Zugriff aus dem Internet wie sicher? Welche Variante am besten?

[Turbolocha]

Servus Leute,
ich muss sagen dass mein Kopf schon wieder am rauchen ist und ich verstehe langsam wieder nur Bahnhof, das ganze Netz und Netzconfig Thema
ist einfach so gigantisch und so komplex.....vielleicht blicke ich auch einfach die Grundlagen nicht. Was z.B. eine VPN macht, bzw. was da geschützt wird etc.

Aber egal nun zu meiner Frage.
Ich finde das Thema mit dem Quickconnect schon ganz geil vor allem weil hin und wieder Daten benötigt werden
von meinem NAS und ich sie bequem ziehen kann, allerdings ist die Frage wie sicher das ganze ist?

Vielleicht kann mir einer einfach mal in paar groben Worten erklären wie und was da zusammenhängt.
Ich möchte einfach so sicher wie mit meinen Mitteln möglich mein NAS einrichten um damit zu arbeiten und keine Doktorarbeit über Synology und Netze zu schreiben

Was ich habe:
-DS 720+
-FritzBox 7590
-Mehrere Domains mit Lets encrypt Zertifikaten

Meine Wünsche:
-Zugriff auf DS via Browser unterwegs (wenn es überhaupt soweit möglich ist, evtl. kann man den Admin User deaktivieren?)
-eingebundenes Netzlaufwerk im Netz und unterwegs (Die Frage wurde mir schon beantwortet -> "VPN", das ganze kann ich auch in der FritzBox vornehmen?)

Ich wäre euch echt dankbar wenn Ihr mich einfach etwas abholen würdet.
Evtl. hat jemand Lust mir das ganze am Telefon gegen eine kleine Spende zu erklären, gerne per PN


Ich bin wie gesagt schon wieder seit 4 Stunden am lesen und Videos schauen und verstehe gefühlt noch weniger wie davor

Vielen Dank

Alex

 

[the other]

Moinsen,
Verständlich, daß dir der Kopf schon raucht.
Trotzdem oder vielleicht auch gerade deswegen verstehe ich deinen post nicht so recht: was konkret ist denn die Frage?
Du willst von unterwegs ins Netz zu Hause. Wenn es dir um Sicherheit geht, dann nimm vpn. Entweder auf die Fritz Box oder auf ne raspberry pi. Auf dem NAS würde ich es nicht machen.
Quickconnect bietet nur eine einfach zu handhaben Art der Verbindung. Sowohl das zu greifende Gerät als auch NAS sind in einem synology eigenen Server vermerkt, dieser leitet dann die Anfrage durch sich auf dein NAS um. Mal ganz einfach gesagt. Dabei wird aber auch nur der Verkehr umgeleitet, nicht zusätzlich verschlüsselt, afaik. Nutzt du also qc und kein https, so ist das eher doof. Und ob man da als mittelsmann synology vertrauen möchte, muss wohl jeder selbst entscheiden...
Also, stell deine Frage doch mal konkreter. Dann kann auch konkret geantwortet werden...

 

[Turbolocha]

Hey, vielen Dank für deine Antwort.

Ja um es einfach zu sagen, ich habe momentan eine DS die ich frisch eingerichtet habe und habe noch keine Schritte in Richtung Sicherheit vorgenommen.

So wäre evtl. erstmal interessant zu wissen welche Punkte da angegriffen werden sollen.
-den Zugriff auf die DS auf VPN umstellen, habe ich soweit verstanden. Bzw ersteinmal in der Theorie. Wie genau ich des mache und mit den ganzen Ports und Firewall da tue ich mich noch ganz schwer weil in den ganzen Tutorials immer wieder gesagt wird "ja dann müsst ihr noch Ports etc. freigeben" aber keiner geht da wirklich mal drauf ein.

-Zugriff aus dem Internet, in dem Fall über qc, wie kann ich die ganze Geschichte so sicher wie möglich gestalten? Mir geht es halt auch darum dass ich einfach mal unterwegs z.B. von der Arbeit aus (wo ich keine Programme installieren darf/kann) einfach mal über den Browser auf meine DS zugreifen kann. Deshalb habe ich da an SSL etc gedacht, evtl. kann ich da irgendwie meine Domains einsetzen bei welchen ich Lets Encrypt Zertifikate habe.
Aber da habe ich bisher keinen Ansatz wie ich das angehen soll.
Oder gibt es da ganz andere Alternativen/Varianten wie das qc?

Danke euch

 

[zxmc]

Richte VPN auf der Fritzbox ein, einen VPN-Client auf deinem Endgerät und fertig. Ist die einfachste Lösung.

Quickconnect ist m.E. nur dann eine sinnvolle Option, wenn dein Internetanschluss von aussen nicht erreichbar ist.

 

[Synchrotron]

VPN über die FB ist eine schnell eingerichtete Lösung, und reicht für normale Zugriffe aus. Vorteil: Die MyFRITZ-Adresse ersetzt den DDNS-Service, den man sonst noch einrichten muss. Darüber findet das VPN die FritzBox, auch wenn man keine feste externe IP hat.

Die Geschwindigkeit des Fritz-VPNs wurde mit Fritz!OS 7.20 deutlich verbessert. Leider schaffen es einige Provider immer noch nicht, das auf die Router zu laden (hat jemand Vodafone gesagt ....).

Zeitgleich kann ein FritzBox-User nur eine VPN-Verbindung aufbauen. Falls mehrere Zugriffe zeitgleich nötig sind, mehrere User auf der FB anlegen, und jedem sein VPN einrichten.

Quickconnect mit einem starken Passwort ruhig lassen, als Rückfallebene.

 

[abrocksi]

Hallo Turbolocha,
wenn Du magst können wir gerne kurz mal dazu telefonieren.
cheers,
abrocksi

 

[zxmc]

Quickconnect mit einem starken Passwort ruhig lassen, als Rückfallebene.

Naja, das qc-Passwort braucht man nicht, um von aussen auf die DS zu kommen. Wichtig wäre eher, dass die Benutzerkonten auf der DS sichere PW haben und/oder 2fa-geschützt sind. Und zwar alle.

 

[Tommes]

Vielleicht schaust du dir mal bei AVM an, wie man ein VPN einrichtet *klick*

Wenn du die Sicherheit der DS weiter erhöhen möchtest (unabhängig von VPN) dann könnte dich das hier vielleicht interessieren *klick*

 

[Turbolocha]

Guten Abend an alle,
nachdem ich mit abrocksi telefoniert habe und er mir eine grobe Richtung gegeben hat(vielen dank nochmal für das nette Gespräch!!!),
habe ich nun geschafft eine DDNS Verbindung herzustellen.

Habe allerdings das Problem dass beim aufrufen der Domain mir eine Meldung mit "unsicherer Seite" erscheint.
Klicke ich dann auf "trotzdem besuchen"....komme ich drauf auf meine DS.

Meine Domain die ich verwendet habe ist mit einem Let´s encrypt Zertifikat versehen und sollte eigentlich den grünen
Hacken haben.

Habe das ganze über meine Fritzbox eingerichtet,
also die DynDNS Funktion von Fritzbox.
In der DS habe eine feste IP gegeben.
Ports (5000 (http) und 5001(https)) geöffnet für FIle Station

Habt ihr eine Idee woran es liegen sollte?

Danke

 

[Fusion]

Der Name der Domain wie du sie im Browser verwendest muss exakt übereinstimmen mit dem Namen im Zertifikat.
Wenn man sich die Warnung genauer ansieht steht es meistens schon da woran es hakt.

 

[Turbolocha]

Das sehe ich auf meinem Handy

 

[Turbolocha]

Der Name der Domain wie du sie im Browser verwendest muss exakt übereinstimmen mit dem Namen im Zertifikat.
Wenn man sich die Warnung genauer ansieht steht es meistens schon da woran es hakt.

Kann es daran liegen dass ich die verwendete Subdomain nicht angelegt habe?
Habe es direkt in die DDNS Verbindung eingetragen

 

[Fusion]

Wenn du https://sub.example.com aufrufst, dann muss auch sub.example.com im Zertifikat stehen.
Egal ob eigene Domain oder dynDNS, das hat damit alles nix zu tun. Es geht nur um die Übereinstimmung.

 

[Turbolocha]

Das habe ich alles so eingerichtet, zeigt leider trotzdem unsichere Verbindung an, bin langsam am Verzweifeln.
Habe vorher gesehen dass er irgendwas von "Synology" Zertifikat gemeldet hat, kann es sein dass ich mein Let´s encrypt nochmal woanders hinterlegen muss?

 

[the other]

Moinsen,
Und wenn dann alles funktioniert mal drüber nachdenken, den Port 5000 für unverschlüsselt http wieder zu schließen und in der ds ggf auch einzurichten, dass eh alles auf https geleitet wird, als Vorschlag. Oder brauchst du das unbedingt?

 

[Fusion]

Wir können ja nicht sehen oder ahnen was du wo "hinterlegt" hast. Noch nicht mal, was du damit genau meinst.

Wenn du keinerlei vHost, reverse Proxy oder benutzerdefinierte Domain mit sub.example.com auf der DS eingerichtet hast musst du unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren dein LE Zertifikat dem Dienst "Systemvoreinstellung" zuweisen.

@the other - wenn http zu ist braucht es auch keine Umleitung auf https, weil es gar nicht umzuleiten gibt, kommt ja dann alles auf https eh schon rein.

 

[the other]

Moinsen,
Und hier nochmal step by step...

https://curius.de/index.php?option=com_content&view=article&id=617&catid=38
Du musst ggf das Zertifikat in der synology anpassen...?

 

[the other]

Moinsen,
Ja, @Fusion , das stimmt... Dachte mir dazu: Port zu machen, weil eh doof. Und im NAS umlegen, für den verschlüsselten Verkehr auch im LAN...

Abgesehen davon würde ich wie so oft schon zum besten gegeben meinerseits eh zu vpn raten...

 

[Turbolocha]

Servus Leute, vielen Dank für eure Antworten, der Fehler lag wirklich daran dass ich mein Zertifikat in der DS selbst zwar eingeflegt hatte, aber nicht umgestellt dass die DS über diesen zugreifen soll.

Habe momentan ein anderes Phänomen was ich mir nicht erklären kann.

Habe ja meine DDNS Domain eingerichtet, diese sieht in etwa so aus: nas.meinedomain.de:5001,
so jetzt kann ich über mein Smartphone darauf zugreifen, aber sobald ich von meinem Arbeits PC darauf zugreifen
will geht es nicht. Zeigt mir eine weiße Seite mit "Diese Seite funktioniert nicht" und "ERR_EMPTY_RESPONSE"

hat einer eine Idee was ich falsch mache?

 

[Fusion]

Dein Arbeitgeber blockiert Port 5001. Alles weitere solltest Du mit diesem klären, Rechtsberatung kannst Du hier nicht bekommen.