NAS Zugriff von außen über DDNS

Patrik75

Benutzer
Mitglied seit
03. Nov 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
Hallo zusammen,

ich habe aktuell ein NAS zum Musik hören (DS Audio auf Mobilen Endgeräten) ins Internet "gestellt" bzw. freigegeben im Router.
Dies funktioniert aktuell einwandfrei zum Musik hören.
Des Weiteren um das NAS mit einem OneDrive Sync zu können.

Habe ich hierbei einen Fehler gemacht oder etwas vergessen was die Sicherheit angeht?

Gemacht habe ich folgendes:

1. Homepage Seite unter www.all-inkl.de welche nicht groß benützt wird (keine Homepage/Forum/Blog...) unter Tools - DDNS Einstellungen dies eingestellt:
01 DDNS Einstellungen All-inkl.de.JPG

2. Router Fritzbox die DDNS Werte hinterlegt:
02 Fritzbox 6591 Internet - Freigabe - DynDNS.JPG

3. Fritzbox Portfreigaben eingerichtet manuell:
03 Fritzbox 6591 Internet - Freigabe - Portfreigaben.JPG


Dies sind meine Einstellungen.
 

plang.pl

Benutzer
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
1.841
Punkte für Reaktionen
383
Punkte
109
1.) Wieso hast du Port 80 und 443 freigegeben?
2.) Ich würde der AudioStation einen separaten Port zuordnen (im hohen fünfstelligen Bereich) und nicht gleich das ganze DSM Interface ins Netz hängen, vor allem nicht mit dem Standardport. Hierzu ein Tipp: Der AudioStation kannst du in der Systemsteuerung unter Anmeldeportal (DSM7) oder Anwendungsportal (DSM6) eigene Ports zuweisen. Somit verhinderst du, dass sich ein Angreifer in der DSM-Oberfläche anmelden kann.
3.) Eventuell noch die Synology Firewall auf Geo-Blocking einstellen und zudem die automatische Blockierung von IP-Adressen aktivieren, die sich zu oft mit falschen Daten versuchen anzumelden
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
3.068
Punkte für Reaktionen
661
Punkte
174
Persönlich halte ich überhaupt nichts davon, eine privat oder in einem kleinen Unternehmen genutzte DS überhaupt über Portfreigaben ins Netz zu stellen.

Aber wer es denn unbedingt braucht:

Firewall scharf stellen, nur die Pakete zulassen, die tatsächlich benutzt werden, alles andere pauschal sperren. Geoblocking wurde schon erwähnt.

Keine Standardports nehmen, Ports in den höheren 5-stelligen Regionen wählen. Das schützt nur noch sehr bedingt, aber besser als nichts.

Eigene User für die konkrete Anwendung anlegen (z.B. zum Musik hören), in der App hinterlegen, und den Usern ansonsten (auch über ihre Usergruppe) keinerlei Rechte geben.

Eine wasserdichte, mehrstufige Backupstrategie einrichten und dauerhaft fahren.

Wenn man damit durch ist, kommt man zum Ergebnis, dass das Abo beim Streamingdienst technisch und finanziell die bessere Lösung ist.

Ansonsten (bei mir) Fernzugriff NUR über VPN.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
1.442
Punkte für Reaktionen
377
Punkte
109
Ich werfe dann noch mal zusätzlich Nginx und 2FA in den Raum. :)

VG Jim
 
  • Like
Reaktionen: Synchrotron

Patrik75

Benutzer
Mitglied seit
03. Nov 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
VPN hat jedes Familienmitglied auch. Leider funktioniert dies nicht wie soll ich sagen....richtig?
Eingerichtet auf allen iPhones und iPads. Ebenfalls in der Fritzbox.
Allerdings wird die VPN Verbindung ständig deaktiviert/getrennt nach einer kurzen Weile an den Mobilen Geräten.
Warum das so ist keine Ahnung, allerdings ist dies absolut unpraktisch aktuell so.
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
3.068
Punkte für Reaktionen
661
Punkte
174
Persönlich ist das VPN auf der Fritz!Box mein Rückfall-VPN.

Mein primäres VPN basiert auf WireGuard und läuft auf einem Raspberry Pi. Im Client gibt es die Möglichkeit, dauerhaften KeepAlive als Option auszuwählen. Dann werden ein paar Bytes in regelmässigen Abständen übertragen, um die Verbindung aktiv zu halten.
 

Patrik75

Benutzer
Mitglied seit
03. Nov 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
Wenn in der Fritzbox keine Portweiterleitung eingetragen ist aber das NAS in der Fritzbox Internetzugang hat ist das dann auch unsicher?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.021
Punkte für Reaktionen
497
Punkte
129
Moinsen,
keine Portweiterleitung meint hier, dass von außen eigentlich alles am Router gestoppt wird.
Dass dein NAS via Fritzbox Internetzugang hat, ist okay, etwa für Updates, Pakete.
Wie sicher das ist, hängt von dir ab.
Wobei heute viele Angriffe nicht mehr direkt von außen kommen, sondern ein Gerät innerhalb deines LAN kompromittiert wird (E-Mail Anhang etc) und der Angriff dann von dort aus startet.
Meintest du das?
;)
 
  • Like
Reaktionen: Patrik75

Patrik75

Benutzer
Mitglied seit
03. Nov 2021
Beiträge
13
Punkte für Reaktionen
0
Punkte
7
Sodele, ich komme nicht weiter.
Portweiterleitung gelöscht.
VPN ist eingerichtet in der FritzBox:
Fritzbox 6591 Cable VPN einrichten - Fritz VPN Einstellungen.JPG

iPhone auch.
VPN funktioniert.

Jetzt die große Preisfrage, wie kann ich jetzt wieder DS Audio hören von außerhalb?
DS Audio findet keine Verbindung (eingetragen ist noch die Subdomain wie früher bei der Portweiterleitung)
iPhone DS Audio App Verbindungsproblem.jpg
 

plang.pl

Benutzer
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
1.841
Punkte für Reaktionen
383
Punkte
109
Da musst du nun einfach die lokale IP eingegeben (und evtl den Port). Also so wie wenn du zu Hause im LAN wärst.
 
  • Like
  • Love
Reaktionen: vater und Patrik75
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup