Datenbank auf DS220+, gemeinsame, gleichzeitige Nutzung dieser Datenbank durch interne und externe User

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beitr├Ąge
6.185
Punkte f├╝r Reaktionen
1.072
Punkte
248
das letzte was ich mir antun w├╝rde
­čÖä ... ­čśő­čĄú

Hauptsache es ist optimal

Tjo, das liegt immer im Auge des Betrachters... Was f├╝r Dich optimal "erscheint" wird in der realen Welt f├╝r eine IT-Fachperson vielleicht ziemlich schmerzvoll anmuten (andere sagen ggf. "kann man machen...", drehen sich um und gehen einfach). Im Gegensatz zu einem SOHO-Router bieten vern├╝nftige Ger├Ąte eben erweiterte Steuerungsm├Âglichkeiten, welche die Flexibilit├Ąt "deutlich" erh├Âhen. Als kleines Beispiel lass mich Dir folgendes Szenario aufzeigen:

Deine Angestellte soll in Dein B├╝ro d├╝rfen. Dein B├╝ro befindet sich im gleichen Haus wie Deine Wohnung. B├╝ro und Wohnung haben nochmal entsprechende T├╝ren, es geht also im Grunde genommen um 3 T├╝ren (Haust├╝r, B├╝rot├╝r, Wohnungst├╝r). Jetzt hast Du mehrere Optionen:

1) Du gibst der Dame den "Generalschl├╝ssel" (├Âffnet Haus-, B├╝ro- und Wohnungst├╝r)
2) Du gibst der Dame den Haust├╝rschl├╝ssel und l├Ąsst alle anderen T├╝ren offen
3) Du gibst der Dame den Haust├╝r- und B├╝roschl├╝ssel, die Wohnungst├╝r bleibt verschlossen
4) Du gibst der Dame den Haust├╝r- und B├╝roschl├╝ssel, an alle anderen T├╝ren kommt sie erst garnicht dran

In der "realen" (greifbaren) Welt... anhand dieser 3 Beispiele... welche Option w├╝rdest Du w├Ąhlen? Ich denke, dass die Antwort recht klar w├Ąre...

Wenn man dieses Szenario jetzt auf die "virtuelle" Welt umm├╝nzt, sieht das ungef├Ąhr so aus:

1) Fritzbox-VPN
2) Fritzbox-VPN (ohne weitere Firewall-Regeln auf irgendwelchen Endger├Ąten)
3) Fritzbox-VPN (mit Firewall-Regeln auf den Endger├Ąten - problematisch weil nicht ├╝berall umsetzbar!)
4) Vern├╝nftige Firewall, welche schon im Vorfeld regelt, wohin der VPN-Teilnehmer ├╝berhaupt "darf", so dass dieser nichtmals die M├Âglichkeit hat ein anderes Endger├Ąt zu erreichen

Anderrum k├Ânnte man mit einer entsprechenden vern├╝nftigen Ger├Ątschaft auch ein extra Netz bilden. Das k├Ąme dann dem "Nebeneingang nur f├╝r das B├╝ro" gleich. Dann gibt es daf├╝r genau "einen" Schl├╝ssel und mit dem Haus- oder Wohnungseingang hat das nichts mehr zu tun.

Da hier auch einige Handwerker, etc. betreut werden, ist mir die Denkweise schon irgendwie klar und oftmals sieht man auch nur das "praktische". Leider leben wir in einer Zeit, in der die B├╝rokratie auch schon lange die digitale Welt erreicht hat. Sollte es zu einem Datenverlust (im Sinne eines Diebstahls) kommen, ist sowas meldepflichtig und zwar "auch" bei den Kunden, was wiederum einen enormen Reputationsschaden mit sich bringt. Davon ab k├Ânnte ich Dich noch mit Dingen wie revisionssicherer Sicherung/Mailarchivierung/etc. "bel├Ąstigen" (kostet ja alles teuer Geld), aber ich bin mir (fast) sicher, dass Du davon schon geh├Ârt hast und es einfach nur abgewunken hast (wie die meisten halt) ;)

So, ich bin mal raus hier, w├╝nsche noch viel Erfolg und so! Ôś║´ŞĆ
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beitr├Ąge
653
Punkte f├╝r Reaktionen
72
Punkte
48
zu a): Performance / Geschwindigkeit der FB im VPN-Bereich deutlich unter anderen Router-Herstellern / wenige m├Âgliche VPN-Protokolle integriert / Firewall-Einstellungen kaum anpassbar / keine M├Âglichkeit der Netzwerktrennung (VLans) / Routing-Funktion nicht abschaltbar (also keine M├Âglichkeit, die FB nur als reines Modem zu benutzen) / keine Steuerung des eingehenden und ausgehenden Datenverkehrs., z.B. Es kommt also auf den Einsatzzweck des Routers an: Im gesch├Ąftlichen Umfeld ab einer gewissen Gr├Â├če mit seinen eigenen Voraussetzungen und W├╝nschen st├Â├čt eine FB an ihre Grenzen.

zu b):
Ein VPN sollte immer dort enden, wo der ├ťbergang ins Internet erfolgt, ergo auf dem Router und nur dort.
Wenn du dein VPN auf einem Rechner / Synology hinter dem Router enden l├Ąsst, baust du dir schon mal durch die notwendige Portweiterleitung eine Sicherhleitsl├╝cke in dein Netz rein, ein Einladung f├╝r jeden Angreifer. Im Router musst Du z.B. f├╝r L2TP die Ports: 1701, 500, 4500 freigeben , damit der VPN-Traffic ├╝berhaupt auf die NAS gelangen kann. So bohrst Du ein Loch in die Firewall. Ich m├Âchte nicht, dass man in meinem Netzwerk vom Internet ungesch├╝tzt bis zur Synology gelangen kann - und erst dann/dort die Verschl├╝sselung beginnt.

Au├čerdem: Sollte deine DS nicht im 24/7 Betrieb arbeiten, du aber auch andere Ger├Ąte in deinem LAN ├╝ber VPN jederzeit erreichen m├Âchtest, w├╝rde sich der Router als bessere Wahl anbieten, da dieser i.d.R. rund um die Uhr l├Ąuft. Schlie├člich: bei VPN auf der Syno muss auch daran gedacht werden, selbige regelm├Ąssig zu updaten und mit Sicherheits-Patches zu versorgen, beim Router erfolgt dies zumeist automatisiert, z.B ├╝ber den ISP, der Dir den Router stellt.