder was meinst Du dort in der FritzBox nach außen gesperrt zu haben? In der FritzBox machst Du in der Regel alle Ports für die DS zu bzw. läßt keine zu. Dann kann nichts von außen rein. Die DS kann aber raus zb. für Updates. Wenn Du das auch unterbinden willst mußt Du das auf der DS regeln.

 

[Kachelkaiser]

Auch wenn die Ports auf der Fritzbox geschlossen sind und QC aus ist, gibt es immer noch den Weg raus aus deinem Netz, so wie für dein Notebook z.B. auch. Das kann raus aber von außen kann keiner drauf, weil der Weg dorthin gesperrt ist.

Du müsstets in der Fritzbox explizit das Internet für die DS abdrehen z.B. über ein Profil

 

[mombert]

Vielen Dank erst einmal für die Antworten.

Ok, danke euch Dreien,

dann habe ich es verstanden:

-Portfreigaben in der FB für die DS nach außen sind alle gesperrt, mache diese nur temp. z.B. für die DS Photos auf wenn ich ab und an einmal ein Album an externe öffnen möchte, alles andere läuft für die Familienmitglieder entweder im Hausnetz oder bei externen Zugriff via VPN.

Die Firewall in der DS ist nicht aktiviert.

Mir war das nur mit der DS nach außen und den Updates nicht ganz klar.

VG
Mombert

​

 

[Benie]

nach außen sind alle gesperrt,

Du verwendest hier den falschen Begriff, Du sprichst eigentlich davon: Es sind keine Portfreigaben auf die DS erteilt bzw. freigegeben.
Sprich nicht nach außen, sondern nach innen auf die DS sind keine Ports offen.
Sonst wirst Du mal leicht mißverstanden.

 

[plang.pl]

Wobei man in der Fritte aber durchaus ausgehende Verbindungen blocken kann