NAS als eignen Server verwenden - Zugriff von extern

Mitglied: phatair

phatair (Level 1) - Jetzt verbinden

07.04.2016 um 17:52 Uhr, 2135 Aufrufe, 13 Kommentare

Hallo zusammen,

vielleicht könnt Ihr mir helfen. Ich bin am überlegen, ein NAS als eigenen Server einzusetzen und auch von extern erreichbar zu machen.

Folgende Geräte kommen zum Einsatz: Synology NAS, Fritzbox 6490

Hintergrund ist folgender:
Ich möchte meine einmal einen Datenspeicher haben, auf den ich jederzeit zugreifen kann (eine private alternative zu onedrive, google drive usw.). Ebenso möchte ich meinen Kalender und Kontakte nicht über Google synchronisieren sondern ebenso über einen eigenen Server. All das wäre mit einem Synology NAS möglich.

Das sicherste wäre ein VPN. Das wäre aber eher unpraktisch bzw. nicht praktikabel, da auf den Speicher auch meine Familie zugreifen soll. Hier überall einen VPN Client zu installieren und einzurichten ist fast nicht möglich. Auch soll ein flexibler Zugriff auf den Datenspeicher möglich sein.

Also bleibt nur die Möglichkeit, die NAS von extern erreichbar zu machen. Eine NAS besitze ich schon. Diese würde ich aber ungern von extern erreichbar machen, hier liegen auch viele private Sachen drauf. Meine Überlegung war also, ein eigenes NAS für den externen Zugriff zu beschaffen. Die Fritzbox so zu konfigurieren (IP und Ports), dass nur für dieses NAS der externe Zugriff möglich.
Das ganze dann noch per SSL Zertifikat verschlüsseln und fertig ist das ganze.

Für mich klang das (nach der VPN Lösung) nach der sichersten Methode. Was meint Ihr? Habt Ihr noch andere Ideen/Vorschläge?
Ich möchte meine Daten auf einem eigenen Datenspeicher liegen haben, aber natürlich nicht mein privates LAN vollkommen öffnen oder große Lücken aufreißen.

Danke euch schon mal.
Gruß
Mitglied: 114757
114757 (Level 4)
07.04.2016, aktualisiert um 18:06 Uhr
Für mich klang das (nach der VPN Lösung) nach der sichersten Methode. Was meint Ihr? Habt Ihr noch andere Ideen/Vorschläge?
Ganz klar => VPN wenn es vorrangig um Sicherheit geht !

Es braucht nur mal eine Sicherheitslücke auf deinem NAS welche der Hersteller nicht direkt fixt und schon ist dein NAS ohne Update verwundbar und dadurch dein Netz potentiell kompromittiert. Dann doch lieber ein selbst geschraubtes NAS verwenden das man gegebenenfalls schnell mit Sicherheitsupdates versorgen kann und welches man dann in eine DMZ stellt.

Aber VPN ist und bleibt die sicherste Wahl.

Und das VPN einrichten aufwendig sein soll, ist nur ein dummes Gerücht!

Gruß jodel32
Bitte warten ..
Mitglied: phatair
07.04.2016, aktualisiert um 18:11 Uhr
Hi Jodel,

das heißt aus deiner Sicht macht eine "eigene Cloud" keinen Sinn bzw. wenn dann nur mit VPN?
Im Grunde gebe ich dir Recht - es ist verzwickt. Auf der einen Seite möchte man seine Daten nicht Google oder Microsoft anvertrauen und möchte sie selber "hosten". Auf der anderen Seite will man die Daten aber einem gewissen Freundes und Familienkreis einfach (d.h. direkter Zugriff ohne zusätzliche Schritte wie VPN) zu Verfügung stellen ohne aber sein privates LAN zu weit zu öffnen.

Andere Lösung wäre noch ein root Server bei einem vertrauenswürdigen Anbieter. Aber dafür sollte man ja doch fundierte Linux Kenntnisse haben :/

EDIT: VPN einrichten ist sicherlich nicht aufwendig aber es schränkt doch die Zugriffe ein. Wenn ich z.B. Bilder auf der NAS liegen habe und möchte die Freunden oder der Familie bereitstellen. müsste ich jedem erst einmal mitteilen wie er das jetzt bei sich einrichtet.
Schöner ist da natürlich - Link schicken und die Leute können sich das ganze anschauen.

Wobei hier natürlich stimmt - will man es einfach und simpel geht das immer auf Kosten der Sicherheit (meistens zumindest)

Hm....
Bitte warten ..
Mitglied: michi1983
07.04.2016, aktualisiert um 18:21 Uhr
Hallo,

Zitat von @phatair:
Schöner ist da natürlich - Link schicken und die Leute können sich das ganze anschauen.
Das kann die Synology aber von Haus aus :-) face-smile
Hier schickst du einfach einen Link zu wem auch immer, und die-/derjenige hat dann nur Zugriff auf diese Datei/Ordner.
Und sie kann noch viel mehr. Wenn dir jemand eine Datei schicken kann, kannst du kurzfristig (mit expiration time) einen Link erstellen und ein Passwort (alles in einer schönen GUI) und die Person die den Linkt hat, kann dir dann eine Datei per Drag & Drop auf dein NAS legen.

Gruß
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
07.04.2016 um 18:21 Uhr
Nun es kommt halt immer darauf an wie viel Hirnschmalz man investiert und investieren will.

Sicher kann man ein NAS auch sicher daheim betreiben, dann sollte man aber zumindest wie ich oben geschrieben habe, weitere Sicherungs-Maßnahmen ergreifen DMZ und CO. durchgängig auch Verschlüsselung aller Verbindungen und der Daten. Und für die Logins 2-Faktor-Authentifizierung.

Je nach dem wie paranoid man ist kann man das bis zum Exzess treiben.
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
07.04.2016, aktualisiert um 18:25 Uhr
Das kann die Synology aber von Haus aus
Aber auch dann steht die Syno direkt im Netz. Hat diese eine Sicherheistlücke, peng ... wenns dort für einen Patch zu lange dauert. Aber das hat man überall wenn man seine Systeme nicht auf dem laufenden hält.

Man sollte sich halt immer im klaren sein das wenn man Systeme direkt am Netz betreibt man auch entsprechende Verantwortung für Aktualität hat.
Bitte warten ..
Mitglied: phatair
07.04.2016, aktualisiert um 18:26 Uhr
Hi Michi,

das stimmt - aber dazu muss das NAS ja erstmal von extern erreichbar sein. Oder stehe ich jetzt total aufm Schlauch? :) face-smile

@Jodel
Ja da hast du Recht. Will man das richtig angehen bzw. korrekt absichern bedeutet das einiges an Planung.
Da wäre die VPN Variante die einfachere Lösung, zumindest was die Realisierung angeht.

Ich werde wohl noch etwas weiter überlegen müssen ;)
Bitte warten ..
Mitglied: michi1983
07.04.2016, aktualisiert um 18:33 Uhr
Zitat von @114757:
Aber auch dann steht die Syno direkt im Netz. Hat diese eine Sicherheistlücke, peng ... wenns dort für einen Patch zu lange dauert. Aber das hat man überall wenn man seine Systeme nicht auf dem laufenden hält.
Wieso direkt im Netz?
Meine Synology steht bei mir zu Hause in meinem LAN und ist nur von mir via VPN von außen erreichbar.
Und dennoch kann ich dir einen Link zu einer Datei schicken (Fotos oder was auch immer), und du kannst sie dir über diesen Link runter laden.
Anstellen kannst du rein gar nix damit.

Ich wollte damit nur sagen, die Synology (andere Hersteller ev. auch, kann ich nicht beurteilen) hat so viele Features, dass es mir reicht wenn ich alleine VPN Zugriff aufs NAS habe was ja keine Hexerei ist einzurichten. Aber der TO hatte ja Bedenken, dass er für alle Fam. Mitglieder auch einen VPN Zugang einrichten muss.

Gruß
Bitte warten ..
Mitglied: phatair
07.04.2016 um 18:39 Uhr
Aber dann ist doch die Synology auch ohne VPN direkt erreichbar. Sonst könnte doch der Benutzer, den Du dem Link zu der Datei schickst, die Datei gar nicht laden und anschauen. Oder muss der Benutzer auch eine VPN Verbindung aufbauen? Falls Nein ist das NAS ja direkt von extern ansprechbar und somit auch angreifbar. Der Benutzer kann zwar mit der Datei nix anfangen bzw. nur runterladen aber das NAS ist trotzdem "offen" für angriffe.
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
07.04.2016, aktualisiert um 18:44 Uhr
Zitat von @michi1983:
Wieso direkt im Netz?
Und dennoch kann ich dir einen Link zu einer Datei schicken (Fotos oder was auch immer), und du kannst sie dir über diesen Link runter laden.
Anstellen kannst du rein gar nix damit.
Naja du machst ja ein Port-Forwarding auf deinem Router speziell für diese "HTTP(s)-Links" und das HTTP Servlet des NAS steht dann halt im Netz, und wenn dieses einen Bug hat ...
Bei diesen "Quasi-Embedded-Devices" bei denen oftmals auf Updates des Herstellers angewiesen ist bin ich bei sowas immer vorsichtig. Syno und Qnap reagieren da zwar schnell, aber das muss jeder für sich entscheiden.
Bitte warten ..
Mitglied: michi1983
08.04.2016 um 07:23 Uhr
Zitat von @114757:
Naja du machst ja ein Port-Forwarding auf deinem Router speziell für diese "HTTP(s)-Links" und das HTTP Servlet des NAS steht dann halt im Netz, und wenn dieses einen Bug hat ...
Nope muss man nicht. Das läuft über einen Service von Synology und nennt sich quickconnect den man einmalig eingerichtet.

Gruß
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
08.04.2016, aktualisiert um 09:09 Uhr
Wobei wir dann wieder beim Thema "private" Cloud landen :-) face-smile
Einen Tunnel vom NAS zu einem fremden Server nicht unter meiner Kontrolle, wuahhhhh. Da setze ich doch lieber gleich meinen eigenen Proxy auf.
Bitte warten ..
Mitglied: phatair
08.04.2016 um 10:41 Uhr
Moin moin,

im Grunde wäre die sicherste Lösung (mal abgesehen vom VPN) eine Lösung mit DMZ.

Die Realisierung sollte ja nicht weiter tragisch sein. Meine FB 6490 bleibt, an diese wird dann ein Synology NAS angeschlossen, welches als Cloud Speicher dienen soll. Eine zweite FB (oder was für eine Lösung auch immer sinnvoller wäre) steht dann hinter der FB 6490 und dahinter kommt dann erst das private LAN.

Somit würde das NAS in der DMZ stehen und wäre komplett getrennt vom LAN. Soweit richtig oder habe ich irgendwas übersehen?

FB6490 LAN Anschluss 1-> NAS
FB6490 LAN Anschluss 2 -> 2. FB -> LAN 1-4 und WLAN -> Privates LAN
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
08.04.2016, aktualisiert um 10:50 Uhr
Sowas nennt man dann Frittengehege :-D face-big-smile :-D face-big-smile die DMZ des kleinen Mannes ...
Nimm einen Mikrotik der hat viel bessere Möglichkeiten und eine wesentlich besser konfigurierbare Firewall, als so eine kranke Fritte ... und ist oben drein noch wesentlich günstiger.
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 21 StundenTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 16 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1011 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...