Sicherer externer zugriff auf die DS einrichten

Status
Für weitere Antworten geschlossen.

E_L_E

Benutzer
Mitglied seit
17. Aug 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Moin.

Ich bin kaum mehr als ein Laie :p und hätte gerne ein paar Tipps wie ich am sichersten zugriff per extern auf meinen DS bekomme. Bin für jede Hilfe sehr dankbar.

Hier erstmals meine Konfiguration und was ich schon weniges geleistet habe.

Fritzbox 7390
Synology DS214+
DSM 5.0 uptodate
2x2TB WD red platten
Raid 1
Fritzbox 7390 mit Einstellung für automatische Portfreigaben über UPnP


Ich habe 2 Notebooks und 2 PC's die darauf zugreifen müssen, und das geht auch.
Habe auch über DDNS bei Synology registriert und komme per http (und https mit Fehlermeldung der Zertifikate) extern auf meine DS

Nun meine frage, wie kann ich es einrichten das ich extern nur per diesen 2 Notebooks auf den DS zugreifen kann und nicht mit von irgendein x-beliebigen Client aus (wie im Moment gerade) indem ich nur User Name und Password eingebe. Und das ganze am besten eben so sicher wie möglich.

Bin mir nicht sicher, maybe indem ich fix IP Adressen verteile und in der Firewall nur diese durchlasse?

Danke im voraus für jede Antwort
:eek:
ELE
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...
Fritzbox 7390 mit Einstellung für automatische Portfreigaben über UPnP
...
Das ist schon einmal recht unsicher. Du solltest es Dir zum Prinzip machen, Portfreigaben immer per Hand einzutragen, nicht per UPnP - nur so behälst Du die Kontrolle.
In der Regel am meisten Sicherheit liefert Dir eine VPN-Verbindung. Diese kann auch zu Deinem Router erfolgen, dann benötigst Du keine Portfreigaben. Wenn Du allerdings die VPN-Verbindung direkt auf die DS machen möchtest, dann musst Du entsprechende Ports im Router weiterleiten. Im Forum und dem Wiki findest Du dazu entsprechende Informationen.

Zusätzlich kannst Du die Firewall der DS so einstellen, dass der Zugriff nur von bestimmten IPs möglich ist. Wenn die Rechner allerdings regelmäßig neue IP-Adressen bekommen (weil sie beispielsweise an einem Anschluss sitzen, der regelmäßig vom Provider getrennt wird), geht das nicht.
 

E_L_E

Benutzer
Mitglied seit
17. Aug 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Ich danke dir Frogman schon mal für die schnelle Antwort.

Gut ich habe die automatische Portfreigabe wieder deaktiviert und mache es manuell.

Ich versuche auch gerade die DS als VPN Server einzurichten...aber ich bin irgendwie zu blöd dafür :(

Also ich habe das VPN-Server Packet auf der DS installiert;
- mich für OpenVPN entschieden und aktiviert;
- auf meinen Notebook (win7 32bit) auch OpenVPN installiert;
- im Router nur die ports 80, 443 und 1194 offen, dito DS;
- über das VPN Programm das Zertifikat und Config- file runtergeladen, letzteres angepasst mit der IP von DDNS Synology
- alles in den config Ordner vom OpenVPN auf dem Notebook verschoben.
- Verbindung gestartet, sehe mich im DSM (lokal) auch in der VPN/verbindungsliste

kann nicht auf die Ordner zugreifen..heul
hab auch ungefähr 50 Froum Beiträge durchgeblättert, aber gibt es irgendwo eine DAU Anleitung?
 

E_L_E

Benutzer
Mitglied seit
17. Aug 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Vielleicht könnte bitte ein Forum Admin meine frage in den richtigen Thread verschieben, da ich jetzt nur noch fragen über VPN habe ich möchte ich nicht unnötig ein neues Eröffnen und hätte gerne soviel nützliche Feedbacks wie nur möglich.

Also meine Open VPN Einstellungen auf dem Client sind folgende

dev tun
tls-client
remote (xxxomissxxxxx) 1194
#float
redirect-gateway
#dhcp-option DNS DNS_IP_ADDRESS
pull
proto udp
script-security 2
ca ca.crt
reneg-sec 0
auth-user-pass
remote-cert-tls server


in den Logs von der Openvpn verbingung bekomme ich folgende Meldungen

Fri Aug 22 11:22:46 2014 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 7 2014
Fri Aug 22 11:22:46 2014 library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.05
Fri Aug 22 11:22:50 2014 UDPv4 link local (bound): [undef]
Fri Aug 22 11:22:50 2014 UDPv4 link remote: [AF_INET] (xxxxomissxxxx)
Fri Aug 22 11:23:50 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Aug 22 11:23:50 2014 TLS Error: TLS handshake failed
Fri Aug 22 11:23:50 2014 SIGUSR1[soft,tls-error] received, process restarting

Auf der Synology DS sehe ich zwar eine eingehende Verbindung aber auf den share kann ich trotzdem nicht zugreifen.
Bitte Syno Götter helft mir...wo ist mein Denkfehler....
 

MaCoM

Benutzer
Mitglied seit
06. Dez 2009
Beiträge
347
Punkte für Reaktionen
0
Punkte
0
Du testet die verbindung aber schon von aussen ( nicht aus deinem netzt herraus ).
 

E_L_E

Benutzer
Mitglied seit
17. Aug 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Du testet die verbindung aber schon von aussen ( nicht aus deinem netzt herraus ).

Ja, das testen mach ich natürlich von extern aus mit ein test-standard user account.
Um zu checken ob eine vpn Verbindung überhaupt erstellt wird hab ich mich per Teamviewer vom einem 2ten Laptop (extern) auf PC (Intranet-cifs) verbunden, und
mit dem Admin Account in der DS nachgeschaut.
Die eingehende Verbindung mit meiner externen IP Adresse wird richtig angezeigt....als Username kommt komischerweise UNDEF und nicht den Namen den ich dem Test-account gegeben habe.


mal als alternativer Tipp: warum machst du die VPN Verbindung nicht über die Fritzbox..... http://avm.de/service/vpn/uebersicht/

manche im Forum sagten besser über die DS...manche besser über die box...hab mich halt für ersteres entschieden, die DS erstellt mich ja auch ein Zertifikat. Ich möchte halt das nur meine 2 Notebooks per vpn auf die DS kommen (und eventuell ein Smartphone) sonst keine anderen.
 

Dennis-TW

Benutzer
Mitglied seit
31. Mrz 2013
Beiträge
83
Punkte für Reaktionen
10
Punkte
8
manche im Forum sagten besser über die DS...manche besser über die box...hab mich halt für ersteres entschieden, die DS erstellt mich ja auch ein Zertifikat. Ich möchte halt das nur meine 2 Notebooks per vpn auf die DS kommen (und eventuell ein Smartphone) sonst keine anderen.
Nimm die Box! :D

Bzw. probiere es doch einfach mal über die Box. Ich hatte es bei mir zuerst auch zuerst über die DS versucht, was aber warum auch immer auch nicht auf Anhieb geklappt hat. Dann hab ich als Alternative einfach mal den Router (hab allerdings keine FB, sondern einen Asus Router) probiert und es ging es sofort.
 
Mitglied seit
10. Jan 2014
Beiträge
393
Punkte für Reaktionen
0
Punkte
0
Wenn du Sicherheit willst:
Nimm die Fritzbox für VPN. Das ist die erste Hürde für Hacker.
Und gute Passwörter für den Zugriff auf die DS. Das ist die zweite Hürde.

M.E. ist das sicherer als ein direktes durchschleusen des VPN auf die DS.
 

E_L_E

Benutzer
Mitglied seit
17. Aug 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Ok ich habe die VPN verbindung über die Fritzbox hinbekommen und kann aufs Nas zugreifen (wunder für mich) :eek:

Ich bitte noch um etwas Hilfe von euch Profis.

1) Die verbindung über ein Netgear Router aufs Nas über VPN geht, verbindung von einen alten Dlink Modem geht auch.... aber wenn ich es verscuhe über eine andere 2te fritzbox aufs Nas zuzugreifen klapts nicht.....
Die VPN verbindung besteht aber und Surfen (mit fritzbox IP 1) geht auch aber nicht NAS zugriff????

2) Dann noch eine Frage. Wenn ich Dokumente vom NAS öffnen möchte und das Laufwerk ist über vpn connected, dann öffnet esimmer in der geschützten Ansicht. Dieses passiert nicht, wenn dasselbe Laufwerk direkt im Intranten connected ist.
Eine Idee Jemand?:eek:
 

E_L_E

Benutzer
Mitglied seit
17. Aug 2014
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Ihr müsst nicht mehr Antworten, habs hinbekommen.

Falls es jemanden noch intressiert:
Problem nummer 1) hab ausversehen obwohl ichs vermeiden wollte einen IP konflikt ausgelöst weil ich auf beiden boxen die IP von den werkeisntellungen auf die selbe geändert habe.

Problem 2) ist eine Einstellung im Trustcenter Vom Office365, häckchen weg Problem gelöst.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat