corraggiouno
Goto Top

NAS von außen erreichen

Hi zusammen,

ich habe folgende Situation. In meinem Router fritzbox habe ich den Port 443 freigegeben.
Bei meinem Hoster habe ich eine subdomain
sub.domain.tld definiert. Desweiteren habe ich einen CNAME Eintrag (Wert ist die dynamische Adresse) gesetzt. Da sich meine öffentliche IP ändert, habe ich zudem noch bei no-IP eine ddns Adresse definiert.
Wenn ich die Subdomain Aufrufe erreiche ich zwar meine NAS, allerdings nicht verschlüsselt.
Kann mir jemand sagen, warum das so ist?
Bei meinem Hoster habe ich ein über Lets Encrypt Zertifikat erstellt.

Content-Key: 500155

Url: https://administrator.de/contentid/500155

Printed on: February 29, 2024 at 21:02 o'clock

Member: Pjordorf
Pjordorf Oct 01, 2019 updated at 22:06:43 (UTC)
Goto Top
Hallo,

Zitat von @Corraggiouno:
Bei meinem Hoster habe ich ein über Lets Encrypt Zertifikat erstellt.
Das Zertifikat gehört auf dein NAS oder was immer deine Verbindung mit dem Internet herstellt (nicht deine Fritte). Nur das Zertifikat zu erstellen reicht nicht. Schau in deine Dokumentation deines uns unbekannten NAS ob es https überhaupt kann.

Gruß,
Peter
Member: Corraggiouno
Corraggiouno Oct 02, 2019 at 04:31:20 (UTC)
Goto Top
Ich bin im Besitz eine qnap 473
Member: Lochkartenstanzer
Lochkartenstanzer Oct 02, 2019 updated at 04:34:48 (UTC)
Goto Top
Zitat von @Corraggiouno:

Bei meinem Hoster habe ich ein über Lets Encrypt Zertifikat erstellt.

Moin,

Und wo hast Du es installiert?

Funktioniert denn im LAN die verschlüsselte Kommunikation?

lks
Member: Corraggiouno
Corraggiouno Oct 02, 2019 at 04:52:10 (UTC)
Goto Top
Unter Sicherheit auf der NAS gibt es eine Download Option für das Zertifikat. Auf meinem Endgerät (Laptop mit Windows 10 pro) Zertifikatsspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert.
Funktioniert aber leider auch nicht.
Member: Corraggiouno
Corraggiouno Oct 02, 2019 at 05:00:17 (UTC)
Goto Top
Beim Hoster habe ich es für die Domain
sub.domain.tld installiert.
Member: Lochkartenstanzer
Lochkartenstanzer Oct 02, 2019 at 05:06:25 (UTC)
Goto Top
Zitat von @Corraggiouno:

Unter Sicherheit auf der NAS gibt es eine Download Option für das Zertifikat. Auf meinem Endgerät (Laptop mit Windows 10 pro) Zertifikatsspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert.

Auf Deinem Laptop bringt Dir das nichts. Du mußt es auf dem NAS installieren.

Funktioniert aber leider auch nicht.

Wundert mich nicht. Du kannst die Münzen nicht im Cola-Automat einwerfen und erwarten, daß der Kaffeeautomat Dir eine Latte ausspuckt.

lks
Member: Lochkartenstanzer
Lochkartenstanzer Oct 02, 2019 updated at 05:08:16 (UTC)
Goto Top
Zitat von @Corraggiouno:

Beim Hoster habe ich es für die Domain
sub.domain.tld installiert.


Genauso falsch. Geld im Wasserspender bringt Dir auch keinen Kaffee.

Du mußt das Zertifikat im NAS installieren und den NAS sagen, daß es "sub.domain.tld" heißt.

lks
Member: aqui
aqui Oct 02, 2019 at 06:27:14 (UTC)
Goto Top
Oder auf der FritzBox ein VPN einrichten und das NAS über das VPN erreichen. Ist so oder so allemal besser, da sicherer.
Member: Dilbert-MD
Dilbert-MD Oct 02, 2019 at 07:36:56 (UTC)
Goto Top
Zitat von @aqui:

Oder auf der FritzBox ein VPN einrichten und das NAS über das VPN erreichen. Ist so oder so allemal besser, da sicherer.

Und auch das geht ganz bequem über die Subdomain.
"Sag" der Fritzbox, sie soll sich nach einem IP-Wechsel bei der Subdomain melden.
Dann kennt die Subdomain die aktuelle IP und im VPN-Client wird als Ziel die Subdomain hinterlegt, was am Ende dazu führt, dass die VPN-Verbindung zur Fritzbox aufgebaut wird.

Dann hat man einen sicheren Tunnel und muss nicht mit Zertifikaten jonglieren.
Anleitung zur Fritzbox:
https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...

Gruß
Member: Corraggiouno
Corraggiouno Oct 02, 2019 at 08:48:55 (UTC)
Goto Top
Das mit dem VPN Tunnel und fritzbox funktioniert.

Würde aber doch sehr gerne über https auf meine NAS zugreifen, da ich in der Schule nicht die ADMIN Rechte habe um diverse VPN clients zu installieren.
hat jemand schon die Erfahrung gemacht, wie die Installation des Zertifikats auf der qnap nas funktioniert?
Member: Lochkartenstanzer
Lochkartenstanzer Oct 02, 2019 at 09:04:47 (UTC)
Goto Top
Zitat von @Corraggiouno:

hat jemand schon die Erfahrung gemacht, wie die Installation des Zertifikats auf der qnap nas funktioniert?

Ja, da gibt es einige im Netz.

lks
Member: SomebodyToLove
SomebodyToLove Oct 02, 2019 at 09:27:36 (UTC)
Goto Top
Hiho,

also grundsätzlich müsste auch ohne installiertes Zertifikat deine NAS über den Port 443 erreichbar sein, eben mit entsprechender Zertifikat Meldung (Zertifikat nicht gültig...).

Erreichst du deine NAS überhaupt nicht, also bekommst du einen 404 oder bekommst du die entsprechende Zertifikatsmeldung?

Vielleicht hast du auf deiner NAS die Verbindung über HTTPS noch nicht konfiguriert?

Allgemeine Einstellungen -> Systemadministration -> Sicherer Anschlus (HTTPS) aktivieren -> Port 443

Du solltest dir aber im klaren sein das du dir da auch ein riesen Loch in dein Homenetz hämmerst, denn nach deinem Eingangspost zu Urteilen gehörst du aktuell noch nicht zu den Netzwerk- bzw. Sicherheitsexperten.

Grüße
Somebody
Member: Corraggiouno
Corraggiouno Oct 02, 2019 at 12:52:55 (UTC)
Goto Top
Was ich in Sachen Sicherheit auf jeden Fall noch machen würde, eine zwei faktoren authentifizierung. Zudem nur einen Ordner freigeben, den ich übers Internet mit einem entsprechenden User erreiche.
Member: Dilbert-MD
Dilbert-MD Oct 02, 2019 at 14:53:15 (UTC)
Goto Top
Zitat von @Corraggiouno:
Würde aber doch sehr gerne über https auf meine NAS zugreifen, da ich in der Schule nicht die ADMIN Rechte habe um diverse VPN clients zu installieren.

Open VPN Portable?
Member: Corraggiouno
Corraggiouno Oct 02, 2019 at 15:36:02 (UTC)
Goto Top
Dann müsste ich wohl, sollte das überhaupt funktionieren, eine openvpn Server auf der qnap installieren. Korrigiert mich wenn ich falsch liege, aber der Client arbeitet ja nicht direkt mit fritzbox zusammen, sondern ich müsste dann einen Tunnel zur fritzbox und dann auf die nas (open VPN-server) zugreifen
Member: Mikrofonpartner
Mikrofonpartner Oct 02, 2019 at 16:04:15 (UTC)
Goto Top
Hallo

Ich werfe noch eine andere Lösung in die Runde.

https://www.myqnapcloud.com/?lang=de

Die Einrichtung ist ein Kinderspiel.

Gruß Mikro

PS: In der Schule sollte man sich auf andere Sachen konzentrieren als auf dem heimischen NAS rumzuwerkeln oder was auch immer du da machen willst.
Member: Corraggiouno
Corraggiouno Oct 02, 2019 at 18:44:29 (UTC)
Goto Top
Danke dir. Muss dir da leider widersprechen. Es ist unabdingbar. Mein privates Gerät darf leider nicht benutzen.
Ich würde ja euch nicht fragen, wenn ich die Hilfe nicht benötige.
Was mir persönlich unerklärlich ist, dass ja auf der NAS bereits ein gültiges Zertifikat (Dauer 2028) installiert ist.
warum funktioniert dann nicht die SSL Verschlüsselung?
Member: Lochkartenstanzer
Lochkartenstanzer Oct 02, 2019 updated at 18:51:32 (UTC)
Goto Top
Zitat von @Corraggiouno:

Was mir persönlich unerklärlich ist, dass ja auf der NAS bereits ein gültiges Zertifikat (Dauer 2028) installiert ist.
warum funktioniert dann nicht die SSL Verschlüsselung?

Hast Du denn das Ganze mal außerhalb des Schulnetzes probiert. İch als Schuladmin würde solche Umgehungsmaßnahmen in der Firewall blocken.

lks
Member: Mikrofonpartner
Mikrofonpartner Oct 02, 2019 updated at 19:07:51 (UTC)
Goto Top
Zitat von @Corraggiouno:
Es ist unabdingbar. Mein privates Gerät darf leider nicht benutzen.


Das soll/muss ich verstehen?

Hast du dir den Link von lks angeschaut? Da ist brauchbares Zeug dabei. Das schon durchgespielt?

In welchem Szenario braucht man in einer Schule Zugriff auf sein privates NAS? Die Schule wird kaum die Anforderung stellen, das jeder ein NAS haben muss. Frag den Admin an der Schule doch mal, wie er dir helfen kann. Aber wunder dich nicht, wenn das Gespräch einen anderen Verlauf nimmt, als von dir angenommen.

PS: Ist heute schon Freitag?
Member: Corraggiouno
Corraggiouno Oct 02, 2019 updated at 21:29:24 (UTC)
Goto Top
haha. finds reichlich komisch.
Es ist doch wundervoll, wenn ihr die Sache beherrscht. Um so schöner fände ich es allerdings, wenn man anderen durch sein Wissen weiter helfen kann.
Member: Norbertos
Norbertos Oct 03, 2019 updated at 08:23:38 (UTC)
Goto Top
Du willst also aus einem Schulnetz "ausbrechen" um an deinen privaten NAS zu kommen.
Sorry, aber streng genommen sieht dies eher nach einem Hackversuch aus. Diese Verbindung sollte mittels entsprechender Regeln, die der Admin der Schule (hoffendlich) eingerichtet hat, nicht herzustellen sein.

Glaubst du wirklich, das nach dem von dir beschriebenen Szenario und dem nicht genannten Grund/Zweck dir hier jemand hilft den Schulserver zu hacken? Beihilfe ist nämlich auch strafbar.
Schon die Planung und die von dir beschriebenen Versuche sind strafbar.
In unserem Firmennetzwerk wäre der erste, solche Versuch === Fristlose Kündigung.

Es sei denn du hast die Erlaubnis eines der Verantwortlichen, die hast du aber nicht, da fehlende Admin-Rechte.

Sorry, aber so ist es nun einmal.
Member: transocean
transocean Oct 03, 2019 at 08:21:27 (UTC)
Goto Top
Moin,

In welchem Szenario braucht man in einer Schule Zugriff auf sein privates NAS?

Zu meiner Zeit nannte man das Spickzettel.

Grüße...

Uwe
Member: Corraggiouno
Corraggiouno Oct 03, 2019 at 10:18:22 (UTC)
Goto Top
Ich möchte weder eine Art "Spickzettel" betreiben, noch kriminelle Aktionen unternehmen. Wenn ein Kollege eine Seite zu seiner Bank aufruft, ist das ja auch keine kriminelle Aktion.
Mein Vorhaben ist einfach das, wenn ich Unterlagen (z.B. pdfs) benötige, dass ich dann diese aufrufen kann. Das ist der Hintergedanke. Nicht mehr und nicht weniger.
Member: Norbertos
Norbertos Oct 03, 2019 updated at 10:52:44 (UTC)
Goto Top
Lese doch bitte mal meine Satz nocheinmal:
"Schon die Planung und die von dir beschriebenen Versuche sind strafbar."

Also die einzige, rechtlich korrekte Möglichkeit(!) besteht darin deinen Admin zu fragen.
Wahrscheinlich wird er so klug sein und dies nicht erlauben.

Das Aufrufen einer Seite über einen Browser (hier die von dir genannte Bankseite) ist mit deinem Vorhaben nicht zu vergleichen.

Nachtrag
Wenn soo wichtig, dann kopiere die Dinge die du benötigst auf deinen Webspace in ein htpasswd geschütztes Verzeichnis und rufe dieses mit dem Browser auf. Dann kannst du (wenn nicht vom Admin gesperrt) deine Seiten herunterladen.
Mitglied: 141358
141358 Oct 03, 2019 updated at 11:08:38 (UTC)
Goto Top
Hallo,

Mein Vorhaben ist einfach das, wenn ich Unterlagen (z.B. pdfs) benötige, dass ich dann diese aufrufen kann.

dann nutze doch einfach einen Filehosting Dienst z.B. Dropbox oder Hosted Nextcloud oder Seafile. Alternativ kannst du das privat Betreiben z.B. Nextcloud auf nen Raspbi installieren und die NAS als Storage Backend nutzen. Bedenke allerdings, dass du das ganze Ding gut absicherst bevor du HTTP(S) Port Forwarding auf den Raspbi einrichtest.

P.S. Um was für eine Art Schule handelt es sich? In Hochschulen, Fachoberschulen und Berufsschulen erhalten die Schüler in den meisten Fällen einen VPN Zugang zum Schulnetz, wo diese auf schulinternen Dienste u.a. auf den persönlichen Fileshare zurückgreifen können.

Viele Grüße
Member: Mikrofonpartner
Mikrofonpartner Oct 03, 2019 at 11:09:20 (UTC)
Goto Top
Zitat von @141358:

Hallo,

Mein Vorhaben ist einfach das, wenn ich Unterlagen (z.B. pdfs) benötige, dass ich dann diese aufrufen kann.

dann nutze doch einfach einen Filehosting Dienst z.B. Dropbox oder Hosted Nextcloud oder Seafile. Alternativ kannst du das privat Betreiben z.B. Nextcloud auf nen Raspbi installieren und die NAS als Storage Backend nutzen. Bedenke allerdings, dass du das ganze Ding gut absicherst bevor du HTTP(S) Port Forwarding auf den Raspbi einrichtest.

P.S. Um was für eine Art Schule handelt es sich? In Hochschulen oder Fachoberschulen bzw. Berufsschulen erhalten die Schüler in den meisten Fällen eine VPN Zugang zum Schulnetz, wo diese auf schulinternen Dienste u.a. auf den persönlichen Fileshare zurückgreifen können.

Viele Grüße

Er hat eine QNAP. Ob er nun bei Dropbox und Co sich das Zeug hochlädt oder die von mir schon erwähnte myQNAPcloud verwendet, ist vollkommen egal. Wenn es wirklich nur um das Lesen von PDFs im Unterricht gehen würde, wäre sowas schon lange erledigt.