Toggle sidebar

Geht das: Benutzer darf nur aus gleichem Subnetz anmelden?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
K

Kauabunga

Benutzer
Registriert
18. Juli 2009
Beiträge
105
Reaktionspunkte
0
Punkte
16
Hi!

Vorweg: meine DS ist über Internet erreichbar, ich kann somit über das Internet auf ihr einloggen. Das soll auch so blieben.

Jetzt will ich aber auch einen account anlegen (z.B. mein Mediencenter) der über Sambafreigabe zugreifen soll.

Gibt es eine Möglichkeit das ganze so zu konfigurieren, dass diese accounts nur vom LAN aus sich einloggen dürfen? So kann ich die potenziellen Schwachstellen nach aussen ins Netz verringern.


Gruß
Ralf
 
Von Haus aus wüßte ich keine Möglichkeit. Evtl. mit Iptables, wobei ich mich da nicht wirklich auskenne.

Falls nur du auf die DS zugreifst oder andere regelmäßige User, könntest du ein VPN (OpenVPN) einrichten. Damit hättest du eine große Sicherheit und müßtest dir weniger Gedanken machen.

Eine Anleitung dazu gibts hier auch und im dazugehörigen Thread werden Fragen sehr schnell und gut beantwortet. Entweder OpenVPN läuft auf der DS oder du kannst deinen Router mit DD-WRT (+Konsorten) ausstatten worauf dann OpenVPN läuft.
 
Vielen Dank amarthius!

Schade, dachte es geht irgendwie einfacher.

Allerdings steht OpenVPN schon seit längerem auf meiner "DS-Projektliste" muss es nun doch mal in Angriff nehmen.
Auf den Router (Dlink Dir615 Rev D1) kann ichs leider nicht machen, der wird nicht unterstützt.
 
OpenVPN lässt sich auch direkt auf der DS installieren. Gibt ein ipkg Paket dazu.
 
Du kannst doch über die syno-firewall einfach alle netzte sperren, von wo du keine anmeldung möchtest. Ich mache das mit NFS / iSCSI so.
 
Wenn ich die Anforderung richtig verstanden habe, dann will er einzelne Accounts vom Internet-Zugang (z.B. Login via http/https) aussperren, andere sollen aber durchaus zugreifen dürfen. Eine solche Regelung kann man in meinen Augen nur durch Restriktionen in den Anwendungsberechtigungen halbwegs durchsetzen. Explizit die Anmeldung via LAN-IP zuzulassen und via WAN-IP zu untersagen, ist meines Wissens nicht implementiert. Vielleicht sollte man das als eine Anregung den Synology-Entwicklern zukommen lassen.

Itari
 
Also anmeldung von WAN/LAN zu trennen, das geht problemlos. Du verbietest alles, und erlaubst z.b. die 192.168.0.0/16
Bei meinen DS1010+ kann man sogar für jeden link (eth0/eth1) seine eigene regeln einstellen (z.b. WAN/LAN auf je ein kabel).
 
Das geht aber nicht auf Benutzerebene. Es soll sich ja ein Benutzer per WAN anmelden dürfen, ein anderer Benutzer nicht.

Itari
 
itari schrieb:
Das geht aber nicht auf Benutzerebene. Es soll sich ja ein Benutzer per WAN anmelden dürfen, ein anderer Benutzer nicht.

Itari
Zum Vergrößern anklicken....

<--- So isses, das war mein Gedanke / Wunsch.

OpenVPN ist in der Hinsicht auch nur für mich persönlich eine Lösung. Wenn ich z.B. noch jemand reinlassen will, dann kann ich dem kein VPN zumuten.

(Heist nicht, dass ich mein openVPN von der Liste streiche;) ...aber erst wenn ich mehr zeit hab)

Es ging mir hier eher ums Prinzip. klar, kann ich auch meinem Mediacenter ein SuperKompliziertes Passwort geben, dann ist der Login sicher "sicherer" als mein persönlicher, mit dem ich mich einlogge. Dacht hat, wenn was nicht raus muss, dann brauchts auch nicht raus.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten