NAS von außen erreichen

corraggiouno
Goto Top
Hi zusammen,

ich habe folgende Situation. In meinem Router fritzbox habe ich den Port 443 freigegeben.
Bei meinem Hoster habe ich eine subdomain
sub.domain.tld definiert. Desweiteren habe ich einen CNAME Eintrag (Wert ist die dynamische Adresse) gesetzt. Da sich meine öffentliche IP ändert, habe ich zudem noch bei no-IP eine ddns Adresse definiert.
Wenn ich die Subdomain Aufrufe erreiche ich zwar meine NAS, allerdings nicht verschlüsselt.
Kann mir jemand sagen, warum das so ist?
Bei meinem Hoster habe ich ein über Lets Encrypt Zertifikat erstellt.

Content-Key: 500155

Url: https://administrator.de/contentid/500155

Ausgedruckt am: 24.05.2022 um 20:05 Uhr

Mitglied: Pjordorf
Pjordorf 02.10.2019 aktualisiert um 00:06:43 Uhr
Goto Top
Hallo,

Zitat von @Corraggiouno:
Bei meinem Hoster habe ich ein über Lets Encrypt Zertifikat erstellt.
Das Zertifikat gehört auf dein NAS oder was immer deine Verbindung mit dem Internet herstellt (nicht deine Fritte). Nur das Zertifikat zu erstellen reicht nicht. Schau in deine Dokumentation deines uns unbekannten NAS ob es https überhaupt kann.

Gruß,
Peter
Mitglied: Corraggiouno
Corraggiouno 02.10.2019 um 06:31:20 Uhr
Goto Top
Ich bin im Besitz eine qnap 473
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.10.2019 aktualisiert um 06:34:48 Uhr
Goto Top
Zitat von @Corraggiouno:

Bei meinem Hoster habe ich ein über Lets Encrypt Zertifikat erstellt.

Moin,

Und wo hast Du es installiert?

Funktioniert denn im LAN die verschlüsselte Kommunikation?

lks
Mitglied: Corraggiouno
Corraggiouno 02.10.2019 um 06:52:10 Uhr
Goto Top
Unter Sicherheit auf der NAS gibt es eine Download Option für das Zertifikat. Auf meinem Endgerät (Laptop mit Windows 10 pro) Zertifikatsspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert.
Funktioniert aber leider auch nicht.
Mitglied: Corraggiouno
Corraggiouno 02.10.2019 um 07:00:17 Uhr
Goto Top
Beim Hoster habe ich es für die Domain
sub.domain.tld installiert.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.10.2019 um 07:06:25 Uhr
Goto Top
Zitat von @Corraggiouno:

Unter Sicherheit auf der NAS gibt es eine Download Option für das Zertifikat. Auf meinem Endgerät (Laptop mit Windows 10 pro) Zertifikatsspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert.

Auf Deinem Laptop bringt Dir das nichts. Du mußt es auf dem NAS installieren.

Funktioniert aber leider auch nicht.

Wundert mich nicht. Du kannst die Münzen nicht im Cola-Automat einwerfen und erwarten, daß der Kaffeeautomat Dir eine Latte ausspuckt.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.10.2019 aktualisiert um 07:08:16 Uhr
Goto Top
Zitat von @Corraggiouno:

Beim Hoster habe ich es für die Domain
sub.domain.tld installiert.


Genauso falsch. Geld im Wasserspender bringt Dir auch keinen Kaffee.

Du mußt das Zertifikat im NAS installieren und den NAS sagen, daß es "sub.domain.tld" heißt.

lks
Mitglied: aqui
aqui 02.10.2019 um 08:27:14 Uhr
Goto Top
Oder auf der FritzBox ein VPN einrichten und das NAS über das VPN erreichen. Ist so oder so allemal besser, da sicherer.
Mitglied: Dilbert-MD
Dilbert-MD 02.10.2019 um 09:36:56 Uhr
Goto Top
Zitat von @aqui:

Oder auf der FritzBox ein VPN einrichten und das NAS über das VPN erreichen. Ist so oder so allemal besser, da sicherer.

Und auch das geht ganz bequem über die Subdomain.
"Sag" der Fritzbox, sie soll sich nach einem IP-Wechsel bei der Subdomain melden.
Dann kennt die Subdomain die aktuelle IP und im VPN-Client wird als Ziel die Subdomain hinterlegt, was am Ende dazu führt, dass die VPN-Verbindung zur Fritzbox aufgebaut wird.

Dann hat man einen sicheren Tunnel und muss nicht mit Zertifikaten jonglieren.
Anleitung zur Fritzbox:
https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...

Gruß
Mitglied: Corraggiouno
Corraggiouno 02.10.2019 um 10:48:55 Uhr
Goto Top
Das mit dem VPN Tunnel und fritzbox funktioniert.

Würde aber doch sehr gerne über https auf meine NAS zugreifen, da ich in der Schule nicht die ADMIN Rechte habe um diverse VPN clients zu installieren.
hat jemand schon die Erfahrung gemacht, wie die Installation des Zertifikats auf der qnap nas funktioniert?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.10.2019 um 11:04:47 Uhr
Goto Top
Zitat von @Corraggiouno:

hat jemand schon die Erfahrung gemacht, wie die Installation des Zertifikats auf der qnap nas funktioniert?

Ja, da gibt es einige im Netz.

lks
Mitglied: SomebodyToLove
SomebodyToLove 02.10.2019 um 11:27:36 Uhr
Goto Top
Hiho,

also grundsätzlich müsste auch ohne installiertes Zertifikat deine NAS über den Port 443 erreichbar sein, eben mit entsprechender Zertifikat Meldung (Zertifikat nicht gültig...).

Erreichst du deine NAS überhaupt nicht, also bekommst du einen 404 oder bekommst du die entsprechende Zertifikatsmeldung?

Vielleicht hast du auf deiner NAS die Verbindung über HTTPS noch nicht konfiguriert?

Allgemeine Einstellungen -> Systemadministration -> Sicherer Anschlus (HTTPS) aktivieren -> Port 443

Du solltest dir aber im klaren sein das du dir da auch ein riesen Loch in dein Homenetz hämmerst, denn nach deinem Eingangspost zu Urteilen gehörst du aktuell noch nicht zu den Netzwerk- bzw. Sicherheitsexperten.

Grüße
Somebody
Mitglied: Corraggiouno
Corraggiouno 02.10.2019 um 14:52:55 Uhr
Goto Top
Was ich in Sachen Sicherheit auf jeden Fall noch machen würde, eine zwei faktoren authentifizierung. Zudem nur einen Ordner freigeben, den ich übers Internet mit einem entsprechenden User erreiche.
Mitglied: Dilbert-MD
Dilbert-MD 02.10.2019 um 16:53:15 Uhr
Goto Top
Zitat von @Corraggiouno:
Würde aber doch sehr gerne über https auf meine NAS zugreifen, da ich in der Schule nicht die ADMIN Rechte habe um diverse VPN clients zu installieren.

Open VPN Portable?
Mitglied: Corraggiouno
Corraggiouno 02.10.2019 um 17:36:02 Uhr
Goto Top
Dann müsste ich wohl, sollte das überhaupt funktionieren, eine openvpn Server auf der qnap installieren. Korrigiert mich wenn ich falsch liege, aber der Client arbeitet ja nicht direkt mit fritzbox zusammen, sondern ich müsste dann einen Tunnel zur fritzbox und dann auf die nas (open VPN-server) zugreifen
Mitglied: Mikrofonpartner
Mikrofonpartner 02.10.2019 um 18:04:15 Uhr
Goto Top
Hallo

Ich werfe noch eine andere Lösung in die Runde.

https://www.myqnapcloud.com/?lang=de

Die Einrichtung ist ein Kinderspiel.

Gruß Mikro

PS: In der Schule sollte man sich auf andere Sachen konzentrieren als auf dem heimischen NAS rumzuwerkeln oder was auch immer du da machen willst.
Mitglied: Corraggiouno
Corraggiouno 02.10.2019 um 20:44:29 Uhr
Goto Top
Danke dir. Muss dir da leider widersprechen. Es ist unabdingbar. Mein privates Gerät darf leider nicht benutzen.
Ich würde ja euch nicht fragen, wenn ich die Hilfe nicht benötige.
Was mir persönlich unerklärlich ist, dass ja auf der NAS bereits ein gültiges Zertifikat (Dauer 2028) installiert ist.
warum funktioniert dann nicht die SSL Verschlüsselung?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 02.10.2019 aktualisiert um 20:51:32 Uhr
Goto Top
Zitat von @Corraggiouno:
Was mir persönlich unerklärlich ist, dass ja auf der NAS bereits ein gültiges Zertifikat (Dauer 2028) installiert ist.
warum funktioniert dann nicht die SSL Verschlüsselung?

Hast Du denn das Ganze mal außerhalb des Schulnetzes probiert. İch als Schuladmin würde solche Umgehungsmaßnahmen in der Firewall blocken.

lks
Mitglied: Mikrofonpartner
Mikrofonpartner 02.10.2019 aktualisiert um 21:07:51 Uhr
Goto Top
Zitat von @Corraggiouno:
Es ist unabdingbar. Mein privates Gerät darf leider nicht benutzen.

Das soll/muss ich verstehen?

Hast du dir den Link von lks angeschaut? Da ist brauchbares Zeug dabei. Das schon durchgespielt?

In welchem Szenario braucht man in einer Schule Zugriff auf sein privates NAS? Die Schule wird kaum die Anforderung stellen, das jeder ein NAS haben muss. Frag den Admin an der Schule doch mal, wie er dir helfen kann. Aber wunder dich nicht, wenn das Gespräch einen anderen Verlauf nimmt, als von dir angenommen.

PS: Ist heute schon Freitag?
Mitglied: Corraggiouno
Corraggiouno 02.10.2019 aktualisiert um 23:29:24 Uhr
Goto Top
haha. finds reichlich komisch.
Es ist doch wundervoll, wenn ihr die Sache beherrscht. Um so schöner fände ich es allerdings, wenn man anderen durch sein Wissen weiter helfen kann.
Mitglied: Norbertos
Norbertos 03.10.2019 aktualisiert um 10:23:38 Uhr
Goto Top
Du willst also aus einem Schulnetz "ausbrechen" um an deinen privaten NAS zu kommen.
Sorry, aber streng genommen sieht dies eher nach einem Hackversuch aus. Diese Verbindung sollte mittels entsprechender Regeln, die der Admin der Schule (hoffendlich) eingerichtet hat, nicht herzustellen sein.

Glaubst du wirklich, das nach dem von dir beschriebenen Szenario und dem nicht genannten Grund/Zweck dir hier jemand hilft den Schulserver zu hacken? Beihilfe ist nämlich auch strafbar.
Schon die Planung und die von dir beschriebenen Versuche sind strafbar.
In unserem Firmennetzwerk wäre der erste, solche Versuch === Fristlose Kündigung.

Es sei denn du hast die Erlaubnis eines der Verantwortlichen, die hast du aber nicht, da fehlende Admin-Rechte.

Sorry, aber so ist es nun einmal.
Mitglied: transocean
transocean 03.10.2019 um 10:21:27 Uhr
Goto Top
Moin,

In welchem Szenario braucht man in einer Schule Zugriff auf sein privates NAS?

Zu meiner Zeit nannte man das Spickzettel.

Grüße...

Uwe
Mitglied: Corraggiouno
Corraggiouno 03.10.2019 um 12:18:22 Uhr
Goto Top
Ich möchte weder eine Art "Spickzettel" betreiben, noch kriminelle Aktionen unternehmen. Wenn ein Kollege eine Seite zu seiner Bank aufruft, ist das ja auch keine kriminelle Aktion.
Mein Vorhaben ist einfach das, wenn ich Unterlagen (z.B. pdfs) benötige, dass ich dann diese aufrufen kann. Das ist der Hintergedanke. Nicht mehr und nicht weniger.
Mitglied: Norbertos
Norbertos 03.10.2019 aktualisiert um 12:52:44 Uhr
Goto Top
Lese doch bitte mal meine Satz nocheinmal:
"Schon die Planung und die von dir beschriebenen Versuche sind strafbar."

Also die einzige, rechtlich korrekte Möglichkeit(!) besteht darin deinen Admin zu fragen.
Wahrscheinlich wird er so klug sein und dies nicht erlauben.

Das Aufrufen einer Seite über einen Browser (hier die von dir genannte Bankseite) ist mit deinem Vorhaben nicht zu vergleichen.

Nachtrag
Wenn soo wichtig, dann kopiere die Dinge die du benötigst auf deinen Webspace in ein htpasswd geschütztes Verzeichnis und rufe dieses mit dem Browser auf. Dann kannst du (wenn nicht vom Admin gesperrt) deine Seiten herunterladen.
Mitglied: 141358
141358 03.10.2019 aktualisiert um 13:08:38 Uhr
Goto Top
Hallo,

Mein Vorhaben ist einfach das, wenn ich Unterlagen (z.B. pdfs) benötige, dass ich dann diese aufrufen kann.

dann nutze doch einfach einen Filehosting Dienst z.B. Dropbox oder Hosted Nextcloud oder Seafile. Alternativ kannst du das privat Betreiben z.B. Nextcloud auf nen Raspbi installieren und die NAS als Storage Backend nutzen. Bedenke allerdings, dass du das ganze Ding gut absicherst bevor du HTTP(S) Port Forwarding auf den Raspbi einrichtest.

P.S. Um was für eine Art Schule handelt es sich? In Hochschulen, Fachoberschulen und Berufsschulen erhalten die Schüler in den meisten Fällen einen VPN Zugang zum Schulnetz, wo diese auf schulinternen Dienste u.a. auf den persönlichen Fileshare zurückgreifen können.

Viele Grüße
Mitglied: Mikrofonpartner
Mikrofonpartner 03.10.2019 um 13:09:20 Uhr
Goto Top
Zitat von @141358:

Hallo,

Mein Vorhaben ist einfach das, wenn ich Unterlagen (z.B. pdfs) benötige, dass ich dann diese aufrufen kann.

dann nutze doch einfach einen Filehosting Dienst z.B. Dropbox oder Hosted Nextcloud oder Seafile. Alternativ kannst du das privat Betreiben z.B. Nextcloud auf nen Raspbi installieren und die NAS als Storage Backend nutzen. Bedenke allerdings, dass du das ganze Ding gut absicherst bevor du HTTP(S) Port Forwarding auf den Raspbi einrichtest.

P.S. Um was für eine Art Schule handelt es sich? In Hochschulen oder Fachoberschulen bzw. Berufsschulen erhalten die Schüler in den meisten Fällen eine VPN Zugang zum Schulnetz, wo diese auf schulinternen Dienste u.a. auf den persönlichen Fileshare zurückgreifen können.

Viele Grüße

Er hat eine QNAP. Ob er nun bei Dropbox und Co sich das Zeug hochlädt oder die von mir schon erwähnte myQNAPcloud verwendet, ist vollkommen egal. Wenn es wirklich nur um das Lesen von PDFs im Unterricht gehen würde, wäre sowas schon lange erledigt.