NAS Zugriff von außen über DDNS

[Patrik75]

Hallo zusammen,

ich habe aktuell ein NAS zum Musik hören (DS Audio auf Mobilen Endgeräten) ins Internet "gestellt" bzw. freigegeben im Router.
Dies funktioniert aktuell einwandfrei zum Musik hören.
Des Weiteren um das NAS mit einem OneDrive Sync zu können.

Habe ich hierbei einen Fehler gemacht oder etwas vergessen was die Sicherheit angeht?

Gemacht habe ich folgendes:

1. Homepage Seite unter www.all-inkl.de welche nicht groß benützt wird (keine Homepage/Forum/Blog...) unter Tools - DDNS Einstellungen dies eingestellt:


2. Router Fritzbox die DDNS Werte hinterlegt:


3. Fritzbox Portfreigaben eingerichtet manuell:



Dies sind meine Einstellungen.

 

[plang.pl]

1.) Wieso hast du Port 80 und 443 freigegeben?
2.) Ich würde der AudioStation einen separaten Port zuordnen (im hohen fünfstelligen Bereich) und nicht gleich das ganze DSM Interface ins Netz hängen, vor allem nicht mit dem Standardport. Hierzu ein Tipp: Der AudioStation kannst du in der Systemsteuerung unter Anmeldeportal (DSM7) oder Anwendungsportal (DSM6) eigene Ports zuweisen. Somit verhinderst du, dass sich ein Angreifer in der DSM-Oberfläche anmelden kann.
3.) Eventuell noch die Synology Firewall auf Geo-Blocking einstellen und zudem die automatische Blockierung von IP-Adressen aktivieren, die sich zu oft mit falschen Daten versuchen anzumelden

 

[Synchrotron]

Persönlich halte ich überhaupt nichts davon, eine privat oder in einem kleinen Unternehmen genutzte DS überhaupt über Portfreigaben ins Netz zu stellen.

Aber wer es denn unbedingt braucht:

Firewall scharf stellen, nur die Pakete zulassen, die tatsächlich benutzt werden, alles andere pauschal sperren. Geoblocking wurde schon erwähnt.

Keine Standardports nehmen, Ports in den höheren 5-stelligen Regionen wählen. Das schützt nur noch sehr bedingt, aber besser als nichts.

Eigene User für die konkrete Anwendung anlegen (z.B. zum Musik hören), in der App hinterlegen, und den Usern ansonsten (auch über ihre Usergruppe) keinerlei Rechte geben.

Eine wasserdichte, mehrstufige Backupstrategie einrichten und dauerhaft fahren.

Wenn man damit durch ist, kommt man zum Ergebnis, dass das Abo beim Streamingdienst technisch und finanziell die bessere Lösung ist.

Ansonsten (bei mir) Fernzugriff NUR über VPN.

 

[Jim_OS]

Ich werfe dann noch mal zusätzlich Nginx und 2FA in den Raum.

VG Jim

 

[Patrik75]

VPN hat jedes Familienmitglied auch. Leider funktioniert dies nicht wie soll ich sagen....richtig?
Eingerichtet auf allen iPhones und iPads. Ebenfalls in der Fritzbox.
Allerdings wird die VPN Verbindung ständig deaktiviert/getrennt nach einer kurzen Weile an den Mobilen Geräten.
Warum das so ist keine Ahnung, allerdings ist dies absolut unpraktisch aktuell so.

 

[Synchrotron]

Persönlich ist das VPN auf der Fritz!Box mein Rückfall-VPN.

Mein primäres VPN basiert auf WireGuard und läuft auf einem Raspberry Pi. Im Client gibt es die Möglichkeit, dauerhaften KeepAlive als Option auszuwählen. Dann werden ein paar Bytes in regelmässigen Abständen übertragen, um die Verbindung aktiv zu halten.

 

[Patrik75]

Wenn in der Fritzbox keine Portweiterleitung eingetragen ist aber das NAS in der Fritzbox Internetzugang hat ist das dann auch unsicher?

 

[the other]

Moinsen,
keine Portweiterleitung meint hier, dass von außen eigentlich alles am Router gestoppt wird.
Dass dein NAS via Fritzbox Internetzugang hat, ist okay, etwa für Updates, Pakete.
Wie sicher das ist, hängt von dir ab.
Wobei heute viele Angriffe nicht mehr direkt von außen kommen, sondern ein Gerät innerhalb deines LAN kompromittiert wird (E-Mail Anhang etc) und der Angriff dann von dort aus startet.
Meintest du das?

 

[Patrik75]

Hallo the other
Ja genau das habe ich gemeint.
Danke

 

[Patrik75]

Sodele, ich komme nicht weiter.
Portweiterleitung gelöscht.
VPN ist eingerichtet in der FritzBox:


iPhone auch.
VPN funktioniert.

Jetzt die große Preisfrage, wie kann ich jetzt wieder DS Audio hören von außerhalb?
DS Audio findet keine Verbindung (eingetragen ist noch die Subdomain wie früher bei der Portweiterleitung)

 

[plang.pl]

Da musst du nun einfach die lokale IP eingegeben (und evtl den Port). Also so wie wenn du zu Hause im LAN wärst.

 

[Patrik75]

Da musst du nun einfach die lokale IP eingegeben (und evtl den Port). Also so wie wenn du zu Hause im LAN wärst.

Perfekt. Viiiiieeelen Dank es funktioniert

 

[CFB]

Persönlich halte ich überhaupt nichts davon, eine privat oder in einem kleinen Unternehmen genutzte DS überhaupt über Portfreigaben ins Netz zu stellen.

Vielleicht mal eine dumme Frage: Wie greife ich dann von aussen drauf zu? Ich habe jetzt eine Synology und greife über Quickconnect darauf zu? Ist das dann auch schon problematisch? Würdest du das immer nur über VPN machen? Wollte egtl. einen DDNS einrichten, dachte das ist sinnvoller?

Grüße

 

[Synchrotron]

Kommt auf die Art des Zugriffs an:

• Ein / wenige bekannte, vertrauenswürdige Nutzer sollen zugreifen können => VPN einrichten, ggf. verfügbare Dienste einschränken
• Mehrere / viele, unbekannte User sollen zugreifen können => Zugriff über das Internet, auf bestimmte, festgelegte Dienste.

DDNS ist keine Zugriffsart, das stellt lediglich für eine Webadresse meinnetz.meinddnsdienst.de die aktuell zugehörige IPv4 Adresse bereit. Das brauche ich auch für ein VPN, schließlich muss ich von außerhalb erst mal die IP des VPN-Servers kennen, bevor ich mich einwählen kann.

Der Zugriff wird definiert über die Ports, die geöffnet werden, und die damit dahinter verknüpften Dienste. Das Ganze wird flankiert durch eine Firewall, die Regeln festlegt, damit nur genau diese zulässigen Zugriffe erfolgen können.

Quickconnect ist aus meiner Sicht eine Rückfallebene, für den Admin, der darüber etwas freischießen kann, wenn es anders nicht geht.

 

[CFB]

Okay, denn ich versuche über ALL-Inkl eine DDNS zu erstellen und ich bekomme es selbst mit 10 Anleitungen nicht hin. Adresse wird einfach nicht zugeordnet. Ich mache mal einen neuen Faden dazu auf und ggfalls kann mir einer helfen...

 

[ottosykora]

Okay, denn ich versuche über ALL-Inkl eine DDNS zu erstellen und ich bekomme es selbst mit 10 Anleitungen nicht hin. Adresse wird einfach nicht zugeordnet.

Adresse wird erst zugeordnet wenn etwas deine zur Zeit gültige öffentliche IP an den DDNS Provider meldet. Und diese IP muss auch wirklich aus dem Internet erreichbar sein! Also etwas, dein Router, deine DS oder sonst was muss einen DDNS Updater haben.

 

[NASSucher]

Okay, denn ich versuche über ALL-Inkl eine DDNS zu erstellen und ich bekomme es selbst mit 10 Anleitungen nicht hin. Adresse wird einfach nicht zugeordnet. Ich mache mal einen neuen Faden dazu auf und ggfalls kann mir einer helfen...

Bebilderte Anleitung ist doch oben im ersten Beitrag mit drin. Die sollte doch alles abdecken wenn ich mir das so anschaue.

 

[CFB]

Muss ich nochmals probieren, bekomme es einfach nicht hin. Nervt.

 

[ottosykora]

vielleicht musst du auch mitteilen was genau nicht geht oder wo gibt es ein Problem
oder was genau du bis jetzt (erfolglos) versucht hast

 

[CFB]

Also ich habe über ALL-Inkl, deine DDNS erstellt, damit ich über meine Domain einen eigenen Zugang zu meiner Synology erstellen kann, nicht mehr über Quickconnect. Habe dazu auch Anleitungen mir angeschaut und Zertifikat abgerufen etc.
Jetzt versuche ich die DDNS in mein Synology einzupflegen, damit ich dort den Zugang verknüpft bekomme.
Allerdings wenn ich meine Domain aufrufen will, kommt immer, hier entsteht eine neue Seite.

In externer Zugrill DDNS steht auch der Status "Normal". Aber wie gesagt, eine Verbindung bekomme ich im Internet nicht hin.
Die Ports habe ich auch freigeschaltet.

Grüße