phatair
Goto Top

NAS als eignen Server verwenden - Zugriff von extern

Hallo zusammen,

vielleicht könnt Ihr mir helfen. Ich bin am überlegen, ein NAS als eigenen Server einzusetzen und auch von extern erreichbar zu machen.

Folgende Geräte kommen zum Einsatz: Synology NAS, Fritzbox 6490

Hintergrund ist folgender:
Ich möchte meine einmal einen Datenspeicher haben, auf den ich jederzeit zugreifen kann (eine private alternative zu onedrive, google drive usw.). Ebenso möchte ich meinen Kalender und Kontakte nicht über Google synchronisieren sondern ebenso über einen eigenen Server. All das wäre mit einem Synology NAS möglich.

Das sicherste wäre ein VPN. Das wäre aber eher unpraktisch bzw. nicht praktikabel, da auf den Speicher auch meine Familie zugreifen soll. Hier überall einen VPN Client zu installieren und einzurichten ist fast nicht möglich. Auch soll ein flexibler Zugriff auf den Datenspeicher möglich sein.

Also bleibt nur die Möglichkeit, die NAS von extern erreichbar zu machen. Eine NAS besitze ich schon. Diese würde ich aber ungern von extern erreichbar machen, hier liegen auch viele private Sachen drauf. Meine Überlegung war also, ein eigenes NAS für den externen Zugriff zu beschaffen. Die Fritzbox so zu konfigurieren (IP und Ports), dass nur für dieses NAS der externe Zugriff möglich.
Das ganze dann noch per SSL Zertifikat verschlüsseln und fertig ist das ganze.

Für mich klang das (nach der VPN Lösung) nach der sichersten Methode. Was meint Ihr? Habt Ihr noch andere Ideen/Vorschläge?
Ich möchte meine Daten auf einem eigenen Datenspeicher liegen haben, aber natürlich nicht mein privates LAN vollkommen öffnen oder große Lücken aufreißen.

Danke euch schon mal.
Gruß

Content-ID: 301199

Url: https://administrator.de/contentid/301199

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

114757
114757 07.04.2016 aktualisiert um 18:06:37 Uhr
Goto Top
Für mich klang das (nach der VPN Lösung) nach der sichersten Methode. Was meint Ihr? Habt Ihr noch andere Ideen/Vorschläge?
Ganz klar => VPN wenn es vorrangig um Sicherheit geht !

Es braucht nur mal eine Sicherheitslücke auf deinem NAS welche der Hersteller nicht direkt fixt und schon ist dein NAS ohne Update verwundbar und dadurch dein Netz potentiell kompromittiert. Dann doch lieber ein selbst geschraubtes NAS verwenden das man gegebenenfalls schnell mit Sicherheitsupdates versorgen kann und welches man dann in eine DMZ stellt.

Aber VPN ist und bleibt die sicherste Wahl.

Und das VPN einrichten aufwendig sein soll, ist nur ein dummes Gerücht!

Gruß jodel32
phatair
phatair 07.04.2016 aktualisiert um 18:11:31 Uhr
Goto Top
Hi Jodel,

das heißt aus deiner Sicht macht eine "eigene Cloud" keinen Sinn bzw. wenn dann nur mit VPN?
Im Grunde gebe ich dir Recht - es ist verzwickt. Auf der einen Seite möchte man seine Daten nicht Google oder Microsoft anvertrauen und möchte sie selber "hosten". Auf der anderen Seite will man die Daten aber einem gewissen Freundes und Familienkreis einfach (d.h. direkter Zugriff ohne zusätzliche Schritte wie VPN) zu Verfügung stellen ohne aber sein privates LAN zu weit zu öffnen.

Andere Lösung wäre noch ein root Server bei einem vertrauenswürdigen Anbieter. Aber dafür sollte man ja doch fundierte Linux Kenntnisse haben :/

EDIT: VPN einrichten ist sicherlich nicht aufwendig aber es schränkt doch die Zugriffe ein. Wenn ich z.B. Bilder auf der NAS liegen habe und möchte die Freunden oder der Familie bereitstellen. müsste ich jedem erst einmal mitteilen wie er das jetzt bei sich einrichtet.
Schöner ist da natürlich - Link schicken und die Leute können sich das ganze anschauen.

Wobei hier natürlich stimmt - will man es einfach und simpel geht das immer auf Kosten der Sicherheit (meistens zumindest)

Hm....
michi1983
michi1983 07.04.2016 aktualisiert um 18:21:30 Uhr
Goto Top
Hallo,

Zitat von @phatair:
Schöner ist da natürlich - Link schicken und die Leute können sich das ganze anschauen.
Das kann die Synology aber von Haus aus face-smile
Hier schickst du einfach einen Link zu wem auch immer, und die-/derjenige hat dann nur Zugriff auf diese Datei/Ordner.
Und sie kann noch viel mehr. Wenn dir jemand eine Datei schicken kann, kannst du kurzfristig (mit expiration time) einen Link erstellen und ein Passwort (alles in einer schönen GUI) und die Person die den Linkt hat, kann dir dann eine Datei per Drag & Drop auf dein NAS legen.

Gruß
114757
114757 07.04.2016 um 18:21:26 Uhr
Goto Top
Nun es kommt halt immer darauf an wie viel Hirnschmalz man investiert und investieren will.

Sicher kann man ein NAS auch sicher daheim betreiben, dann sollte man aber zumindest wie ich oben geschrieben habe, weitere Sicherungs-Maßnahmen ergreifen DMZ und CO. durchgängig auch Verschlüsselung aller Verbindungen und der Daten. Und für die Logins 2-Faktor-Authentifizierung.

Je nach dem wie paranoid man ist kann man das bis zum Exzess treiben.
114757
114757 07.04.2016 aktualisiert um 18:25:22 Uhr
Goto Top
Das kann die Synology aber von Haus aus
Aber auch dann steht die Syno direkt im Netz. Hat diese eine Sicherheistlücke, peng ... wenns dort für einen Patch zu lange dauert. Aber das hat man überall wenn man seine Systeme nicht auf dem laufenden hält.

Man sollte sich halt immer im klaren sein das wenn man Systeme direkt am Netz betreibt man auch entsprechende Verantwortung für Aktualität hat.
phatair
phatair 07.04.2016 aktualisiert um 18:26:25 Uhr
Goto Top
Hi Michi,

das stimmt - aber dazu muss das NAS ja erstmal von extern erreichbar sein. Oder stehe ich jetzt total aufm Schlauch? face-smile

@jodel
Ja da hast du Recht. Will man das richtig angehen bzw. korrekt absichern bedeutet das einiges an Planung.
Da wäre die VPN Variante die einfachere Lösung, zumindest was die Realisierung angeht.

Ich werde wohl noch etwas weiter überlegen müssen ;)
michi1983
michi1983 07.04.2016 aktualisiert um 18:33:43 Uhr
Goto Top
Zitat von @114757:
Aber auch dann steht die Syno direkt im Netz. Hat diese eine Sicherheistlücke, peng ... wenns dort für einen Patch zu lange dauert. Aber das hat man überall wenn man seine Systeme nicht auf dem laufenden hält.
Wieso direkt im Netz?
Meine Synology steht bei mir zu Hause in meinem LAN und ist nur von mir via VPN von außen erreichbar.
Und dennoch kann ich dir einen Link zu einer Datei schicken (Fotos oder was auch immer), und du kannst sie dir über diesen Link runter laden.
Anstellen kannst du rein gar nix damit.

Ich wollte damit nur sagen, die Synology (andere Hersteller ev. auch, kann ich nicht beurteilen) hat so viele Features, dass es mir reicht wenn ich alleine VPN Zugriff aufs NAS habe was ja keine Hexerei ist einzurichten. Aber der TO hatte ja Bedenken, dass er für alle Fam. Mitglieder auch einen VPN Zugang einrichten muss.

Gruß
phatair
phatair 07.04.2016 um 18:39:42 Uhr
Goto Top
Aber dann ist doch die Synology auch ohne VPN direkt erreichbar. Sonst könnte doch der Benutzer, den Du dem Link zu der Datei schickst, die Datei gar nicht laden und anschauen. Oder muss der Benutzer auch eine VPN Verbindung aufbauen? Falls Nein ist das NAS ja direkt von extern ansprechbar und somit auch angreifbar. Der Benutzer kann zwar mit der Datei nix anfangen bzw. nur runterladen aber das NAS ist trotzdem "offen" für angriffe.
114757
114757 07.04.2016 aktualisiert um 18:44:29 Uhr
Goto Top
Zitat von @michi1983:
Wieso direkt im Netz?
Und dennoch kann ich dir einen Link zu einer Datei schicken (Fotos oder was auch immer), und du kannst sie dir über diesen Link runter laden.
Anstellen kannst du rein gar nix damit.
Naja du machst ja ein Port-Forwarding auf deinem Router speziell für diese "HTTP(s)-Links" und das HTTP Servlet des NAS steht dann halt im Netz, und wenn dieses einen Bug hat ...
Bei diesen "Quasi-Embedded-Devices" bei denen oftmals auf Updates des Herstellers angewiesen ist bin ich bei sowas immer vorsichtig. Syno und Qnap reagieren da zwar schnell, aber das muss jeder für sich entscheiden.
michi1983
michi1983 08.04.2016 um 07:23:44 Uhr
Goto Top
Zitat von @114757:
Naja du machst ja ein Port-Forwarding auf deinem Router speziell für diese "HTTP(s)-Links" und das HTTP Servlet des NAS steht dann halt im Netz, und wenn dieses einen Bug hat ...
Nope muss man nicht. Das läuft über einen Service von Synology und nennt sich quickconnect den man einmalig eingerichtet.

Gruß
114757
114757 08.04.2016 aktualisiert um 09:09:06 Uhr
Goto Top
Wobei wir dann wieder beim Thema "private" Cloud landen face-smile
Einen Tunnel vom NAS zu einem fremden Server nicht unter meiner Kontrolle, wuahhhhh. Da setze ich doch lieber gleich meinen eigenen Proxy auf.
phatair
phatair 08.04.2016 um 10:41:42 Uhr
Goto Top
Moin moin,

im Grunde wäre die sicherste Lösung (mal abgesehen vom VPN) eine Lösung mit DMZ.

Die Realisierung sollte ja nicht weiter tragisch sein. Meine FB 6490 bleibt, an diese wird dann ein Synology NAS angeschlossen, welches als Cloud Speicher dienen soll. Eine zweite FB (oder was für eine Lösung auch immer sinnvoller wäre) steht dann hinter der FB 6490 und dahinter kommt dann erst das private LAN.

Somit würde das NAS in der DMZ stehen und wäre komplett getrennt vom LAN. Soweit richtig oder habe ich irgendwas übersehen?

FB6490 LAN Anschluss 1-> NAS
FB6490 LAN Anschluss 2 -> 2. FB -> LAN 1-4 und WLAN -> Privates LAN
114757
114757 08.04.2016 aktualisiert um 10:50:19 Uhr
Goto Top
Sowas nennt man dann Frittengehege face-big-smile face-big-smile die DMZ des kleinen Mannes ...
Nimm einen Mikrotik der hat viel bessere Möglichkeiten und eine wesentlich besser konfigurierbare Firewall, als so eine kranke Fritte ... und ist oben drein noch wesentlich günstiger.