DSM 6.x und darunter Verbindung zu DS - obwohl keine Ports im Router freigegen wurden - Alles korrekt?

[klemen]

Liebe Forumsmitglieder -

ich habe für mein Büro eine DS116 aufgesetzt und will auch von zuhause auf die DS zugreifen. Im Büro steht eine FritzBox, die DS ist direkt damit verbunden. Ich besitze eine IPv4 Adresse, diese ist statisch.
Auch habe ich ein QuickConnect Konto und diese aktiviert. Wenn ich in der Systemsteuerung auf "Externer Zugriff" gehe, gibt es dort beim Reiter DDNS einen Eintrag, der automatisch hinzugefügt wurde und meine xxxx.synology.me adresse sowie meine IPv4 Adresse enthält.
In der FritzBox ist UPnP deaktiviert und es wurden/sind keine Ports freigegeben.

Jetzt zu meiner Frage:
So wie ich das verstanden habe, braucht die DS für einen Zugriff von Aussen geöffnete Ports (5000, 5001, 5005, 5006). Da dies hier nicht der Fall ist, wundert es mich, dass ich dennoch auf die DS zugreifen kann. Wie ist das möglich?

Ich frage deshalb, weil ich auf jeden Fall verhindern will, dass man ungeschützt auf unser Netzwerk zugreifen kann, bzw. will, dass alles korrekt eingestellt ist.

Für den Zugriff von Aussen verwende ich zudem VPN über die Fritzbox, auch, weil ich mir dadurch mehr Sicherheit verspreche.

Über eine Antwort wäre ich sehr dankbar,

liebe Grüße

Klemen

 

[Frogman]

...Auch habe ich ein QuickConnect Konto und diese aktiviert. ...In der FritzBox ist UPnP deaktiviert und es wurden/sind keine Ports freigegeben.

Wenn Du QuickConnect aktivierst, braucht es keine Portweiterleitungen - hierbei wird eine Kommunikation von innen heraus, d.h. vom QC-Client der DS, zum Synology-Relay aufgebaut. Externe Antworten auf diese von innen aufgebauten Verbindungen werden dann auch vom Router an die DS durchgewunken. Das ist der Grund, warum man das aus Sicherheitsgründen tunlichst vermeiden sollte! Also QuickConnect deaktivieren und über Deinen VPN Tunnel zugreifen!

 

[NSFH]

Greifst du von Aussen über VPN auf die Fritzbox zu?
Wenn du dann Zugang zur Syno hast ist alles gut, denn die VPN Ports hat die Fritz freigegeben und danach bist du in deinem Büronetz wo alles so läuft wie zu Hause.
Trotzdem solltest du in der Firewall der Syno alles zumachen, in dem nur nur Zugriffe aus dem LAN/Subnet erlaubst aber nicht vom WAN.

 

[klemen]

Wenn Du QuickConnect aktivierst, braucht es keine Portweiterleitungen - hierbei wird eine Kommunikation von innen heraus, d.h. vom QC-Client der DS, zum Synology-Relay aufgebaut. Externe Antworten auf diese von innen aufgebauten Verbindungen werden dann auch vom Router an die DS durchgewunken. Das ist der Grund, warum man das aus Sicherheitsgründen tunlichst vermeiden sollte! Also QuickConnect deaktivieren und über Deinen VPN Tunnel zugreifen!

Danke für die Antworten!

Aber komme ich um QuickConnect herum, wenn ich Synology Drive auf meinem mobilen Laptop verwenden will und mich nicht jedesmal über VPN einwählen will, um zu syncen?

 

[NSFH]

Nur mit VPN benötigst du keine Portweiterleitung im Router, sofern der Router der VPN Server ist, wie zB die Fritz das macht.
Hast du eine feste IP kannst du diese nutzen, ansonsten brauchst du zwingend DynDNS, denn deine WAN IP ändert sich ja dann laufend.
VPN ist der sicherste Zugang, den würde ich immer vorziehen!

Willst du Drive verwenden musst du den Drive Port vom Router auf die Syno weiterleiten.

 

[klemen]

Sodale. Jetzt bin ich verwirrt. Kenne mich nicht so gut aus.

So wie ich das jetzt verstanden habe, kann ich entweder über VPN (und somit auf die DS) zugreifen, oder über QuickConnect, oder über Ports, die freigegen werden, richtig?

Wenn ich diese Methoden nach ihrer Sicherheit rangiere, landet VPN am 1. Platz, dann kommt die Portfreigabe, dann QuickConnect? Oder kommen die letzten 2 Methoden aufs Gleiche? Und wie groß ist das Risiko mit QuickConnect wirklich? Vor allem, wenn ein anderer Partner im Büro eine weitere DS installiert hat und so und so auf die DS per QuickConnect zugreift?

 

[Frogman]

Wenn ich diese Methoden nach ihrer Sicherheit rangiere, landet VPN am 1. Platz, dann kommt die Portfreigabe, dann QuickConnect? Oder kommen die letzten 2 Methoden aufs Gleiche? Und wie groß ist das Risiko mit QuickConnect wirklich? Vor allem, wenn ein anderer Partner im Büro eine weitere DS installiert hat und so und so auf die DS per QuickConnect zugreift?

Also, VPN ist mit die sicherste Variante (beim richtigen Protokoll). Der Tunnel kann am Router enden (dann braucht es keine explizite Portfreigabe im Router) oder bspw. auch auf der DS (dann muss man den entsprechenden VPN-Port im Router an die DS weiterleiten). Wie gesagt, QuickConnect vergiss am besten (und deaktiviere es!). Damit ein externe Zugriff - ob nun VPN und ein normaler http-Aufruf - bei Dir zu Hause landet, braucht es die Kenntnis der IP-Adresse Deines Anschlusses oder aber eine sprechende Domain, die mit der IP verknüpft ist. Das kann eine feste Domain sein oder eine sogenannte DynDNS-Domain (das ist immer eine Subdomain eines DynDNS Anbieters). In beiden Fällen kann dort eine feste IP hinterlegt sein (wenn Dein Anschluss eine solche hat) oder aber eine dynamisch zugeteilte IP (die dann jeweils mit einem DynDNS-Client dem DynDNS-Anbieter mitgeteilt wird). Dazu findet sich alles Wissenswerte im Wiki.

 

[NSFH]

Hier beschreibt AVM wie man VPN einrichtet
https://avm.de/service/vpn/tipps-tr...ritzbox-mit-shrew-soft-vpn-client-einrichten/
Damit brauchst du keine weiteren Portfreigaben.
Noch bequemer geht es, wenn du zu Hause auch eine Fritz hast. Dann kannst du die beiden Boxen direkt per VPN verbinden und brauchst auch keinen Shrewsoft Client mehr, machen dann alles die Fritz automatisch.
Wie mein Vorredner schon geschrieben hat musst du aber die IP der Fritz im Büro kennen. Wenn es keine feste IP ist kannst du über AVM eine DynDNS Weiterleitung einrichten.

 

[klemen]

Danke für die aufschlussreichen antworten.

Das mit dem VPN habe ich ja schon hinbekommen, siehe erster Beitrag (mit fixer IPv4). Es ist nur so, dass über VPN viele Sachen nicht ganz so hinhauen, wie ich mir das erhofft habe. Zum Beispiel funktioniert bei mir kein Bonjour. Das geht soweit, dass ich die Musik, die ich am iTunes Server im Büro liegen habe, nicht hören kann. Wenn ich zu Hause bin und per VPN mit dem Büro verbunden bin, kann ich im Safari Browser auch nicht surfen.
Und am liebsten hätte ich natürlich, dass Synology Drive einfach im im Hintergrund werkelt, ohne dass ich mich per VPN mit der DS verbinden muss (so, wie es bei Dropbox etc. eben auch funktioniert).

Vielleicht gibt es da noch ein paar praktische Ansätze?

Liebe Grüße

Klemen

 

[Puppetmaster]

Vielleicht gibt es da noch ein paar praktische Ansätze?

Dazu musst du erst wissen, was du wirklich willst. Sicherheit und Bequemlichkeit stehen sich fast immer im Weg.
Musik zu streamen über Protokolle wie Bonjour etc. ist mit VPN oft nicht vereinbar, weil VPN eben nicht alles zulässt. Z.B. werden (aus gutem Grund) keine Broadcasts übertragen, die aber für manche Protokolle eben notwendig sind.

Also wenn es nun besonders sicher sein soll, dann funktionieren die Ahnnemlichkeiten womöglich nicht (wie gewohnt), oder man geht den bequemen Weg und muss mit weniger Sicherheit leben.
Hier solltest du zunächst eintscheiden, was denn nun wirklich im Vordergrund steht.