Toggle sidebar

Sichere Konfiguration mit Reverse Proxy

D

dieternet

Benutzer
Mitglied seit
10. Jan 2022
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo alle,

Ich bin neu hier und hoffe ihr könnt mir weiterhelfen. Ich habe mich hier im Forum durch verschiedene Threads gelesen um meine Synology DS220j mit DSM 7.0 aufzusetzen, bin mir aber bzgl. dem Netzwerk Setup noch etwas unsicher, ob ich das alles richtig umgesetzt habe.

Die DS soll für folgende Use Cases nutzbar sein:
  • Zugriff auf Shared Folder über Windows Explorer aus dem LAN
  • Zugriff auf File Station und Photos web app aus dem Internet, ohne Portnummer in die URL eingeben zu müssen
  • Photos App über das Internet
  • DS File App über das Internet
Zusätzlich würde ich in der Zukunft gerne noch folgendes einrichten, habe ich aber aktuell noch nicht umgesetzt:
  • Zugriff auf Shared Folder per Windows Explorer über VPN
Das Netzwerk habe ich wie folgt konfiguriert:

1. DDNS Support auf der Synology eingerichtet

DDNS.png

2. Eigene Domain registriert, CNAME Records eingeichtet mit Sub "xxx" und Value "zzz.diskstation.me"

3. Router Port 80 und 443 geöffnet

4. Zertifikat für Sub auf der eigenen Domaine erstellt und als Default gesetzt

5. Router Port 80 geschlossen

router config.png

6. Reverse Proxy von Source 443 auf Destination 5999 (custom DSM https Port)

reverseproxy.png

7. Firewall PPPoe und VPN access denied

8. Firewall LAN access wie folgt konfigueriert:
fw-lan.png
Ein Computer aus dem LAN soll Zugang haben
Aus dem Internet kommende Anfragen mit deutscher IP, die auf DS File und Photo App zugreifen wollen, sollen Zugang haben.

Meine Fragen:
  1. Habe ich in dem oben aufgeführten Setup etwas übersehen und Sicherheitslücken offen gelassen? Als Benchmark sehe ich hier den Zugang über QuickConnect, den ich mit diesem Setup ablösen möchte.
  2. Ist die Nutzung eines Reverse Proxy per se unsicherer, als die Eingabe des Ports in der URL?
Fehlt noch etwa an wichtigen Infos, die ich oben hätte posten sollen?
 
Zuletzt bearbeitet:
NSFH

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.987
Punkte für Reaktionen
517
Punkte
174
Der ReverseProxy ist schon besser als zu viele geöffnete Ports, vorausgesetzt du nutzt nur HTTPS.
Aber wenn du VPN einrichtest würde ich nur dieses nutzen, dann ist alles zu!
VPN server auf einer Syno ist dann aber auch nicht das gelbe vom Ei, schliesslich steht dann dein Fileserver mit einem Bein im Internet. Sowas macht man nicht. VPN gehört auf ein eigenes Device oder wird durch den Router übernommen!
 
ctrlaltdelete

ctrlaltdelete

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
10.017
Punkte für Reaktionen
3.614
Punkte
414
Sieht gut aus, aber wie @NSFH sagt, VPN auf dem Router ist sicherer.
 
D

dieternet

Benutzer
Mitglied seit
10. Jan 2022
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Danke euch beiden für die Rückmeldung. Mit VPN (auf dem Router) würden die DS File und Photos Apps nur funktionieren, wenn der User im VPN eingeloggt ist, richtig?
 
ctrlaltdelete

ctrlaltdelete

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
10.017
Punkte für Reaktionen
3.614
Punkte
414
Yes
 
  • Like
Reaktionen: dieternet
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
 
 
Oben Unten
Zurück