DS223j mit Club3D Adapter auf 2.5Gigabit aufrüsten schlägt fehl

[ctrlaltdelete]

Generell keine Freigaben über die DS Routerkonfiguration machen, sondern händisch auf dem Router das freigeben was man braucht.

 

[Kamika242]

Danke @ctrlaltdelete und @plang.pl, werde ich beherzigen!

 

[plang.pl]

Wenn du nicht von extern zugreifen willst, brauchst du gar keine Freigaben. Und wenn doch, würde ich dir raten, lieber auf der FritzBox einen VPN-Zugang einzurichten

 

[Kamika242]

Doch, externer Zugriff ist, mit das Wichtigste, habe DynDNS und Quockconnect aktiv, allerdings auch eine eingerichtete Wireguard Verbindung von jedem meiner Mobilgeräte zur Fritzbox, so könnte ich dann von unterwegs auch über die Fritz App auf die Syno zugreifen. Muß erstmal schauen, was ich davon alles brauche, unterwegs schnell etwas teilen können aus einer der Syno Apps möchte ich schon.

Recht dumm finde ich allerdings, daß man unter DSM 7.2 wohl die Standardports für HTTP und HTTPS nicht mehr ändern kann, unter DSM 6.x ging das noch, laut Synology Hilfsseite. Bei Asustor wird man bei der Ersteinrichtung mehrfach gewarnt, daß man unbedingt die Standardports ändern soll, ist auch völlig logisch, da auf diese Ports wohl zuerst Portscanns durchgeführt werden.

 

[plang.pl]

Verstehe. QuickConnect benötigt keine Portfreigaben. Dann läuft das Ganze über einen Relay-Server von Synology mit Beschränkung des Durchsatzes (ich glaube 10MB/s). Ist dann ähnlich wie bei TeamViewer - nennt man "Hole-Punching". Für DDNS allerdings brauchst du Portfreigaben.
Ich nutze ausschließlich WireGuard über die Fritz. Wenn ich was freigeben will, schiebe ich die Daten in einen Ordner auf der DS, der via CloudSync nach OneDrive geschoben wird. Dort kann ich dann eine Freigabe erstellen. Dadurch erspare ich mir den Zwang, den File-Server mit einem Bein ins Internet zu stellen.

 

[Kamika242]

Das ist ja das Ding, ich möchte meine Daten eben nicht (mehr) in eine öffentliche Cloud legen, schon garnicht bei Google oder Microsoft. Einen MEGA Account habe ich allerdings noch, da hoffe ich mal, daß das mit der Verschlüsselung auch wirklich wahr ist. Für die Syno habe ich alles ausschließlich auf HTTPS/SSL/TLS eingerichtet und dazu ein ultrastarkes Password. Zusätzlich noch 2FA einzurichten, da bin ich mir noch nicht ganz sicher, habs schon per Emailcode versucht, aber da will Synology auch gleich meine Mobilnummer, die rücke ich aber nicht an Hinz und Kunz raus. Authethicator App ist mir auch zu zu heikel, was ist, wenn mein Handy mal abhanden kommt? Weiß nicht, ob ich den Authentifizierungsvorgang dann auch mit meinem 1:1 eingerichteten Ersatzhandy durchführen kann, bei Apps wie z.B. VIP Access geht das nämlich nicht.

 

[plang.pl]

Handy mal abhanden kommt

Dafür gibts den einfachen Reset.
Ansonsten bleibt Folgendes zu sagen:
-es gibt ein Block-Script hier aus dem Forum, dass sehr viele bekannte IP-Adressen blockiert (von @geimist), ich finde nur gerade den Link dazu nicht
-zusätzlich kannst du Geo-Blocking der DS-Firewall nutzen
-automatische Blockierung des DSM verwenden
-idealerweise keine Standardports nutzen
-idealerweise läuft alles über Port 443 und den Reverse Proxy
->wenn man hierfür NGINX / SWAG oder andere RPs via Docker nutzt, kann man noch Fail2Ban oder noch besser CrowdSec dazu schalten

 

[Kamika242]

Der einfache Reset bringt nur leider nichts, wenn man doch mal länger auswärts unterwegs ist, trotzdem Danke für den Tipp. Mit der DS Firewall wollte ich mich eh demnächst mal beschäftigen, war mir nur bislang nicht sicher, ob das was bringt, weil die Syno ja eh schon hinter der Firewall der Fritzbox hängt. Bei "Automatische Blockierung des DSM" nehme ich an, du meinst die Loginblockierung nach X Fehlersuchen, habe ich schon eingerichtet. Standardports ändere ich eh sofort immer, allerdings bleibt ja 443 auch irgendwie als Standardport bestehen.

 

[plang.pl]

eh schon hinter der Firewall der Fritzbox hängt

Wenn du Ports weiterleitest, eben nicht. Dann ist für diese Ports die Firewall der Fritte komplett aus und alles wird direkt an die DS geleitet. Teurere Firewall-Lösungen machen das oft anders. Aber die Fritte kennt nur Status EIN und nix geht durch oder Status AUS und alles geht durch.
443 ist schon ein Standardport. Aber da weiß man nicht, was dahinter läuft. Bei Port 5001 weiß jeder Bot / Mensch, dass da eine DS dahinter hängt.
Außerdem hat man mit dem Reverse Proxy den Vorteil, dass man dem sagen kann, er soll nur auf eine gewisse Domain lauschen. Wenn dann jemand bei dir offene Ports erkennt und diese aufruft, bekommt er nur eine weiße Seite. Das heißt, einem Angreifer bringt deine IP und die offenen Ports gar nix, solange er nicht die Domain kennt, auf die der Reverse Proxy lauscht.

 

[Synchrotron]

Wenn du die SecureSignin App von Synology verwendest, kannst du mehrere Geräte identisch für die Freigabe einrichten. Der einfachste Weg führt über das Synology.com-Konto, wenn es für das Backup eingerichtet ist. Du öffnest die App auf dem neuen Gerät und logst dich bei Synology ein.

Er zieht sich jetzt die Anmeldedaten. Um diese zu verifizieren, musst du dich von der App auf mit jedem einzelnen Benutzer neu anmelden (mit Passwort), und aus dem eingerichteten Gerät den zugehörigen OTP eingeben. Damit wird dann dieser eine User freigeschaltet. Das passiert auch mit dem Synology-Konto selbst. Außerdem bekommst du eine Sicherheitsabfrage an deine E-Mailadresse gesendet.

Wenn du das erledigt hast, stehen dir die gleichen Anmeldefunktionen auf dem zweiten Gerät zur Verfügung. Niemand kann das reproduzieren, indem er einfach ein Handy-Backup einspielt, weil erst der Kontozugriff und dann jeder einzelne User neu freigegeben werden muss.

Alternativ kannst du dir einen Authenticator einrichten, der auf mehreren Geräten funktioniert. Ich nehme dafür Authy, als von den großen Unternehmen unabhängige Lösung. Damit gehen OTP-Codes, die weiteren Anmeldefunktionen der App natürlich nicht.

 

[Kamika242]

@plang.pl , ich habe mich heute, wie angeraten, mal mit der Firewall beschäftigt und wollte nur mal höflichst nachfragen, ob das so sinnvoll ist oder ob es Verbesserungsvorschläge gibt?

Mein Bedenken ist noch, ich habe der Fritzbox selbst (192.168.188.1, hier nicht auf der Liste, weil ganz oben) auch Zugriff auf alle internen Dienste gegeben, ist das überhaupt nötig?
Interne IPs .2, .3, .9 und .12 sind meine mobilen Geräte und der Laptop mit Zugriff auf alle internen Dienste, .7 ist der FireTV-Stick mit Zugriff nur auf NFS für Kodi.
Ist der Zugriff von allen IPs in Deutschland auf alle internen Dienste sinnvoll oder würde hier nur die DSM Weboberfläche reichen? Die paar von mir genutzten Synology Apps sind ja alle über Quickconnect verbunden.
Alles andere sollte ja dann durch den letzten Eintrag blockiert sein, oder?

 

[plang.pl]

Ich hab es tatsächlich auch so granular wie du. Die meisten hier geben aber das komplette Heimnetz für alles frei.
Für extern würde ich aber nur die Anwendung / den Port freigeben, den du brauchst. Und das ist i.d.R. nicht DSM. Gib der Anwendung, die du extern nutzen willst, einen eigenen Port in der Systemsteuerung unter Anmeldeportal. Dann gibst du nur diesen frei. Somit ist sinnvollerweise das Admin-Interface nicht von extern erreichbar, sondern nur deine Anwendung. Router brauchst du normal nicht freigeben

 

[Kamika242]

Danke, das ging ja schnell!
Werde ich so übernehmen. Aufs Webinterface komme ich unterwegs zur Not ja dann noch über VPN zur Fritzbox.

 

[plang.pl]

Achja da war was...
Wieso stellst du die DS überhaupt direkt ins Internet und machst es nicht einfach generell via VPN?

 

[Kamika242]

Weil ich dann mit der Drive, der Notes und der Photos App sicher erschwerterenn Zugang hätte, zudem zieht eine dauerhafte Wireguard Verbindung ganz schön am Akku, wenn auch weniger als eine IP-Sec Verbindung.

 

[plang.pl]

Ist aber auch deutlich sicherer als den File-Server ins Internet zu exposen
Schwerer ist der Zugang nicht. Einfach interne IP nutzen

 

[Kamika242]

Eigentlich hast du ja recht. Alternativ habe ich noch einen externen DynDNS Eintrag auf die Fritzbox, dann könnte ich intern auf die Dienste weiterleiten und dann die DynDNS URL+Port bei den Apps eintragen, müsste klappen und ist auch erstmal VPN-unabhängig. Somit könnte ich Quickconnect und das Syno interne DynDNS deaktivieren, dann hängt sie nicht mehr direkt am Netz. Werde das heute mal durchtesten. Ansonsten bleibt ja der Weg über Wireguard und den Deutschland-IP-Eintrag könnte ich dann auch aus der Firewall entfernen.

 

[Kamika242]

Ok, das mit der Portweiterleitung in der Fritzbox ist Quatsch, dann könnte man die Syn auch gleich direkt am Netz lassen. Habe jetzt einen alten Tasker Automatismus wieder aktiviert, der Wireguard einschaltet, sobald ich mein WLAN verlasse und sobald ich es wieder betrete, wieder aus. Die Apps funktionieren dann mit interner IP einwandfrei, nur DMS lässt sich irgendwie nicht aufrufen, weder über den Link an der Syno in der Fritz-App, noch bei direkter Eingabe im Browser, direkt im Heimnetz ohne Wireguard jedoch kein Problem.

Ich könnte allerdings noch einen Task bauen, der Wireguard aktiviert, wenn ich eine Syno App öffne und wieder deaktiviert, wenn ich sie schließe.
Projekt für nachher.

 

[plang.pl]

Bei mir klappt das via Wireguard (https://IP_DER_DS:5001)

 

[Kamika242]

Bei mir genau nicht, nur direkt im Heimnetz, wie gesagt. Kann aber sein, daß meine Browser zu hart eingestellt sind, mal schauen.