DS918+ nicht mehr erreichbar (intern/extern)

[Aequita]

Ich hoffe ich überlade diesen Post nicht schön langsam, aber ich habe gerne möglichst alles dokumentiert und geklärt - zumindest sofern möglich.


Nochmal ein Update zur eigentlichen Fehlersuche
Der Reset Modus 1 hat ja wie bereits erwähnt das Problem behoben, Symptombekämpfung soll aber nicht das Ende der Fahnenstange sein. Die Ursache zu kennen wäre schon nett.

Firewall
War deaktiviert, diese sollte also den Zugriff grundsätzlich erlaubt haben.

Auto Block
War aktiviert, hat aber bei Tests von einem alten Handy aus gezeigt, dass ich dann 1) per Mail informiert worden wäre und 2) die Blocklist entsprechend um einen Eintrag ergänzt worden wäre (letzter Eintrag: 2021). Beides war nicht der Fall.

Kontosperre
Weder das verknüpfte Synology-Konto, noch der Benutzer mit welchem ich auf den Server zugreifen wollte scheinen gesperrt / deaktiviert gewesen zu sein (mal abgesehen davon, dass ich ja nicht mal zum Login kam - das Thema also Benutzer-unabhängig sein sollte).

Router-Settings
Vor dem Reset führte ich einen Export der aktuellen Settings durch und habe eine paar Monate alte Sicherung geladen um Probleme seitens der FritzBox auszuschließen. Das Problem bestand auch mit alten Settings.


Antworten auf Offenes

@Aequita : Was passiert denn, wenn du mit dem Smartphone netzintern https://ipdesnas : 5001 eingibst?

Das gleiche: Timeout
Ich habe es von intern (WLAN) und extern (4G) mit den von mir definierten, sowie mit den Standardports versucht.

Jetzt aber unbedingt nachschauen ob verschlüsselt oder nicht! Und ggf. die .key Datei gut weglegen…

Danke für die Erinnerung!

 

[nasinterested]

Ich habe es von intern (WLAN) und extern (4G) mit den von mir definierten, sowie mit den Standardports versucht.

soll das heißen, Du benutzt kein VPN, sondern exponierst den Host?

 

[Aequita]

Hmmmmm, I guess so?
Firewall wieder aktiviert (kA weshalb ich die mal deaktiviert und dann vergessen hätte).
Gibt's hier best-practice Vorschläge für ein Setup welches dennoch von außen erreichbar sein sollte?

 

[plang.pl]

Wenns geht VPN über den Router nutzen
Wenn nicht keine Standardports freigeben, den Reverse Proxy nutzen, automatische Blockierung und Geo-Blocking / Blockscript aktivieren. Sichere Passwörter und 2FA ist klar.

 

[Aequita]

Danke für die Info.
Dann bin ich grundsätzlich ja garnicht so verkehrt unterwegs.
Reverse Proxy muss ich mir mal ansehen. 0 Plan.

 

[ottosykora]

Vorschläge für ein Setup welches dennoch von außen erreichbar sein sollte?

Quickconnect geht ohne Probleme intern und extern

 

[nasinterested]

[exponierter Host - Ports vom IPv4-Router weitergeleitet]

Hmmmmm, I guess so?

bitte nicht machen. Auch Nicht-Standard-Ports sind eine Gefahr wenn man z.B. SMB-Ports "öffnet". Dass die niemand findet, weil man denkt, man hat die versteckt, ist ein Irrglaube.

Die best practice ist VPN. Das gibt es heute in Einfach - Fritzbox oder Docker-Container mit fertigen Images, die nur etwas Anpassung per Anleitung benötigen. Wireguard, Tailscale.

Es gibt auch "Cloud"-Lösungen, die das Öffnen und Weiterleiten von Ports auf das NAS selbst unnötig machen.

Reverse Proxy hat auch Anleitungen und gute Produkte, ist für mich aber nichts (ich bevorzuge VPN). Ich würde sagen, ist deutlich komplexer als die Wireguard-Einrichtung mit der Fritzbox.

 

[Ronny1978]

Nur noch einmal aus meiner Sicht ein paar Erläuterungen, auch für Neulinge, die nur Mitlesen. Ja, VPN ist immer die sicherste Variante. Jedoch gibt es Konstellationen, wo VPN nur über großen/größeren Einrichtungsaufwand möglich ist und somit ein Reverse Proxy die bessere Variante ist. Beispiele sind:

- Home Assistant extern erreichbar machen: Ja, das geht auch mit VPN. Aber wenn man dann noch Android Auto nutzt und das dann wegen der VPN Verbindung meckert, muss man weitere Einstellungen tätigen. Das geht mal mehr mal minder einfach/gut. Und wenn dann mehrere Geräte betroffen sind, ist es einfacher mit einem Reverse Proxy und eine SSL Zertifikat von Lets Encrypt zu arbeiten. Außerdem funktionieren, meines Wissens jedenfalls, bestimmte Automationen nicht. Garagentor öffnen, bei Zoneneintritt, aber nur, wenn mit Android Auto verbunden, zum Beispiel.
- ecoDMS: Sobald das Steuerbüro auf die Rechnungen zugreifen soll/darf, wird VPN schon wieder schwierig und ist vom Steuerbüro und deren IT abhängig.
- Jellyfin: Mein Sohn studiert außerhalb und auch mein Bruder und mein Onkel greifen auf die Filme von Jellyfin mittels Android TV oder einem FireTV zu. Hier habe ich keine Lust, 3 zusätzliche Netzsegmente zu steuern (mittels LAN-LAN Kopplung) oder irgendwelche VPN Apps auf den Geräten zum Laufen zu bringen.

Es gibt mit Sicherheit Lösungen, aber die sind meiner Meinung komplizierter, wie ein Reverse Proxy der ordentlich eingerichtet ist. Bitte versteht mich nicht falsch: Ich bin Verfechter von Sicherheit, aber es muss auch ohne IT Studium umsetzbar sein. Mein Sohn greif zum Beispiel per VPN auf mein NAS zu, welche die Ordner als Netzlaufwerke bereitstellt. Ich nutze VPN, um auf bestimmte kritische Infrastrukturen zuzugreifen. Aber manchmal muss man auch Strukturen schaffen, dass weniger affine Mitmenschen, wenn man das möchte, zugreifen können, ohne das man jedes Mal Hilfestellung leisten muss.

Das sind aber nur meine Gedanken. Portweiterleitung versuche ich soweit es geht zu vermeiden. Dort wo VPN sinnvoll und einfach umsetzbar ist, wird auch die Wireguard VPN der OpnSense genutzt. Tailscale ist eine Alternative, aber da ist man wieder von einem externen Dienst abhängig. Und wie dann die Durchsatzraten bei 3 gleichzeitigen Videostreams sind, müsste man auch erst testen - habe ich noch nicht gemacht.