Toggle sidebar

Zum Einstieg - Hilfe bzgl. Sicherheit

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Also, ich muss noch einmal nachfragen, man lernt ja immer dazu.

Um meine Geräte, z.B. Satelliten-Receiver (Aufnahme mal von unterwegs programmieren) zu erreichen habe ich eine VPN zu meiner Fritzbox eingerichtet.
Diese nutze ich auch um kurz auf meine DS zu kommen, falls ich da mal was machen muss. Kommt eher selten vor.

Wenn ich nun einen OpenVPN Server auf die DS installiere, kann ich dann die Erreichbarkeit Port 5001 (Portfreigabe löschen), d.h. ich kann nur noch eine die DS über den OpenVPN Server erreichen und mich einloggen?
 
@Bayernalbert Wie verbindest Du Dich denn überhaupt? Extra App, oder kann iOS mittlerweile von Haus aus SSL-VPN, oder ist es ggf. doch ein IPSec?

@steje43 Nicht nur über den OpenVPN-Server der Syno, sondern sowieso schon über das IPSec-VPN der Fritzbox? Du hast doch schon eins laufen (und die Fritzbox gibt Dir über das VPN normalerweise direkt Zugriff auf Dein gesamtes Netz).
 
blurrrr schrieb:
@steje43 Nicht nur über den OpenVPN-Server der Syno, sondern sowieso schon über das IPSec-VPN der Fritzbox? Du hast doch schon eins laufen (und die Fritzbox gibt Dir über das VPN normalerweise direkt Zugriff auf Dein gesamtes Netz).
Zum Vergrößern anklicken....

Also, muss ich nicht mehr über Port 5001 gehen und kann den in der Fritzbox löschen? Richtig?
 
Wenn Du Dich vorher mit Deinem Fritzbox-VPN verbunden hast, ja (sofern Du nicht noch irgendwo eine Firewall oder dergleichen dazwischen hast). Über den Port 5001 musst Du die Syno halt weiterhin direkt ansprechen, um an das DSM zu kommen (aber halt nicht mehr über die Router-Portweiterleitung). Erst ins VPN der Fritzbox einwählen, danach ist es quasi als wärst Du im heimischen LAN/WLAN :)
 
Da sollte es in den Optionen (der App selbst) ein paar Optionen zu geben... Schau mal hier:

https://openvpn.net/vpn-server-reso...ious_OpenVPN_settings_in_the_iOS_Settings_App

Als "näher betrachtungswürdig" in Bezug auf die always-on-Thematik würde ich mal folgendes erachten:

- Seamless tunnel (requires iOS 8 or higher) — Make a best-effort to keep the tunnel active during pause, resume, and reconnect states.
- Connection timeout — How long should OpenVPN try to connect before giving up? If set to None, OpenVPN will retry indefinitely.
- Reconnect on wakeup — Automatically reconnect a VPN profile if it was active prior to device sleep.
 
@blurrrr

Vielen Dank, habe nun den OpenVPN Server installiert. Die Freigabe des Portes 5000-5001 in der Fritzbox gelöscht. OpenVPN Verbindung auf meinen Debian Rechner und Handy eingerichtet. Ich kann mich nun über OpenVPN verbinden und die Seite https://192.168.178.220:5001 aufrufen und komme in die DS. Von außen über meine Domain mit Port 5000-5001 geht nichts mehr.

Wie etwas zur Sicherheit beitragen und gelernt. Klasse.
 
@steje43 Warum hast Du jetzt noch zusätzlich OpenVPN auf der Syno installiert? Du hattest doch schon ein VPN über die Fritz!Box? Eins reicht doch, oder ist eher in Richtung "doppelt gemoppelt hält besser"? Btw... Mit Fritz!OS 7.21 soll der Fritzbox-VPN-Durchsatz auch fast verdreifacht worden sein...
 
Nun habe ich OpenVPN komplett am Laufen. Dafür reicht die Portweiterleitung 1194, alle anderen Ports in der FB sind geschlossen.

Wenn ich nun eine externe Freigabe oder eine Dateianforderung erstellen will, muss ich doch wieder Port 5000/5001 freigeben, um eine sichere https-Verbindung nach extern (Upload/Download) zur Verfügung stellen zu können. Stimmt das oder gibt es noch einen anderen Weg? Danke!
 
wieso?
du hast doch ein openvpn.
darueber verbunden bist du ja quasi schon im lan.

oder sollen diejenigen kein openvpn nutzen?
waer ja doof irgendwie .. fuer dich machste alles sicehr wie fort knox
und $everyone soll dann via interwebs wieder eingeladen werden.
 
Vorab: Bin immer noch in einer Testumgebung mit Testdaten.

Ich will diesen "Fremden" (sind Kunden) künftig einen Link oder einen Zugang senden, damit diese dann Dokumente in einen Ordner uploaden oder downloaden können . Wie stelle ich sicher, dass die Fremden/Kunden dann über OpenVPN kommen?

Bislang sieht das für mich so aus: Ich erstelle einen Link (Freigabe https://gofile.me/xxx) und erhalte dann zwar Zugriff aber es ist keine https-Verbindung sondern es erscheint eine Verbindung mit Kennung "Nicht sicher".
 
naja ok ... ich ging von familie oder mitarbeiter aus .. denen kann man openvpn quasi verordnen ..

dieses gofile zeug hab ich nie probiert ... sorry.
 
Bayernalbert schrieb:
Ich will diesen "Fremden" (sind Kunden) künftig einen Link oder einen Zugang senden, damit diese dann Dokumente in einen Ordner uploaden oder downloaden können . Wie stelle ich sicher, dass die Fremden/Kunden dann über OpenVPN kommen?
Zum Vergrößern anklicken....
Wie man mich so kennt... nu kütt et wieder... : Gewerblich solltest Du Dir auf "jeden" Fall professionelle Hilfe besorgen! Kostet zwar ein wenig, dafür kannst Du Dir (je nach Dienstleister) sicher sein, dass es vernünftig und sicher eingerichtet ist. Zudem gibt es vielleicht hier und da noch ein paar nützliche Tips. Auf der Synology-Seite sind auch die Partner aufgelistet, da wirst Du auch jemanden finden (je nach Wunsch auch aus Deiner Gegend).

Du kannst u.a. über "externer Zugriff" einen externen Hostnamen definieren. Für Austausch mit den Kunden würde es sich empfehlen, dort eine Subdomain Deiner vorhanden zu nutzen, z.B. kunden.firma.tld (dies kann an Deine DynDNS-Adresse verweisen, dann ist die für Kunden auch nicht sichtbar). Dazu kannst Du unter dem Anwendungsportal für die FileStation noch den Alias schalten (kunden.firma.tld). Somit haben die Kunden von extern Zugriff auf die FileStation, können dort Daten herunterladen und/oder hochladen. Die Freigabelinks gestalten sich dann je nachdem wie Du Dich vorher angemeldet hast (intern gibt es die IP, extern (via firma.domain.tld) gibt es dann die korrekte externe URL).
 
Ich will schon selbst verstehen, was an meinem NAS und meinem Netzwerk alles eingestellt wird.

Bis ich Dein Geschriebenes verstehe und umsetzen kann, verwende ich weiterhin Strato HiDrive für Kunden Up- und Downloads.
 
  • Like
Reaktionen: Synchrotron
Das VPN auf dem Handy zieht Leistung, weil es einen zusätzlichen Verschlüsselungsprozess notwendig macht. Ich schalte eines meiner VPNs nur an, wenn ich es nutzen will. Bei mir ist es der einzige offene Zugang ins Heimnetz, weil die VPN-Zugänge konzeptionell sicherer sind als viele andere Zugangswege. Daher nutze ich es immer, um von unterwegs zu Hause einzuwählen.

Die Nutzung aus lokalen Sicherheitsgründen macht eigentlich nur Sinn, wenn man sich in einem fremden WLAN befindet. Dabei gilt in öffentlichen WLANs kann prinzipiell jeder mithören (wobei der größte Teil der Kommunikation verschlüsselt wird, z.b. der Internetverkehr bei https), in geschützen WLANs zumindest der Netzwerkadmin.

Das setzt in beiden Fällen einiges an Equipment und Wissen voraus, d.h. jemand will zuhören und richtet sich entsprechend ein. Es sind echte „Man in the middle“ Angriffe möglich, bei dem jemand unbemerkt alles mitlesen kann.

Ist man auf Mobilfunk, hat LTE eine eigene (allerdings bereits geknackte) Verschlüsselung. Um hier mitzuhören ist der Aufwand aber noch größer - privat eher unwahrscheinlich, staatlich denkbar.

Im eigenen Heimnetzwerk ist VPN sinnlos - da ist es wichtiger, das Netz selbst gut abzusichern, z.B. durch WPA3 und guten (langen) Passwörtern für das WLAN.
 
Wenn jemand sich über Freigabelink einwählen können soll, sind wir tatsächlich bei einem freigegebenen Webserver. Das heißt offener Port, Weiterleitung, dahinter muß die Firewall scharf geschaltet sein und ein entsprechender Dienst die Anfragen annehmen und verarbeiten.

Das läßt sich sicher konfigurieren (u.a. Verschlüsselung erzwingen). Ein Risiko ist die Software selbst - da ist ständiges Dranbleiben gefordert. Wenn du das nicht willst, bleibe beim HiDrive oder einem anderen ähnlichen Dienst.
 
Bayernalbert schrieb:
Ich will schon selbst verstehen, was an meinem NAS und meinem Netzwerk alles eingestellt wird.
Zum Vergrößern anklicken....
Durchaus verständlich... und jetzt kommt das große "aber"... ;)

Du hast eine Idee/einen Wunsch: Fragst (z.B. hier) nach, wie es funktioniert und setzt es um. Ob das nun aber die "beste" Lösung für "Deine" Umgebung ist, wird Dir niemand beantworten können, da niemand Deine Umgebung kennt (ausser Dir). Das Problem dabei ist, dass Lösungen quasi an Dir vorbei ziehen, weil niemand das Gesamtkonstrukt sieht (ausser Dir). Du weisst es aber nicht besser und bleibst bei Deinem "punktuellen" Problem. Es spricht nichts dagegen, einfach "beides" zu machen.

Ein Beispiel dafür wäre z.B. mal ein Consulting (bei Dir ja wohl nur in kleinem Rahmen)... Was ist da, was ist gewünscht, wie ist es realisierbar, was wäre ggf. verbesserungswürdig, etc. Zudem gesellen sich noch andere - rechtliche - Rahmenbedingungen (in welchen Du Dich als Gewerbetreibender bewegen "musst" - Stichworte wären z.B. die allseits beliebte DSGVO und die revisionssichere Mailarchivierung). :)

EDIT: Ich würde niemals (!) das NAS mit den Geschäftsdaten direkt ins Netz hängen (auch nicht zum Austausch mit Kunden), dafür nimmt man ein zweites NAS, welches in einem anderen Netzwerk ist (und da sind wir auch schon bei steigender Komplexität für mehr Sicherheit, die DSGVO besagt jedoch, dass diese Dinge "nach dem aktuellen Stand der Technik" zu schützen wären). Das halt nur mal so am Rande als kleiner Einstieg in die Thematik.

Es spricht derweil natürlich in keinster Weise etwas dagegen, dass Du weisst (verstehen möchtest) wie etwas funktioniert. Das sollte Dir als Geschäftsführer "sowieso" - zumindestens in groben Zügen - bekannt sein. Nichts ist schlimmer, als ein Chef, der von diesem "IT-Rotz" nix wissen will (dennoch trägt er die Verantwortung für sein Unternehmen), also in diesem Sinne: genau die richtige Einstellung! (y):)
 
Rechtssichere Mailarchivierung ist erledigt.

Wie ich sagte, bin ich lediglich in einer Testumgebung und nicht live.

Ob ich für Kunden jemals live gehen werde weiß ich noch nicht, da ich derzeit Strato HiDrive nutze und sehr zufrieden bin.
 
  • Like
Reaktionen: blurrrr
Najo, auf von mir beschriebenem Wege kann das schon ganz "chic" sein (so mit eigenem Logo und so, weisst schon). Wurde schon erfolgreich für div. Kunden umgesetzt (aber eben auch mit extra Netz und extra Gerät). Diverse Druckereien zum Austausch von Druckdaten, aber halt auch andere Szenarien. Schau Dir das mit der Filestation einfach mal an (und auch die Anpassung des Logins) :) Dabei - je nach Datengröße - nicht vergessen, dass auch alles von Deinem Upstream abhängt... Ansonsten Leitung aufstocken, oder Gerät ins Rechenzentrum... (da könnte es aber gut sein, dass HiDrive wesentlich günstiger ist)... Ist - meines Erachtens nach - auch eher so eine Image-Geschichte... Wer drauf verzichten kann, sollte es einfach bleiben lassen (spart Aufwand).
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten