Toggle sidebar

Abschottung des NAS vom Internet, nur Heimnetz und VPN - wie am besten?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

S

stevenfreiburg

Benutzer
Registriert
05. Apr. 2022
Beiträge
444
Reaktionspunkte
233
Punkte
93
Ich möchte, dass meine DS923+ ausschließlich im Heimnetzwerk und über VPN (WireGuard/Fritzbox) erreichbar ist.
Das bedeutet: Kein QuickConnect, kein Tailscale, kein DDNS, kein Reverse Proxy, keine Portfreigaben – absolut keine direkte Verbindung zum Internet.

Mir ist bewusst, dass ich Updates dann manuell einspielen muss – das ist für mich in Ordnung. So kann mich Synology nicht mehr unerwartet überraschen, wenn sie wieder einmal Apps oder Funktionen entfernen. Ein NAS, das ausschließlich im Heimnetz mit einer etwas älteren DSM-Version läuft, sehe ich in puncto Sicherheit entspannt – schließlich ist es für Hacker und Kriminelle nicht erreichbar.

Der Internetzugang bleibt meiner alten DS720+ vorbehalten, zusammen mit zwei virtuellen DSM-Instanzen (DSM6 & DSM7), die über DDNS für das Teilen von Fotos genutzt werden.

Nun stellt sich die Frage: Wie schottet man ein NAS am besten vom Internet ab?
Reicht es, in der Firewall nur interne IP-Bereiche zuzulassen?

Ich habe hier im Forum schon häufiger gelesen, dass einige ihre Geräte vollständig vom Internet getrennt haben. Allerdings bin ich mir unsicher, wie das am besten umgesetzt wird und welche möglichen Stolperfallen es dabei gibt.


Ich freue mich auf eure Erfahrungen, Tipps und Anregungen!




(edit: habe chatGPD Formulierungen verbessern lassen, inhaltlich aber keine Änderungen)
 
Zuletzt bearbeitet:
Einfach die DS in der Werkeisntellung belassen und in Fritzbox die VPN WireGuard aktivieren, dann hast du es, was du willst.
 
Und wo kommen die Updatemeldungen von Synology dann her, aus meinem Heimnetz etwa?
 
Ob Updates zur Verfügung stehen fragen die Synos aktiv selbst an!
 
Damit die das nicht machen können, der Syno den Internetzugang in der Fritte sperren.
 
  • Like
Reaktionen: Benie, Tuxnet und stevenfreiburg
Das NAS, kriegt einfach eine permanente vollständige Internetsperre im Router.
Oh Mann, genau das ist es.
Und so einfach, bin ich nicht drauf gekommen, wie peinlich. Ich war viel zu sehr auf die vielen Stellschrauben und Einstellmöglichkeiten des NAS focussiert, Tunnelblick.
 
  • Haha
  • Like
Reaktionen: Tuxnet und Kachelkaiser
Hier ist für Anfänger in CT online nett beschrieben, wie VPN oder Reverse Proxy funktioniert.
Vielleicht löst das so manche Verständnisfrage.
 
stevenfreiburg schrieb:
Das NAS, kriegt einfach eine permanente vollständige Internetsperre im Router.
Zum Vergrößern anklicken....
kann man machen, aber dann bekommt man auch keine Updates etc, und einige der Apps werden auch nicht funktionieren weil die 'nach hause' telefonieren müssen wegen Lizenz oder was auch immer
 
  • Like
Reaktionen: Ronny1978 und Kachelkaiser
Oh Mann, wozu dem NAS den Zugang ins Internet verbieten, wenn es nur um Abschottung für den Zugriff von außen geht :rolleyes:
 
  • Like
Reaktionen: Kachelkaiser und ottosykora
Hi Benares,

ich habe eine Syno, die über das Internet erreichbar ist und eine zweite (z.B. für Backups u.m., welche nur im Heimnetz erreichbar sein soll/braucht.

Warum diese zweite über die Fritzbox abschotten?
Weil das mit einem Klick erledigt ist und somit die schnellste und einfachste Methode ist dies umzusetzen.
Zeig mir eine schnellere Methode und du hast mich überzeugt.

Kannst du das nicht, dann ist Dein :rolleyes: eigentlich auf deine eigene Bemerkung passender eingesetzt ;).

Das irgendetwas meiner "Heimnnetz-Syno" nicht richtig funktioniert, weil sie unbedingt nach Hause telefonieren muss (was Ottosykora behauptet) kann ich übrigens nicht bestätigen. Funktioniert alles genau so, wie ich es brauche und will.
Und darum geht es doch, oder?
 
Wir wissen ja nicht was du alles auf der DS betreibst. Jedenfalls gibt es diverse Apps die nicht funktionieren wenn sie sich nicht bei Synology melden können. Das kann Mailserver sein, oder ABB oder was mit Surveilance Stn etc. Das weiss man nicht ganz genau, einige App gehen andere nicht. Bei diversen Apps wird so zu sagen Lizenz geprüft in dem sich diese bei Synology melden.
Also nicht gleich alles negieren.

Dann ist es auch sinnvoll wenn die DS Updates bekommen kann, nicht nur für Betriebssystem, auch für die Apps. Da gibt es fast jede Woche wider was neues, je nach dem wie viele Apps man installiert hat.

Eine outbound Verbindung ist also gar nichts schlechtes, eher positives. Im Gegensatz zu Sperrung von aussen nach innen. Das ist andere Angelegenheit und diese beiden Sachen sind nicht gleich und können oder sollen getrennt betrachtet und gehandhabt werden.
stevenfreiburg schrieb:
Zeig mir eine schnellere Methode und du hast mich überzeugt.
Zum Vergrößern anklicken....
keine Ports in der Fritzbox zu der DS weiterleiten
dazu braucht man gar kein Klick, das ist schon von Anfang an so
 
  • Like
Reaktionen: Ronny1978
Warum soll soll die DS denn nicht ins Internet können. Wovor hast du Angst. Was soll passieren?
 
Ich sperre meine Synos in der FB. Zugang per Wireguard ist dann trotzdem möglich. Alle paar Tage gehe ich mal mit den Synos online, suche nach Updates und sperre sie dann wieder.
 
Wie gesagt, mein zweites NAS braucht keinen Kontakt ins Internet und deswegen passt diese Methode bei mir.
Ich habe das ganz einfach mit einem Klick nach einem Tip hier aus dem Forum umgesetzt und mein Ziel erreicht.
Es gibt die Sätze "never touch a running System" und "KISS", die für diese Methode recht zutreffend sind.
Wer das anders umsetzen will, soll das tun.

Wer Mailserver und "bestimmte Apps" braucht, die nur mit Internet Sinn machen, ohne Internet nicht funktionieren und deswegen zwingend Updates benötigen, kann sein NAS natürlich! nicht vom Internet abklemmen. Das weiß jeder selbst und muss nicht diskutiert werden.

Wie wahrscheinlich sind Zero-Klick Angriffe, schlechte und/oder verseuchte Updatepakete sowie andere böse Sachen?
Sowas können sich manche nicht mal vorstellen, niemand kann es wissen, ist auch keine Diskussion wert.
Unbestritten ist, dass Geräte ohne Internetkontakt weniger Angriffsflächen bieten als Geräte mit Internetkontakt.


Fazit:
Für meinen Anwendungsfall gibt es keinen triftigen Grund es anders zu machen und stehe für weiteren Austausch zu diesem Thema nicht mehr zur Verfügung.
 
Zuletzt bearbeitet:
Bei einer FB geht es kaum anders.

Mit einem gemanagten Switch oder einem professionellen Router wäre die klassische Lösung eine Unterteilung des Heimnetzwerks mit VLANs.

Die meisten Angriffe passieren nicht direkt über das Internet. Es wird ein Gerät im Heimnetz gekapert (typisch ist Phishing), und von dort aus werden andere Geräte angegriffen.

Das halte ich für die wichtigere Angriffsfläche.
 
  • Like
Reaktionen: dil88 und Ronny1978
Wie andere schon geschrieben haben, ist hier nicht so klar.

Fakt ist: die Diskstation ist im Werkzustand gar nicht vom Internet aus zu erreichen. Umgekehrt aber schon, sofern es im Netzwerk richtig konfiguriert ist.
 
  • Like
Reaktionen: Ronny1978
@stevenfreiburg : Ich muss hier ganz klar @Synchrotron zustimmen ->
Synchrotron schrieb:
Die meisten Angriffe passieren nicht direkt über das Internet. Es wird ein Gerät im Heimnetz gekapert (typisch ist Phishing), und von dort aus werden andere Geräte angegriffen.
Zum Vergrößern anklicken....
Wir hatten hier im Forum schon ein/zwei Mal den Fall, dass mit dem Admin Account gearbeitet wurde und im Laptop die Zugangsdaten wunderbar hinterlegt waren. Statt den Zugang zum Internet auszuschalten, und somit Updates zu verhindern, würde ich das Netz intern absichern. @Synchrotron hat sehr gut erläutert, dass viel mehr Angriffe von Innen auf das NAS stattfinden, statt von Außen. Wenn deine Geräte per SMB zugreifen, ist das der erste Angriffsweg von deinem Gerät aus und nicht vom Internet. 😉

Ist jedenfalls meine eigene Meinung. Absicherung per VPN/RP/2FA/Rechtevergabe halte ich für wichtiger, wie alles "kappen".
 
  • Like
Reaktionen: Synchrotron, dil88 und w00dcu11er
stevenfreiburg schrieb:
Für meinen Anwendungsfall gibt es keinen triftigen Grund es anders zu machen und stehe für weiteren Austausch zu diesem Thema nicht mehr zur Verfügung.
Zum Vergrößern anklicken....
Ist ja auch in Ordnung und deine Meinung ist doch okay. Es macht für mich aber den Eindruck, als wärst überhaupt nicht an einem Austausch interessiert, wenn du deinen eigenen Thread nach dem Post #15 schon "kappst".
 
  • Like
Reaktionen: Synchrotron, urmel376 und w00dcu11er
@stevenfreiburg, denk bitte auch an die Zeitsynchronisation der DS oder stell sie auf den Router ein (die sind meist auch NTP-Client/Server)
Jeder kann machen, was er will, aber ich halte das für übertrieben.
 
  • Like
Reaktionen: Ronny1978 und ottosykora

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten