Zum Einstieg - Hilfe bzgl. Sicherheit
- Ersteller Bayernalbert
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
- Status
So nun ist alles eingerichtet (DS220+ mit 8TB Seagate IronWolf und 6 GB RAM).
Eine erste Frage noch:
Beim einloggen (2FA) über den PC-Browser (Chrome) im Heimnetzwerk via https werden die Anmeldeinformationen selbständig ausgefüllt.
Ist das ein Sicherheitsrisiko? Danke!
Eine erste Frage noch:
Beim einloggen (2FA) über den PC-Browser (Chrome) im Heimnetzwerk via https werden die Anmeldeinformationen selbständig ausgefüllt.
Ist das ein Sicherheitsrisiko? Danke!
- Registriert
- 13. Juli 2019
- Beiträge
- 5.515
- Reaktionspunkte
- 2.443
- Punkte
- 259
Kommt darauf an wie sicher dein PC ist.
Auf einem PC gespeicherte Zugangsdaten können immer zum Sicherheitsrisiko werden, speziell wenn Schadsoftware den PC kapert.
Andererseits kann man sich auch bis zur Unbenutzbarkeit absichern.
Ein Kompromiss ist es, wenn man normale User hinterlegt, die Daten von Admins nicht.
Auf einem PC gespeicherte Zugangsdaten können immer zum Sicherheitsrisiko werden, speziell wenn Schadsoftware den PC kapert.
Andererseits kann man sich auch bis zur Unbenutzbarkeit absichern.
Ein Kompromiss ist es, wenn man normale User hinterlegt, die Daten von Admins nicht.
Bissken Eklärung dazu schadet bestimmt auch nicht: "Admin" kommt eben von "Administration", "User" von "use", womit auch klar sein sollte, dass man den Admin auch nur zu Administrationszwecken nutzen sollte und nicht für den alltäglichen Gebrauch 
Befinde mich immer noch im Testmodus und habe keine echte Daten auf der DS220+
Nun habe ich OpenVPN auf der DS und auch auf dem iPhone testweise eingerichtet. Verbindung steht.
Wie kann ich nun feststellen, dass beim Zugriff via iPhone (DS File ) der Weg über OpenVPN gewählt wird und nicht über DDNS oder QuickConnect?
(Weg/ Konfig von extern sieht so aus: iPhone -> FritzBox 7590 -> DS220+)
Nun habe ich OpenVPN auf der DS und auch auf dem iPhone testweise eingerichtet. Verbindung steht.
Wie kann ich nun feststellen, dass beim Zugriff via iPhone (DS File ) der Weg über OpenVPN gewählt wird und nicht über DDNS oder QuickConnect?
(Weg/ Konfig von extern sieht so aus: iPhone -> FritzBox 7590 -> DS220+)
Und gleich noch eine Frage hinterher:
Bei Kontoaktivität -> Anmeldeinformationen taucht häufig eine IP mit Ort "Türkei" auf und das obwohl ich türkische IP-Adressen in der Firewall der DS gesperrt habe.
Wenn ich bei Whois die IP-Adresse eingebe, kommt ein Provider aus München (PURtel.com GmbH).
Ich gehe davon aus, die haben ein ganzes Paket an IP-Adressen gekauft und somit auch Türkische.
Ist das richtig?
Bei Kontoaktivität -> Anmeldeinformationen taucht häufig eine IP mit Ort "Türkei" auf und das obwohl ich türkische IP-Adressen in der Firewall der DS gesperrt habe.
Wenn ich bei Whois die IP-Adresse eingebe, kommt ein Provider aus München (PURtel.com GmbH).
Ich gehe davon aus, die haben ein ganzes Paket an IP-Adressen gekauft und somit auch Türkische.
Ist das richtig?
- Registriert
- 06. Sep. 2020
- Beiträge
- 1.143
- Reaktionspunkte
- 261
- Punkte
- 159
Wenn das VPN steht, steht das VPN.
Kannst ja mal ohne VPN Deine lokale IP der NAS nutzen und nicht den DDNS Namen und dann mit VPN.
Lokale IP (z.b. 192.168.178.20) kann nur von Intern angesprochen werden, weil eine private Adresse nicht aussen propagiert wird.
Iphone: VPN aufmachen
Safari: ipadresse vom nas : port (wie daheim eben)
DMS erscheint: woohoooo, alles fluffig
DMS erscheint nicht: sicher, dass du ein funktionierendes VPN gebaut hast?
Siehe: Private Class A/B/C Netze ...
Danke!
Mit der IP der DS (192.168.xxx.xx) von außen klappt es nicht, mit der Domain (xxx.synology.me) schon.
In der FritzBox habe ich Port 1194 freigegeben (Protokoll UDP). Korrekt?
Mit der IP der DS (192.168.xxx.xx) von außen klappt es nicht, mit der Domain (xxx.synology.me) schon.
In der FritzBox habe ich Port 1194 freigegeben (Protokoll UDP). Korrekt?
- Registriert
- 06. Sep. 2020
- Beiträge
- 1.143
- Reaktionspunkte
- 261
- Punkte
- 159
wir muessen hier mal die nomenklatur definieren ..
aussen = ohne vpn im mobilfunknetz?
vpn = mit vpn im mobilfunknetz
innen = ohne vpn im wlan
wenn du openvpn oeffnest udn verbindest .. alles ok dann? also verbindet es sich?
ggf. screenshots ..
aussen = ohne vpn im mobilfunknetz?
vpn = mit vpn im mobilfunknetz
innen = ohne vpn im wlan
wenn du openvpn oeffnest udn verbindest .. alles ok dann? also verbindet es sich?
ggf. screenshots ..
Wozu dieses ganze Open-VPN? Habe ich seit Jahren nicht auf meinen DS´s.
Ist das nicht zu viel des Guten?
Bei mir:
2 x falsche Login IP gesperrt, nur https Verbindung, alle Länder die ich nicht brauche oder mit denen ich noch nie Kontakt haben werden per Firewall gesperrt.
VPN Verbindung per Fritzbox, aber ich kann auch über das Web mich anmelden, dann aber mit einem Kennwort das aus 25 Ziffern Buchstabe und Zahlen besteht.
Ist das nicht zu viel des Guten?
Bei mir:
2 x falsche Login IP gesperrt, nur https Verbindung, alle Länder die ich nicht brauche oder mit denen ich noch nie Kontakt haben werden per Firewall gesperrt.
VPN Verbindung per Fritzbox, aber ich kann auch über das Web mich anmelden, dann aber mit einem Kennwort das aus 25 Ziffern Buchstabe und Zahlen besteht.
- Registriert
- 06. Sep. 2020
- Beiträge
- 1.143
- Reaktionspunkte
- 261
- Punkte
- 159
vergleichen wir halt mal ...
Also Firewall und Fehlerversuche monitoren lassen und haendisch mal angelegt hast Du es auch ...
Also doch ein VPN .. dazu noch NAT von Aussen mit Kennwort .. 25 Zeichen .. wieder 2 Sachen konfiguriert, getestet, davon eines ein Scheunentor.
Ich habe ... OpenVPN.
5 min einrichten des OpenVPN und erstellen der Config > 1 Port in der Frotze freigeben. Fertig.
Nun kann ich (und nur ich) von ueberall auf der Welt auf dem iPhone den OpenVPN Schalter auf ON stellen und stecke quasi schon auf der DS.
Wollfuchs danke!
Habe jetzt in der OpenVPN Config "Clients den Server-Lan-Zugriff erlauben" aktiviert.
Die Ergebnisse, wenn ich die IP-Adresse meiner DS eingebe:
aussen = ohne vpn im mobilfunknetz: kein Zugriff
vpn = mit vpn im mobilfunknetz: Zugriff
innen = ohne vpn im wlan: Zugriff
Die IP-Adresse ändert sich doch täglich. Muss ich dann täglich die neue IP-Adresse der DS nachschauen oder wie bewerkstellige ich das?
Ziel soll sein, dass ich via Handy im Mobilnetz auf meine Daten zugreifen kann (DS File).
In DS-File logge ich mich bisher mit meiner Domain ein: xxx.synology.me + Passwort
Wie weiß ich, dass ich nun via OpenVPN verbunden bin?
Habe jetzt in der OpenVPN Config "Clients den Server-Lan-Zugriff erlauben" aktiviert.
Die Ergebnisse, wenn ich die IP-Adresse meiner DS eingebe:
aussen = ohne vpn im mobilfunknetz: kein Zugriff
vpn = mit vpn im mobilfunknetz: Zugriff
innen = ohne vpn im wlan: Zugriff
Die IP-Adresse ändert sich doch täglich. Muss ich dann täglich die neue IP-Adresse der DS nachschauen oder wie bewerkstellige ich das?
Ziel soll sein, dass ich via Handy im Mobilnetz auf meine Daten zugreifen kann (DS File).
In DS-File logge ich mich bisher mit meiner Domain ein: xxx.synology.me + Passwort
Wie weiß ich, dass ich nun via OpenVPN verbunden bin?
- Registriert
- 06. Sep. 2020
- Beiträge
- 1.143
- Reaktionspunkte
- 261
- Punkte
- 159
wieder muessen wir erst klaeren was gemeint ist ..
IP Adresse .. welche? Also LAN oder WAN?
WAN (Aussen) -> die IP aendert sich taeglich, woechentlich .. hin und wieder, haengt vom Provider ab. Also nutzt Du xxx.synology.me als DDNS Dienst. Egal wie die IP von aussen gerade ist, der DDNS Dienst bekommt die aktuelle ja immer propagiert (mitgeteilt).
LAN (Innen) -> Wenn Du dauernd vom LAN DHCP (Frotz.bix?) eine neue IP bekommst, dann eigentlich nur wenn der Lease (gueltigkeit) ablaeuft oder wenn das NAS neu startet .. das sollte es ja nicht, ist doch fuer den 24/7 Einsatz konzipiert. Also in dem Fall, Netzwerkgeraete des LAN im Router nachsehen und dort dem NAS immer die gleiche (feste) IP geben.
Bei Frotze waere das hier > Heimnetz -> Netzwerk > Netzwerkverbindungen -> gewuenschtes Geraet ganz rechts den "Stift"
Wenn OpenVPN verbunden ist, dann siehst Du im iPhone oben rechts bei der "Verbindungsstaerke" ab und an ein VPN Logo..
IP Adresse .. welche? Also LAN oder WAN?
WAN (Aussen) -> die IP aendert sich taeglich, woechentlich .. hin und wieder, haengt vom Provider ab. Also nutzt Du xxx.synology.me als DDNS Dienst. Egal wie die IP von aussen gerade ist, der DDNS Dienst bekommt die aktuelle ja immer propagiert (mitgeteilt).
LAN (Innen) -> Wenn Du dauernd vom LAN DHCP (Frotz.bix?) eine neue IP bekommst, dann eigentlich nur wenn der Lease (gueltigkeit) ablaeuft oder wenn das NAS neu startet .. das sollte es ja nicht, ist doch fuer den 24/7 Einsatz konzipiert. Also in dem Fall, Netzwerkgeraete des LAN im Router nachsehen und dort dem NAS immer die gleiche (feste) IP geben.
Bei Frotze waere das hier > Heimnetz -> Netzwerk > Netzwerkverbindungen -> gewuenschtes Geraet ganz rechts den "Stift"
Wenn OpenVPN verbunden ist, dann siehst Du im iPhone oben rechts bei der "Verbindungsstaerke" ab und an ein VPN Logo..
Klappt alles, wie beschrieben.
Lässt man die OpenVPN Verbindung im Handy ständig an oder wäre es besser OpenVPN immer ein- und auszuschalten?
Lässt man die OpenVPN Verbindung im Handy ständig an oder wäre es besser OpenVPN immer ein- und auszuschalten?
- Registriert
- 06. Sep. 2020
- Beiträge
- 1.143
- Reaktionspunkte
- 261
- Punkte
- 159
also ich habe openvpn nur an, wenn ich auf meine DS will/muss. sonst nicht. ich will ja nicht den kompletten traffic den ich habe, ueber die heimische VPN verbindung routen.
also nur fuer dienste auf der DS, die ich nicht von aussen erreichbar haben will. denn (merke), mit VPN sind die Dienste eben nicht draussen, sondern Du auf gesichertem Wege, drinnen. Bisschen verwirrend am Anfang .. aber das wird schon.
also nur fuer dienste auf der DS, die ich nicht von aussen erreichbar haben will. denn (merke), mit VPN sind die Dienste eben nicht draussen, sondern Du auf gesichertem Wege, drinnen. Bisschen verwirrend am Anfang .. aber das wird schon.
Gibt 3 Möglichkeiten...
1) Bei Bedarf manuell anknipsen
2) "on-demand" (ist abhängig von bestimmten Faktoren, wie z.B: Netz/Domain - automatische Einwahl)
3) "always-on" (dauerhaft verbunden, automatischer Reconnect nach Trennung, zieht aber auch am meisten am Akku)
Ich persönlich fahre für mich mit der manuellen Variante am besten. Alles andere ist aber auch wieder Anpassung der Client-Config
1) Bei Bedarf manuell anknipsen
2) "on-demand" (ist abhängig von bestimmten Faktoren, wie z.B: Netz/Domain - automatische Einwahl)
3) "always-on" (dauerhaft verbunden, automatischer Reconnect nach Trennung, zieht aber auch am meisten am Akku)
Ich persönlich fahre für mich mit der manuellen Variante am besten. Alles andere ist aber auch wieder Anpassung der Client-Config
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
