DNS Scanner sagt alles zu. Da werden allerdings auch nur die Standard Ports gescannt
Zugriffsversuche über ssh
- Ersteller Benjo_9945
- Erstellt am
- Registriert
- 13. Feb. 2017
- Beiträge
- 4.242
- Reaktionspunkte
- 1.534
- Punkte
- 214
Ich würde da nicht groß drüber nachdenken, noch waren es wohl nur Versuche, aber alle Zugänge nach außen (QC, Portfreigaben) würde ich zumachen und sofort ein VPN hochziehen, sofern möglich.
Was für einen Router verwendest Du?
Was für einen Router verwendest Du?
Ich möchte den von synology als exposed host dranhängen, den hinter die interne Firewall und da dann die Synology und die Geräte dran. So dass der Router gleichzeitig VPN Client und sever ist. Alles was nach außen geht hat dann die IP meiner dedicated IP von surfshark und was rein will über den VPN Server vom Router.
Zuletzt bearbeitet von einem Moderator:
- Registriert
- 04. Jan. 2012
- Beiträge
- 5.822
- Reaktionspunkte
- 1.607
- Punkte
- 234
framp
Benutzer
- Registriert
- 19. Feb. 2016
- Beiträge
- 1.178
- Reaktionspunkte
- 210
- Punkte
- 89
Konfiguriere doch sftp/ssh Zugriffe nur mit Key. Dann kannst Du die Zugriffsversuche ignorieren.
Hallo, ich hänge mich mal an diesen Thread an!
Seit kurzem registriere ich ungewöhnlich viele Zugriffsversuche auf mein System, deutlich mehr als sonst und immer von unterschiedlichen IP-Adressen. Sie werden alle via SSH geblockt.
Bis jetzt habe ich nicht den Eindruck. dass mein System kompromitiert ist. Allerdings macht mich die Vielzahl der Zugriffsversuche schon ein wenig nervös!
Hat jemand von Euch gleiche Erfahrung gemacht? Wie verhaltet Ihr Euch?
Seit kurzem registriere ich ungewöhnlich viele Zugriffsversuche auf mein System, deutlich mehr als sonst und immer von unterschiedlichen IP-Adressen. Sie werden alle via SSH geblockt.
Bis jetzt habe ich nicht den Eindruck. dass mein System kompromitiert ist. Allerdings macht mich die Vielzahl der Zugriffsversuche schon ein wenig nervös!
Hat jemand von Euch gleiche Erfahrung gemacht? Wie verhaltet Ihr Euch?
Mach deine Ports zu, dann ist Ruhe 
Ich verstehe einfach nicht, wieso jeder seine DS ins Internet stellen möchte
Ich verstehe einfach nicht, wieso jeder seine DS ins Internet stellen möchte
- Registriert
- 25. Apr. 2023
- Beiträge
- 4.195
- Reaktionspunkte
- 1.826
- Punkte
- 214
- Registriert
- 19. Feb. 2014
- Beiträge
- 10.378
- Reaktionspunkte
- 4.926
- Punkte
- 439
Hier hat unser Forenmitglied @Tommes doch eine schöne Anleitung gemacht
https://github.com/toafez/Tutorials/blob/main/SynologyNAS/ssh_from_os_to_nas.md
https://m.youtube.com/watch?v=VjoWjX_8E3Q
framp
Benutzer
- Registriert
- 19. Feb. 2016
- Beiträge
- 1.178
- Reaktionspunkte
- 210
- Punkte
- 89
Ich persoenlich mag es auch nicht wenn jemand staendig an meiner Tuer ruettelt - auch wenn ich weiss dass nur reinkommt wer einen privaten (ssh)Schuessel hat.
Alternative ist ein VPN zu nutzen. Entweder ein lokal aufgesetzter VPN Server - wo aber weiterhin geruettelt wird - oder einen externen VPN. Dann wird bei dem VPN Provider geruettelt.
Alternative ist ein VPN zu nutzen. Entweder ein lokal aufgesetzter VPN Server - wo aber weiterhin geruettelt wird - oder einen externen VPN. Dann wird bei dem VPN Provider geruettelt.
Besser ist es, wenn erst gar nicht "gerüttelt" wird. Wozu diese blöden Portfreigaben? VPN auf den Router, wenn da schon Bedarf besteht.
- Registriert
- 19. Feb. 2014
- Beiträge
- 10.378
- Reaktionspunkte
- 4.926
- Punkte
- 439
Ich habe auch grundsätzlich von außen alles dicht. Wenn ich mal von Unterwegs zugreife, weil ich aus irgendeinem Grund mal etwas nachlesen möchte und die Info nur auf der DS liegt, dann seit jeher nur über VPN/Wireguard. Und selbst hierfür wird jedesmal Wirguard von Hand aktiviert und danach gleich wieder deaktiviert.
Früher hatte ich nichteinmal das, weil ich seinerzeit keine Ahnung hatte und genau aus diesem Grund völlig darauf verzichtet habe.
Aber mittlerweile muß ja jeder bevor er beim Auto ist schon eingeloggt sein, so scheint es zumindest mir.
framp
Benutzer
- Registriert
- 19. Feb. 2016
- Beiträge
- 1.178
- Reaktionspunkte
- 210
- Punkte
- 89
Historisch habe ich noch OpenVPN auf einer Raspberry aktiv. Seitdem Wireguard auch auf der Fritte laeuft ist auch Wireguard aktiv und OpenVPN wird eigentlich nicht mehr genutzt. Als Fallback lasse ich das aber aktiv.
Ich kann nur jedem der eine Fritte hat empfehlen das Wireguard zu konfigurieren und zu nutzen um aufs Heimnetz sicher zuzugreifen. Ich mache das ueber einen DynDNS Service. Ist aber nicht notwendig da AVM den Service ja auch per MyFritz! anbietet.
Ich kann nur jedem der eine Fritte hat empfehlen das Wireguard zu konfigurieren und zu nutzen um aufs Heimnetz sicher zuzugreifen. Ich mache das ueber einen DynDNS Service. Ist aber nicht notwendig da AVM den Service ja auch per MyFritz! anbietet.
- Registriert
- 19. Feb. 2014
- Beiträge
- 10.378
- Reaktionspunkte
- 4.926
- Punkte
- 439
Jip, ich habe das über My Fritz, da ich diesen Zugang zur Fritte schon lange genutzt habe. Mit Wireguard unktioniert alles bestens damit, die EInrichtung war völlig easy.
- Registriert
- 01. Juni 2015
- Beiträge
- 499
- Reaktionspunkte
- 309
- Punkte
- 119
@framp @Benie
Der vom ISP zwangsweise zu nutzende Router lässt keine VPN Einrichtung zu. Bietet aber einen Bridge-Modus an. Aktuell läuft ein Wireguard-Server auf einem Raspi der an diesem Rouer hängt. Am Router ist zeigt ein Port auf den WG-Server. In der VM der Syno läuft eine NC Instanz die nur über WG-VPN zu erreichen ist. Diese wird von einer Handvoll Leuten benutzt, sollte also erreichbar sein. Synology Drive, Office und einige Docker-Apps sind so natürlich auch via WG verfügbar. Jeweils abgesichert mit guten Passwörter und wo möglich mit 2FA.
Aus einer früheren Installation liegt noch eine Fritz!Box 7590 AX rum. Würde es sicherheitstechnisch Sinn machen, den ISP-Zwangsrouter in den Bridemodus zu versetzen, die Fritte dran zu hängen und Wireguard darauf einzurichten? Weitere Funktionen der Fritte wären lediglich nice2have und benötige ich nicht wirklich.
Einziger Unterschied den ich sehe ist, dass WG via Fritte es zulassen würde, auch den letzten Port - jenen, der auf den WG-Raspi zeigt - auch noch zu schliessen. Dem Gegenüber steht der höhere Stromverbrauch und dass halt so ne Fritte rumsteht. Sicherheit wäre mir aber wichtiger, da ich wirklich alles auf dem NAS habe, was das Leben in über 60 Jahren so hergegeben hat und hoffentlich noch wird.
Der vom ISP zwangsweise zu nutzende Router lässt keine VPN Einrichtung zu. Bietet aber einen Bridge-Modus an. Aktuell läuft ein Wireguard-Server auf einem Raspi der an diesem Rouer hängt. Am Router ist zeigt ein Port auf den WG-Server. In der VM der Syno läuft eine NC Instanz die nur über WG-VPN zu erreichen ist. Diese wird von einer Handvoll Leuten benutzt, sollte also erreichbar sein. Synology Drive, Office und einige Docker-Apps sind so natürlich auch via WG verfügbar. Jeweils abgesichert mit guten Passwörter und wo möglich mit 2FA.
Aus einer früheren Installation liegt noch eine Fritz!Box 7590 AX rum. Würde es sicherheitstechnisch Sinn machen, den ISP-Zwangsrouter in den Bridemodus zu versetzen, die Fritte dran zu hängen und Wireguard darauf einzurichten? Weitere Funktionen der Fritte wären lediglich nice2have und benötige ich nicht wirklich.
Einziger Unterschied den ich sehe ist, dass WG via Fritte es zulassen würde, auch den letzten Port - jenen, der auf den WG-Raspi zeigt - auch noch zu schliessen. Dem Gegenüber steht der höhere Stromverbrauch und dass halt so ne Fritte rumsteht. Sicherheit wäre mir aber wichtiger, da ich wirklich alles auf dem NAS habe, was das Leben in über 60 Jahren so hergegeben hat und hoffentlich noch wird.
- Registriert
- 04. Jan. 2012
- Beiträge
- 5.822
- Reaktionspunkte
- 1.607
- Punkte
- 234
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
