Möglichst sicherer Zugriff auf NAS ohne VPN

[realklaus]

Hi @ebusynsyn,
bei mir funktioniert das so sehr gut. Ich habe ein paar Bugs drin, die ich nicht so richtig lösen kann. So komme ich mit einem der smartphones nicht aus dem Heimnetz (WLAN) auf die Notestation (alles andere funktioniert), obwohl die entsprechenden Freigaben in der Firewall erteilt sind. Von außen geht es dann wieder. Der Router (bei mir derzeit noch von der Telekom nervt bisschen, der mag ab und an nicht), aber ob das damit zusammenhängt, kann ich nicht mit Gewissheit sagen.
Ansonsten klappt der Zugriff sehr gut, insbesondere die Kalendersynchronisation (die ja Stein des Anstoßes war) läuft problemlos.
Grüße, alex

 

[Benares]

Von außen geht es dann wieder

Bei einer Fritte als Router und DNS-Server intern würde mir spontan der DNS-Rebind-Schutz einfallen, der eine DNS-Auflösung externer Namen auf interne Adressen verhindert. Hat dein Router sowas auch?
Da kann man Ausnahmen in eine Liste eintragen, wenn das gewünscht ist.

 

[realklaus]

Ich glaub' nicht, dass ich da bei nem Speedport drauf zugriff hätte, wenn's das gäbe. Bei allen anderen Geräten funktioniert es (auch andere Smartphones), mit den genau gleichen FW Regeln für diese Smartphones. Nur bei einem funktioniert es intern nicht. Neuinstallation der App auf dem Gerät habe ich probiert, anmelden/abmelden auch. Manchmal läuft es kurzzeitig, dann wieder nicht. Ich denke eher, es hängt aus irgendeinem Grund an der FW, bzw. dem reverse. Aber warum ... keine Ahnung. Ist auch nicht so super entscheidend, weil ich ja drauf zugreifen kann, wenn ich nicht mehr zuhause bin oder einfach kurz das WLAN am Smartphone ausgeschaltet wird. Hatte noch keine Muße, dem weiter hinterher zu spionieren. Bin erstmal froh, dass (außer diesem Punkt) alles läuft, wie es soll.

 

[ebusynsyn]

@realklaus

Vielen Dank für Deine Ausführungen. Das stimmt mich zuversichtlich...

Was den fehlenden Zugriff von intern betrifft, käme mir ebenfalls wie @Benares es schon geschrieben hat nur den DNS-Rebind-Schutz in den Sinn.

 

[ebusynsyn]

Jetzt ist mir doch gleich noch eine Frage durch den Kopf geschossen, die da wäre:

Bitte nicht lachen - es ist eine ernstgemeinte Frage

Macht es mit Blick auf die Sicherheit einen unterschied, ob eine domain 'drive.meinedomain.synology.me' oder 'drive.mk4a-nagu-34op.synology.me heisst? Ich meine mich zu erinnern, dass die ach so bösen hacker nur die IP scrollen und die geschriebene domain unerheblich ist.

 

[Benares]

Ich denke, der Domain-Name spielt keine Rolle. Die "bösen Hacker" scannen IP-Ranges und keine DNS-Namen.

 

[ctrlaltdelete]

Ich habe seit mehreren Jahren Subdomains über Reverse Proxy auf der DS zugänglich, nur über Port 443 und bisher keine Angriffe oder Problem, trotz fester IP.
Zur Sicherheit nutze ich:
NPMplus teilweise mit Authentifizierung
Alle Dienste isoliert im Container
DSM nur mit starkem Passwort und 2FA!!!
Blocklists
Backup: immutable Snapshots, Replikation und Hyper Backup auf verschieden Ziele

 

[ebusynsyn]

In der Zwischenzeit habe ich:
- bei Selfhost.de eine Domain gekauft und eine Subdomain mit der Funktion DynDNS eingerichtet
- in der Syno unter DDNS erfasst. Verbindung kann hergestellt werden
- den Reverse Proxy der Syno eingerichtet
- in der Syno unter Zertifikate ein solches erstellt und in den Einstellungen der Subdomain zugeteilt
- FritzBox 443/80 weitergeleitet ebenso 6690 wegen Drive.

Es funktioniert alles so wie ich es mir vorstelle.

In den Browsern Safari/Firefox/Chrome alles gut. HTTPS wird in der URL-Zeile angezeigt.

Aber:

Im Browser Edge von Microsoft wird eine unsichere Verbindung gemeldet (bei der Anmeldeseite). Nach einer Recherche im Netz wird der Umstand in den Raum gestellt, dass gewisse Teile (CSS-Style) der Anmeldeseite des NAS nicht sicher seien.

Ist das etwas was relevant ist? Oder der kann ich das ignorieren?

Es gibt offenbar einen Workaround den Edge-Nutzer befolgen können um die Meldung abzustellen.

 

[ctrlaltdelete]

Ignorieren oder Edge nicht nutzen
Wieso hats du nicht die kostenlosen Synology Domain genommen?

 

[ebusynsyn]

Ignorieren oder Edge nicht nutzen

Edge nutze ich nicht - bzw. nur im Zwang auf dem Geschäfts-Notebook. Ignorieren: So werde ich das machen. Ich habe übrigens noch ein SSL-Server-Test gemacht und bekomme ein A+ Rating. Für mich passt das so.

Wieso hats du nicht die kostenlosen Synology Domain genommen?

Habe ich im Vorfeld gemacht. War ganz easy.

Ich wollte mich aber der Herausforderung stellen, mal eine eigene Domain von a bis z in Betrieb zu nehmen/zu nutzen. Das erlernte könnte allenfalls noch nützlich sein, sofern ich dann mal das Ugreen Nas produktiv in Betrieb nehme.

 

[patrickn]

Schau dir in den Entwickleroptionen (weitere Tools, Entwicklungstools) von Edge die Netzwerkverbindungen an, da sieht man dann ja, ob etwas über unverschlüsselte/externe Verbindung geladen wird. Mit meiner Synology Domain kommt bei mir jedenfalls keine Warnung oder Hinweis

 

[ebusynsyn]

Ich möchte zu diesem Thema weder für mich -noch für die freundlicherweisende Mitlesenden Aufwand generieren. Dennoch in aller Kürze zwei ScreenShots - die mich (nicht überraschend) jedoch nicht wirklich weiter bringen.

Der Fehler zeigt sich beim Login-Screen 'Drive' - aber auch Login-Screen 'DSM' - sowohl über die interne IP wie auch über die externe URL.

 

[ebusynsyn]

... ich verstehe es nicht, aber Tatsache ist:

Ich habe das Hintergrundbild vom Anmelde-Bildschirm gegen ein anderes Bild ausgetauscht. Jetzt kommt der Hinweis nicht mehr. Am Login-Screen 'DSM' habe ich keinen Wechsel des Hintergrundbildes vorgenommen. Aber auch hier ist der Fehler weg ...

Flasche leer ... Thema Edge für mich erledigt.

 

[realklaus]

Hallo in die Runde.
Ich muss das Thema leider noch einmal aufwärmen: Bis gestern lief das mit den Einstellungen alles super (also eine ganze Weile). Seit gestern komme ich aber nicht mehr über meinedomain.synology.me zugreifen (weder über das Heimnetz, noch von außen). Weder Kalender über caldav, drive oder note station funktionieren noch. Auf keinem Gerät. Das Zertifikat ist gültig, teste ich die DDNS Verbindung (Systemsteuerung -> externer Zugriff) ist der Status Normal, auch der Test der Routerverbindung läuft ohne Probleme. Ich habe auf das Admin Konto nicht zugegriffen und auch sonst nichts verändert (Reverse Proxy auf der Fritz läuft unverändert). Aus dem Heimnetz kann ich nach wie vor über die NAS IP (192.168.178.xx) zugreifen.
Wie kann ich (zunächst) herausfinden, woran es liegt?

Beste Grüße, alex

 

[ottosykora]

es gibt da einige Threads bei denen wird berichtet der Synology DNS sei zur Zeit gestört

 

[realklaus]

ah, ok, Danke! also erstmal abwarten?

 

[ottosykora]

denke schon, check etwas mehr hier im Forum, ev werden Kollegen da melden wenn alles OK

 

[ottosykora]

@realklaus
https://www.synology-forum.de/threads/synology-ddns-down.140597/

 

[JohneDoe]

der Domain-Name spielt keine Rolle. Die "bösen Hacker" scannen IP-Ranges und keine DNS-Namen.

Ich hab bei mir durch Crowdsec gemerkt, dass die Domains die bei lets encrypt bekannt sind auch durch probiert werden. Ich hab nur Wildcards, aber die bots probieren sich dann an den Hauptdomains.