Virtueller DSM verbindung zum Host DSM

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
67
Punkte für Reaktionen
6
Punkte
8
Hallo,
könnte man einen virtuellen DSM, verbunden zum Netz über den 2ten DS Netzwerkanschluß, als exposed Host an einer Fritzbox, dessen Netzwerkanschluß als Gastnetz konfiguriert wurde, als z.B. Minecraftserver einrichten?
Bei dieser Konfig hätte der virtuelle DSM theoretisch keine Verbindung zum lokalen Netz, weil er ja nur im Gastnetz der Fritzbox wäre. Die Frage stellt sich mir nur, welche Verbindungsmöglichkeiten gibt es zwischen dem virtuellen und dem Host-DSM? Gibt es dabei trotzdem Sicherheitsprobleme für das lokale Netz? VG
 

THDev

Benutzer
Mitglied seit
27. Mrz 2020
Beiträge
354
Punkte für Reaktionen
122
Punkte
93
Kannst für die VM einen Netzwerkadapter bzw nen neues virtuelles netz anlegen mit dem netzwerk adapter.

Und sonst probier es doch einfach mal aus.
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
67
Punkte für Reaktionen
6
Punkte
8
hab ich gemacht, keine Chance, die Fritzbox macht keinen Port im Gastnetz auf, geht also nicht.

" In der FRITZ!Box können keine Portfreigaben für Geräte eingerichtet werden, die über den LAN- bzw. WLAN-Gastzugang mit der FRITZ!Box verbunden sind. Zugriffe über das Internet auf Geräte im Gastnetz (IP-Netzwerk 192.168.189.0, Subnetzmaske 255.255.255.0) werden von der FRITZ!Box nicht unterstützt. "
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.087
Punkte
248
Gastnetz nicht, aber im normalen halt... vDSM kriegt eine eigene IP, machste die Portweiterleitung auf das vDSM (Minecraft-Port, k.a.) und feddich.
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
67
Punkte für Reaktionen
6
Punkte
8
ja ok, aber da komm ich ja wieder zu meiner Frage, in wie fern wäre die Sicherheit des Host-DSM bzw. des gesamten Heimnetzes durch so eine Freigabe beeinflusst?
Kommt ein potentieller Angreifer auf jeden Fall aus dem virtuellen DMS nicht raus? Gilt die Portfreigabe auf der Fritzbox definitiv nur für die IP des virtuellen DSM?
 
Zuletzt bearbeitet von einem Moderator:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.087
Punkte
248
Kommt ein potentieller Angreifer auf jeden Fall aus dem virtuellen DMS nicht raus?
Sowas kannst Du "nie" ausschliessen. Raus ist eigentlich auch nie das Problem, primär immer das "rein" (+ Kontrolle über das System erhalten).
Gilt die Portfreigabe auf der Fritzbox definitiv nur für die IP des virtuellen DSM?
Wenn Du Dein Küchenfenster öffnest, ist dann nur das Küchenfenster offen, oder auch direkt das Wohnzimmerfenster? ;)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.087
Punkte
248
"Theoretisch" ist so ziemlich alles möglich... Im besten Fall sorgt man erstmal für ein ordentliches Offline-Backup ;)
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
1.740
Punkte für Reaktionen
343
Punkte
109
Ich würde tendentiell eher einen Docker-Container im mit Macvlan (Bridge-Driver) verwenden.
Mit der Firewall der DS kannst du hier schon ziemlich alles weitere abriegeln.

Vorteil: Der Container ist ressourcenschonender
Nachteil: Du musst dich erstmal mit Docker und Firewall-Konfigurationen auseinandersetzen
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
67
Punkte für Reaktionen
6
Punkte
8
"Theoretisch" ist so ziemlich alles möglich... Im besten Fall sorgt man erstmal für ein ordentliches Offline-Backup ;)
das habe ich, aber trotzdem, ich hätte immer ein ungutes Gefühl, wahrscheinlich ist über kurz oder lang eine DMZ die bessere Lösung für solche Vorhaben
 
  • Like
Reaktionen: blurrrr

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
67
Punkte für Reaktionen
6
Punkte
8
Ich würde tendentiell eher einen Docker-Container im mit Macvlan (Bridge-Driver) verwenden.
Mit der Firewall der DS kannst du hier schon ziemlich alles weitere abriegeln.

Vorteil: Der Container ist ressourcenschonender
Nachteil: Du musst dich erstmal mit Docker und Firewall-Konfigurationen auseinandersetzen
und dann sorgt irgendwann eine kleine Sicherheitslücke im Docker/Container für Ärger :sneaky:
 

andronex

Benutzer
Mitglied seit
15. Feb 2021
Beiträge
67
Punkte für Reaktionen
6
Punkte
8
die DMZ aus 2 Fritzboxen, ist das eine gute Lösung? Ich habe eine 7590 und würde mir eine 7530 dazukaufen, die wäre dann das Border-Gateway.
Eine 2 DS würde ich mir aber erstmal nicht besorgen, mit der Hoffnung, dass es keine großen Lücken in dem virtuellen DSM gibt, den würde ich dann nämlich über den 2 Netzwerkanschluß der DS in die DMZ also an die 7530 hängen.
 

THDev

Benutzer
Mitglied seit
27. Mrz 2020
Beiträge
354
Punkte für Reaktionen
122
Punkte
93
Also man kann es auch kompliziert machen...
Jetzt mal ehrlich. Leite den Port einfach an vDSM/Docker whatever weiter.
Du bist nicht so wichtig als das da etwas passieren würde sofern du dich nicht ganz dumm anstellst.
 

THDev

Benutzer
Mitglied seit
27. Mrz 2020
Beiträge
354
Punkte für Reaktionen
122
Punkte
93
Ich meine damit. Maximal VLAN. Hör auf mit diesem zweiten router gedöns und bau dir da eine pfsense oder ähnliches hin und mach ein vlan.
 
  • Haha
Reaktionen: blurrrr
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat