Neben DS718+ separate Diskstation wg. Photo Station kaufen?

[dooyou]

Liebe Leute,

im Heimnetzwerk ist bei mir eine DS718+ eingebunden, funktioniert natürlich alles bestens.

Ich würde gerne die Photo Station nutzen, schrecke aber etwas davor zurück die NAS mit ihren ganzen Daten sozusagen online zu stellen.

Ich lese oft, dass man keine NAS mit privaten Daten online stellen soll, sondern sich dafür eine separate anschaffen soll. Klingt ja auch nachvollziehbar.

Ich kenne mich mit Verschlüsselung, Freigaben etc. aus und nutze dies auch entsprechend. Es wäre also für mich grundsätzlich kein Ding die aktuelle DS auch entsprechend konfigurieren. Ich will nur nicht unbedingt ein Einfalltor öffnen.

Ich hatte das Testweise auch schon gemacht, also Https, LetsEncrypt Zertifikat und DynDNS und alles was man eben so macht. Einen Zugriff per VPN gäbs nur für mich.

Die Frage ist, macht eine separate DS Sinn oder ist das Geldverschwendung?

Ich dachte wenn dann an eine kleine DS118 (mit allen Vor- bzw. Nachteilen).

Danke!

 

[the other]

Moinsen,
meiner Meinung nach wäre das Geld zu verbrennen.
Wenn du VPN nicht gerade über dein NAS laufen lässt, das sauber implementiert wird und der Tunnel auf deine Netzwerkperipherie (Router, Raspi mit VPN/Wireguard) zeigt, bist du eigentlich gut aufgestellt.
Für das Geld dann eher mal nen besseren (schnelleren, VPN-fähigen Ruter oder ne firewall >siehe meine Signatur zB
Dann eben VPN>https>gute Passworte oder Zertifkatbasierte Anmeldung und du bist nahezu auf Profi-Niveau.
Wenn du aber deine Bilder via Server und Internetzugang für ALLE ins Netz stellen willst, dann ne DMZ bauen und ein 2. NAS da reinstellen, sauber getrennt vom produktiven Heimnetzbereich...jm2c

 

[ottosykora]

Etwas übertrieben finde ich dies alles schon.

Gerade Photo Station ist ja von dem Rest insofern isoliert aufgebaut, so dass die Besucher gar kein Konto auf DSM brauchen und somit keinen Zugang haben.
Und ja, in der PS kann man auch Bilder veröffentlichen ganz ohne Account. Das ist aber immer noch vom Rest getrennt.
Und genau dazu hat man ja eine DS, damit eben auch zum Bsp Webseiten möglich sind etc.
Das Forum hier wird auch nicht mit einer VPN aufgerufen, sondern ganz normal aus dem Netz und der Server dahinter lebt auch noch.

Für reine DSM Konten dann halt auch vernünftige Passwörter verwenden und wenn es jemand unbedingt haben will kann er auch noch VPN dazu schalten.
Ja VPN habe ich auch, verwende es bei der heim DS extrem selten. Und schon gar nicht vom Phone.

 

[the other]

Moinsen,
tja, jedeR wie er/sie will...
Trotzdem finde ich den Vergleich zwischen einem Home-NAS und angehängtem Heimnetzwerk und im Netz öffentlich verfügbarem Server eher...seltsam (wie es mit Vergleichen ja meist ist).
Ich gehe mal davon aus, dass die Betreiber des Forums und des zugehörigen Servers etwas mehr basics und Zeit und Wissen in die Implementierung (und kontinuierliche Pflege) investieren, als die meisten hier für ihr "ich stell mein Gerät jetzt mal online, weil geht ja" User.

In meiner Erfahrung ist es eben eine Frage der potentiell zu vermeidenden Unsicherheiten im heutigen Netzwerkbetrieb: ein Gerät, dass aus dem Netz erreichbar ist hat aus meiner Sicht nix im Heimnetz verloren, sollte also entweder separiert werden oder eben der Zugang geschützt. Schon gar nicht, wenn dann da noch andere Daten drauf liegen ggf. sogar backups...
Und auf die regelmäßige Updatepolitik für ggf. existierende Löcher in der Software verwette ich gerade bei Synology nicht meine Datenbestände. Tut mir weniger weh, dass extra zu sichern, als danach den Schaden zu haben...
Aber wie ich geschrieben habe: just my 2 Cents...

 

[ottosykora]

Ja und dann noch einen TEMPEST Käfig um das Ganze....
Dann braucht man ja gar keine NAS zu kaufen. Dann genügt ein USB Stick.
Aber wenn jemand noch seine feuchten Videos als extrem schützenswert klassifiziert, dann muss er halt einen Aufwand treiben.

Ich habe sicher keine NAS gekauft damit nur ich alleine drauf Zugang habe.
SSL ist heute kaum ein wirkliches Problem mehr, sichere Passwörter auch nicht.
DSM hat bei mir gegenwärtig etwa 30 Benutzer, Photo Station so um die 80.
Kann doch nicht auf allen Clients noch VPN konfigurieren gehen.

 

[the other]

Moinsen,
nö, hat auch keiner gesagt, dass es sinnig ist auf allen Clients VPN einzurichten...
Ich sage lediglich, dass ich es in heutigen Zeiten nicht raten würde, dass ein Server, der öffentlich (eben ohne VPN dann) zugänglich sein soll direkt ins Heimnetz zu plazieren. Also würde ich (bei wenigen ausgesuchten Usern) den dann entweder mit VPN absichern, oder aber bei vielen Usern den außerhalb des Produktivnetzes zu fahren...
Ich haber eben ein NAS gekauft, und keinen vollwertigen webhosting Server für die breitere Besuchermasse.
Und wie gesagt: das muss ja jeder für sich entscheiden, wenn der TE aber gezielt nach Sicherheit fragt und sogar bereit wäre, ein 2. NAS anzuschaffen, dann zeige ich Alternativen dazu auf.

Bin essen...

 

[dooyou]

Vielen Dank schon einmal für eure Antworten. @the other Meinung ist für mich nachvollziehbar, da ich dies in Bezug auf Sicherheit schon oft gelesen habe und hier ja auch aufgegriffen hatte.

Wie gesagt, ich persönlich kann auf meine NAS per VPN zugreifen. Natürlich entsprechend gesichert, ordentliche Benutzerkonten angelegt und Zugriff über die FB (also kein VPN-Server über die Synology).

Die Photo Station hat eigene Benutzer, unabhängig von der NAS. Aber dann werde/muss ich mir das noch einmal überlegen. VPN geht natürlich nicht für die "Allgemeinheit".

 

[dooyou]

Ich melde mich hier noch einmal wieder und greife den alten Post wieder auf, da das Thema jetzt wieder aktuell ist.

Mittlerweile habe ich mich mit dem Virtual Maschine Manager beschäftigt und denke, dass dies mit vDSM und dort installierter Photo Station (bzw. Synology Photos) eine gute Alternative zu einer separaten Diskstation darstellt. Die 718+ hat ja zudem noch eine zweite Netzwerkschnittstelle, die ich dafür nutzen kann. So könnte die VMM abgeschottet vom restlichen heimischen Netz arbeiten.

Klar, wenn es Sicherheitslücken zwischen VMM und Host-System gibt, wäre natürlich die Hardwaretrennung besser. Aber ich denke für zu Hause und um auch die 718+ richtig zu nutzen, ist das keine schlechte Lösung.

Wo ich mich jetzt aber schwer tue, wie könnte ich jetzt die VMM/vDSM am besten vom restlichen Netz trennen? Ich müsste ja zu meiner Fritzbox 7590 einen Router/Switch dazu kaufen (APU2, Mikrotik, Cisco SG250/350) und darüber die Clients einbinden usw. Die Fitzbox kann leider kein Portforwarding im Gastnetzwerk.

Oder brauch ich mir den Stress mit zusätzlicher Hardware nicht geben und kann das alles in der Synology (vDSM) per Firewall Konfiguration machen? Es soll ausschließlich Synology Photos von außen erreichbar sein, aber das interne Netz nicht kompromittiert werden können.