DiskStation absichern - Zugriffsversuche von außen über das Internet

[Ramihyn]

Die DMZ muss nix enthalten, ich hab ja nicht vor irgendwas direkt ins Netz zu stellen. Ist erstens eine reine Sicherheitsmassnahme und zweitens führt am Kabelrouter kein Weg vorbei mit der "lieben" UPC.
Und deine Sorge betreffend VoIP-Telefonie ist vollkommen unbegründet (dreimal darfste raten, weshalb eine Fritzbox im Einsatz ist): Seit wir in die Schweiz ausgewandert sind vor X Jahren, läuft jegliche Telefonie bei uns im Haus ausschliesslich über VoIP (je eine deutsche und eine Schweizer Nummer). Nicht einmal VoWifi ist da ein Problem fürs Mobiltelefon.
Es greift wie immer Regel Nummer 1: "macht man's richtig, funktionierts auch". Insofern spar dir doch bitte deine sinnfreien Kommentare; ich kann schliesslich nichts dafür, wenn es für dich zu komplex ist so etwas korrekt einzurichten.

 

[blurrrr]

Ja... da fühlt sich jetzt aber jemand ganz besonders gross...

Ist erstens eine reine Sicherheitsmassnahme

Kann man sicherlich machen, ist aber durch Doppel-NAT schon extremst Banane (sofern man nicht einen Grund hat, wie Geräte in der DMZ und selbst dann ist Doppel-NAT eher hinderlich (aber ein "kostengünstiger" Weg für Privatpersonen (wenn auch ggf. mit Problemen verbunden)). Hier mal ein einfach formulierter Text dazu (damit auch Du das verstehst )

zweitens führt am Kabelrouter kein Weg vorbei mit der "lieben" UPC

Hätte man sich hier mal die Mühe gemacht sich ein wenig einzulesen, hätte man vermutlich irgendwo mal gesehen, dass es auch durchaus reine Kabelmodems gibt, welche man am LAN1-Port der Fritzbox betreiben kann (da spielen dann die DOCSIS-Standards eine tragende Rolle).

Vielleicht auch mal dran denken, dass es hier nicht nur völlig ahnungslose gibt und mitunter mag es sogar vorkommen, dass sich hier Leute rumtreiben, die vielleicht sogar beruflich im IT-Segment unterwegs sind. Also steig mal flott wieder runter von Deinem hohen Ross, bevor Du noch runterfällst und Dir ordentlich weh tust

EDIT: Alles 1:1 durchpumpen ist übrigens fernab von einer vernünftigen Lösung...

 

[NSFH]

Doppel NAT ist Quark, Bist du dir sicher, dass das auch wirklich so ist? Normalerweise lassen sich die Kabelrouter auch im Bridge Mode betreiben.
Ansonsten kannst du nur durch Portforwarding in beiden Routern dem Problem entgegen wirken. Optimal ist das trotzdem nicht.
Kenne nun den Router nicht, aber wäre nicht die bessere Lösung ihn gegen die FritzBox Variante auszutauschen um die Kaskadierung aufzuheben?
Und noch ein Wort zum VPN mittels Syno: Da du ja auf Sicher machst: Ich lehne alle Konstrukte ab, die derartige Sicherheitsmechanismen im Server abhandeln. Ein Problem im VPN Modul der Syno und der Eindringling ist schon genau da wo er hin will. Ich betreibe alle VPN Server im Router. Wer den knackt ist noch lange nicht auf den hinter geschalteten Servern.

 

[ottosykora]

also doppel NAT, das haben wir auch bis vor einiger Zeit so weltweit gehabt. Hinter dem Provider Router unseren montiert. Ging in meisten Fällen gar nicht anders. Wir hatten kein Password zu dem Internet Zugang konto. Vielleicht ist es hier in Europa mittlerweile üblich die Credentials zu bekommen, in der weiten Welt jedoch nicht. Dann kann ich also einen eigenen Router gar nicht verbinden.
Je nach dem was das dann war für Router und wie der Provider kooperativ war, haben wir halt alles zu unserem durchgeschleift und erst dort alles für unsere Zwecke konfiguriert. VPN dann auch in der DS, nur so für Wartungszwecke, war normalerweise nicht in Gebrauch.

 

[NSFH]

Schon heftig, was einem die Provider so aufdiktieren.
Die saubere Lösung wäre immer einen Zugang mit einem simplen, mit den Zugangsdaten konfigurierten Modem abzuschliessen. Was der Kunde dahinter macht sollte dem ISP egal sein.
Immerhin lassen sich bei uns die Zugänge inzwischen auch mit eigenem Gerät nutzen. Ich habe jetzt erstmalig bei 2 Telecom VDSL Anschlüssen die Standard Router raus geschmissen und durch Draytek Vigor 130 Router im PPPOE Mode ersetzt. Die liefern tatsächlich einen höheren Durchsatz als das Telecom Gerät, welches bei VPN die Handbremse anzieht.
Aber so sind halt die Anschlussbedingungen überall anders, muss man nicht drüber debattieren, ist halt so.

 

[ottosykora]

Was der Kunde dahinter macht sollte dem ISP egal sein.

ja, in der weiten Welt ist es halt alles anders, versuche mal deinen eigenen Fritz in Sudan, Jemen, Libyen, Tschad.... oder gar bei einem VSAT Provider.

Auch bei mir zu hause habe diesen Konstrukt als Testobjekt im Betrieb. Einfach als Übung für mögliche Installationen im Ausland. Schalte ich meine FB direkt ans Netz, habe ich keinen Anspruch auf irgendwelchen Support des Providers. Bei Unregelmässigkeiten in der Leitung oder wo auch immer meldet Callcenter sonst ich hätte was privates angeschlossen und soll nun selber schauen wo Probleme liegen.

 

[NSFH]

die typische Methode Zwang auf die ungeliebten "Sonderlinge" auszuüben. Das gibt's auch bei Kabel Deutschland, aber es bessert sich. Immerhin kann man bei uns den Router selbst auf PPPoE umstellen, auch wenn die FB dafür nicht wirklich taugt.

 

[Ramihyn]

Ja... da fühlt sich jetzt aber jemand ganz besonders gross...

Offensichtlich musst du was kompensieren. Such dir dazu doch bitte nen anderen, Jüngelchen, oder kauf dir einen Porsche dafür. Auf den Rest deines Geseiers gehe ich erst gar nicht mehr ein, denn offensichtlich hast du jenseits deines auf Deutschland eingegrenzten Weltbilds KEINE Ahnung, wie ISPs in anderen Ländern ausserhalb der EU ticken. Anders ist nicht zu erklären, warum du mir die Ohren von DOCSIS und Bridgemode vollquasselst, ohne auch nur das geringste Hintergrundwissen zum grössten Schweizer Kabelnetzanbieter und dessen Kabelrouter zu haben. Und dass die Schweiz weder ein deutsches Bundesland ist noch ein EU-Mitgliedsstaat, ist dir offenkundig unbekannt.

Sei dir gewiss, dass ich das Ding im Bridgemodus betreibe würde, wenn UPC dies zuliesse. Für Privatkunden ist aber nix anderes als DS Lite drin, und der Bridgemodus würde zwingend einen vollwertigen IPv4-Anschluss erfordern.

Wenn sich hier einer auf ein mächtig hohes Ross begeben hat, dann warst du das hier. Wenn du tatsächlich im IT-Segment arbeiten solltest, wie du in deinem Post angedeutet hast, hast du definitiv noch mächtig Nachholbedarf.

Davon abgesehen ist die ganze Diskussion um Routerkaskade und Doppel-NAT vollkommen offtopic und hat mit der Frage des TO nichts mehr zu tun.

 

[Ramihyn]

Doppel NAT ist Quark, Bist du dir sicher, dass das auch wirklich so ist? Normalerweise lassen sich die Kabelrouter auch im Bridge Mode betreiben. ....

1. Schweiz, nicht Deutschland => völlig andere gesetzliche Rahmenbedingungen und Verbraucherrechte, nicht mit EU-Standards vergleichbar
2. keine freie Routerwahl, keine Zugangsdaten, und die UPC Connectbox ist besserer Elektroschrott, mit dem ich aber zwangsweise leben muss.
3. DS Lite = IPv6 + NAT-IPv4 => kein Bridgemodus machbar, weil kein Wechsel auf ne echte IPv4 möglich ist.
4. Selbstverständlich bin ich mir also sicher. Und Probleme bereitet dies eben bei mir genau KEINE.

Wenns nicht der VPN-Server auf der Syno sein soll, tuts auch ein Raspi für nen Appel und ein Ei. Ist letztlich Geschmackssache. Vom VPN-Server in der Fritte halte ich allerdings genau nichts, und das UPC-Teil kennt so etwas nicht einmal.

 

[blurrrr]

jenseits deines auf Deutschland eingegrenzten Weltbilds KEINE Ahnung, wie ISPs in anderen Ländern ausserhalb der EU ticken

Auf jeden Fall, Du hast den Durchblick.... (nicht). Hör mal lieber auf hier so rumzuflamen und trag mal was konstruktives zur Diskussion bei

Das "OffTopic" (so OffTopic ist es garnicht, wenn so Konsorten wie Du daher kommen und das ganze zusätzliche Sicherheit schimpfen) gehört irgendwo mit dazu. Doppel-NAT ist Mist, alles 1:1 durchzupumpen ebenso (da kannst Du Dir Deine "DMZ" auch direkt sparen (auch wenn es technisch vielleicht relevant ist und Du alles - oder zumindestens bestimmte Ports durchreichen "musst")). Manch einer - anscheinend so wie Du - versteht darunter ja wohl ein erhöhtes Maß an Sicherheit, was bei einer 1:1-Durchreichung aber schon wieder völlig irrelevant ist (abgesehen von den möglichen Problemkonstellationen), also ist Dein vermeintliches OffTopic, garnicht so OffTopic wie Du vielleicht meinst. Immerhin bist Du hier derjenige, welcher von "zusätzlicher Sicherheit" spricht, aber... was weiss ich schon in meinem jugendlichen Leichtsinn (in Bezug auf das "Jüngelchen" ).

Ich habe übrigens mit keiner Silbe gesagt, dass ich im IT-Segment tätig bin, noch, dass ich sonderlich Ahnung hätte. Ich sagte lediglich, dass Du mal nicht davon ausgehen sollst, dass hier nur ahnungslose im Forum vertreten sind und mitunter auch manche dabei sind, die das beruflich machen. Du gehörst da aber anscheinend nicht zu. Oder doch?

Ich kann mich eigentlich nur zitieren und verbleibe freundlichst mit einem: "Hör mal lieber auf hier so dämlich rumzuflamen und trag mal was konstruktives zur Diskussion bei ", beim gesamten letzten Post hast Du nichts sinnvolles von Dir gegeben und Dein vermeintliches "OffToptic" ist nicht "OffTopic" (dazu müsste man aber auch erstmal verstehen, wozu eine DMZ dient)

EDIT: Schweiz ist mir wirklich nicht so geläufig, aber dafür Länder wie z.B. China, inkl. der "Great Firewall of China" aber das nur mal so am Rande.
EDIT2: Auch Dein nachfolgender Post als Antwort auf NSFHs Beitrag ist "nur" auf Deine Situation in der Schweiz bezogen, "sowas" ist "OffTopic"... - Wechsel auf IPv4 geht mit Sicherheit, aber dafür bräuchte man wohl einen Business-Anschluss und da Du mit Sicherheit kein Gewerbe hast... schade. IPv4 könnte man trotzdem selbst noch hinbiegen mit einem kleinen Root-Server und entsprechendem VPN, aber... das weisst Du ja sowieso alles

 

[Puppetmaster]

Könnt ihr euch keine PNs schicken? Dieses Gespamme ist komplett deplatziert.

 

[Matthieu]

Könnt ihr euch keine PNs schicken? Dieses Gespamme ist komplett deplatziert.

+1.
"Es ist mir egal wer angefangen hat, ich werde es beenden"

MfG Matthieu

 

[blurrrr]

Bin dabei