145971
Sep 10, 2022
1103
10
0
Zugriff auf Syno trotz VPN
Guten Morgen 
ich habe eine DS718+ welche von extern NUR via VPN erreichbar ist.
Hin und wieder kommt es vor, dass ich Dateien für externe freigeben muss.
Für den besonderen Fall öffne ich den Port zu meiner Syno, damit der Zugriff von außen auch OHNE VPN funktioniert.
In dem Moment steht natürlich allen die Tür offen - kein schönes Gefühl.
Jetzt dachte ich an folgendes Szenario:
Ich setze auf der Syno eine VM auf, worüber ich dann die bestimmten Dateien zur Verfügung stellen kann.
Würde den Port somit nur in Richtung VM öffnen (bei Bedarf).
Könnte mir vorstellen, dass es dann ähnlich wie eine Sandbox ist (isoliert von der eigentlichen Syno).
Wäre das eine bessere Idee? Oder liege ich falsch?
ich habe eine DS718+ welche von extern NUR via VPN erreichbar ist.
Hin und wieder kommt es vor, dass ich Dateien für externe freigeben muss.
Für den besonderen Fall öffne ich den Port zu meiner Syno, damit der Zugriff von außen auch OHNE VPN funktioniert.
In dem Moment steht natürlich allen die Tür offen - kein schönes Gefühl.
Jetzt dachte ich an folgendes Szenario:
Ich setze auf der Syno eine VM auf, worüber ich dann die bestimmten Dateien zur Verfügung stellen kann.
Würde den Port somit nur in Richtung VM öffnen (bei Bedarf).
Könnte mir vorstellen, dass es dann ähnlich wie eine Sandbox ist (isoliert von der eigentlichen Syno).
Wäre das eine bessere Idee? Oder liege ich falsch?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3895892595
Url: https://administrator.de/contentid/3895892595
Printed on: April 24, 2024 at 12:04 o'clock
10 Comments
Latest comment
Installiere auf deiner Syno besser ein Nextcloud Package. Dort kannst du dann für externe Nutzer einen zeitlich begrenzten Einmal URL als Download Link angeben.
Die NC hat auch noch weitere Vorteil als Sharing und Kalender Server.
Die NC hat auch noch weitere Vorteil als Sharing und Kalender Server.
Hallo,
und via eMail einen Link schicken der zeitlich begrenzt ist? Kann die Syno auch machen, da gibt es auch
Pakete zu.
Du kannst doch die Daten in einen Cloud Account laden und dann via eMail einen Link anbieten.
Dobby
ich habe eine DS718+ welche von extern NUR via VPN erreichbar ist.
Würde ich auch so lassen wollen.Hin und wieder kommt es vor, dass ich Dateien für externe freigeben muss.
Beruflich oder privat?- Beruflich ginge auch via VPN
- Beruflich ginge auch vie S/FTP oder FTP/S
Für den besonderen Fall öffne ich den Port zu meiner Syno, damit der Zugriff von außen auch OHNE
VPN funktioniert.
Warum? Oder warum nicht VPN oder SFTP?VPN funktioniert.
In dem Moment steht natürlich allen die Tür offen - kein schönes Gefühl.
Warum keine Firewall wie pfSense, OPNSense, Endian, Untangle oder ClearOS davor?Jetzt dachte ich an folgendes Szenario:
Ich setze auf der Syno eine VM auf, worüber ich dann die bestimmten Dateien zur Verfügung stellen kann.
Würde den Port somit nur in Richtung VM öffnen (bei Bedarf).
Warum nicht die Dateien mit DropBox, MagentaCloud, iCloud, GoogleDrive oder OneDrive abgleichenIch setze auf der Syno eine VM auf, worüber ich dann die bestimmten Dateien zur Verfügung stellen kann.
Würde den Port somit nur in Richtung VM öffnen (bei Bedarf).
und via eMail einen Link schicken der zeitlich begrenzt ist? Kann die Syno auch machen, da gibt es auch
Pakete zu.
Könnte mir vorstellen, dass es dann ähnlich wie eine Sandbox ist (isoliert von der eigentlichen Syno).
Ist aber eben nicht so, offener Port ist offener Port.Wäre das eine bessere Idee? Oder liege ich falsch?
Das ist eben keine Sandbox! OpenBSD und dann mittels Jails und VSftp wäre ein Ansatz, aber warum?Du kannst doch die Daten in einen Cloud Account laden und dann via eMail einen Link anbieten.
Dobby
Mahlzeit.
Aber ich gebe dir Recht, es bleibt immer ein ungutes Gefühl. Auch meine Synos "verstecken" sich hinter VPNs und sind nicht public zugänglich. Über welche Datenmengen und welchen Zeitraum sprechen wir denn für deine Freigaben?
Cheers,
jsysde
Zitat von @145971:
[...]Für den besonderen Fall öffne ich den Port zu meiner Syno, damit der Zugriff von außen auch OHNE VPN funktioniert. In dem Moment steht natürlich allen die Tür offen - kein schönes Gefühl.
Welchen Port öffnest du denn wo? Und hast die Firewall deiner Syno denn konfiguriert - die bringt ja ab Werk eine Firewall mit, damit kann man schon recht granular einstellen, wer von wo auf was zugreifen kann und darf.[...]Für den besonderen Fall öffne ich den Port zu meiner Syno, damit der Zugriff von außen auch OHNE VPN funktioniert. In dem Moment steht natürlich allen die Tür offen - kein schönes Gefühl.
Aber ich gebe dir Recht, es bleibt immer ein ungutes Gefühl. Auch meine Synos "verstecken" sich hinter VPNs und sind nicht public zugänglich. Über welche Datenmengen und welchen Zeitraum sprechen wir denn für deine Freigaben?
Cheers,
jsysde
1
Wir reden von einem Zeitraum von max. 1 Woche.
Somit auch ein zeitlich begrenzter Link.
Ich stelle die Dateien für private Zwecke zur Verfügung.
Teilweise für 20-30 Leute gleichzeitig und auch nicht immer die selben.
Alle mit VPN auzustatten - gerade Leute die es technisch nicht umsetzen können - ist mir zu viel Aufwand.
Auch möchte ich die Daten nicht über einen externe Cloud zur Verfügung stellen - das erfüllt ja nicht den Zweck einer eigenen Cloud ;)
Somit auch ein zeitlich begrenzter Link.
Ich stelle die Dateien für private Zwecke zur Verfügung.
Teilweise für 20-30 Leute gleichzeitig und auch nicht immer die selben.
Alle mit VPN auzustatten - gerade Leute die es technisch nicht umsetzen können - ist mir zu viel Aufwand.
Auch möchte ich die Daten nicht über einen externe Cloud zur Verfügung stellen - das erfüllt ja nicht den Zweck einer eigenen Cloud ;)
Zitat von @108012:
Könnte mir vorstellen, dass es dann ähnlich wie eine Sandbox ist (isoliert von der eigentlichen Syno).
Ist aber eben nicht so, offener Port ist offener Port.Das verstehe ich nicht. Wenn ich auf der Synology im VMM eine VM starte, die einen Webserver auf Port 19443 (als Beispiel) laufen lässt und ich dann diesen Port 1:1 im vorgelagerten Router freigebe, dann antwortet ja nur dieser Dienst in der VM. Solange also keine Sicherheitslücken vorhanden sind (das Risiko bleibt natürlich), sind die normalen Dienste der Synology ja erst einmal gar nicht zugänglich.
Darüber hinaus kann man dann die Firewall der Synology bspw. noch so konfigurieren, dass die Synology-Dienste nur aus bestimmten Netzen (lokal+VPN) erreichbar sind.
Also so schlecht finde ich die Idee nicht.
Alternativ - da muss man für sich selbst das Risiko abschätzen - kann man auch die Firewall konfigurieren, die File Station-Dienste auf einen anderen Port legen (z.B. 19443, einzurichten in Systemsteuerung>Anmeldeportal>Anwendungen), dahingehend die Portweiterleitung einrichten und so ohne VPN den Download ermöglichen. Solange dann keine Sicherheitslücke in der File Station ist und es keine Benutzer mit schwachen Passwörtern gibt (ggf. auch 2-Faktor-Authentifizierung aktivieren), kann auch das eine Alternative sein.
Gruß
DivideByZero
Die Portweiterleitung sollte auf einen Dienst des NAS verweisen der sicher ist.
Nicht die Portweiterleitung macht die Unsicherheit, sondern eine schlechte Software die hinter dem Port arbeitet.
Nicht die Portweiterleitung macht die Unsicherheit, sondern eine schlechte Software die hinter dem Port arbeitet.
Deshalb ja die Empfehlung einer eigenen Cloud mit dem NextCloud Package. 
https://blog.viking-studios.net/nextcloud-installation-auf-einer-synolog ...
https://strobelstefan.org/2021/03/19/nextcloud-auf-einem-synology-nas-in ...
https://nocksoft.de/tutorials/nextcloud-auf-synology-nas-hinter-fritzbox ...
usw. usw.
https://blog.viking-studios.net/nextcloud-installation-auf-einer-synolog ...
https://strobelstefan.org/2021/03/19/nextcloud-auf-einem-synology-nas-in ...
https://nocksoft.de/tutorials/nextcloud-auf-synology-nas-hinter-fritzbox ...
usw. usw.
Moin,
Alle mit VPN auzustatten - gerade Leute die es technisch nicht umsetzen können - ist mir zu viel Aufwand.
Brauchst Du ja auch nicht. Port 443 mit 2FA sollte doch wohl sicher genug sein.
Gruß
Uwe
Alle mit VPN auzustatten - gerade Leute die es technisch nicht umsetzen können - ist mir zu viel Aufwand.
Brauchst Du ja auch nicht. Port 443 mit 2FA sollte doch wohl sicher genug sein.
Gruß
Uwe
Zitat von @aqui:
Deshalb ja die Empfehlung einer eigenen Cloud mit dem NextCloud Package.
https://blog.viking-studios.net/nextcloud-installation-auf-einer-synolog ...
https://strobelstefan.org/2021/03/19/nextcloud-auf-einem-synology-nas-in ...
https://nocksoft.de/tutorials/nextcloud-auf-synology-nas-hinter-fritzbox ...
usw. usw.
Deshalb ja die Empfehlung einer eigenen Cloud mit dem NextCloud Package.
https://blog.viking-studios.net/nextcloud-installation-auf-einer-synolog ...
https://strobelstefan.org/2021/03/19/nextcloud-auf-einem-synology-nas-in ...
https://nocksoft.de/tutorials/nextcloud-auf-synology-nas-hinter-fritzbox ...
usw. usw.
die Synology ist doch bereits eine eigene Cloud.
Warum dann noch NextCloud?
Zitat von @DivideByZero:
Das verstehe ich nicht. Wenn ich auf der Synology im VMM eine VM starte, die einen Webserver auf Port 19443 (als Beispiel) laufen lässt und ich dann diesen Port 1:1 im vorgelagerten Router freigebe, dann antwortet ja nur dieser Dienst in der VM. Solange also keine Sicherheitslücken vorhanden sind (das Risiko bleibt natürlich), sind die normalen Dienste der Synology ja erst einmal gar nicht zugänglich.
Darüber hinaus kann man dann die Firewall der Synology bspw. noch so konfigurieren, dass die Synology-Dienste nur aus bestimmten Netzen (lokal+VPN) erreichbar sind.
Also so schlecht finde ich die Idee nicht.
Alternativ - da muss man für sich selbst das Risiko abschätzen - kann man auch die Firewall konfigurieren, die File Station-Dienste auf einen anderen Port legen (z.B. 19443, einzurichten in Systemsteuerung>Anmeldeportal>Anwendungen), dahingehend die Portweiterleitung einrichten und so ohne VPN den Download ermöglichen. Solange dann keine Sicherheitslücke in der File Station ist und es keine Benutzer mit schwachen Passwörtern gibt (ggf. auch 2-Faktor-Authentifizierung aktivieren), kann auch das eine Alternative sein.
Gruß
DivideByZero
Zitat von @108012:
Könnte mir vorstellen, dass es dann ähnlich wie eine Sandbox ist (isoliert von der eigentlichen Syno).
Ist aber eben nicht so, offener Port ist offener Port.Das verstehe ich nicht. Wenn ich auf der Synology im VMM eine VM starte, die einen Webserver auf Port 19443 (als Beispiel) laufen lässt und ich dann diesen Port 1:1 im vorgelagerten Router freigebe, dann antwortet ja nur dieser Dienst in der VM. Solange also keine Sicherheitslücken vorhanden sind (das Risiko bleibt natürlich), sind die normalen Dienste der Synology ja erst einmal gar nicht zugänglich.
Darüber hinaus kann man dann die Firewall der Synology bspw. noch so konfigurieren, dass die Synology-Dienste nur aus bestimmten Netzen (lokal+VPN) erreichbar sind.
Also so schlecht finde ich die Idee nicht.
Alternativ - da muss man für sich selbst das Risiko abschätzen - kann man auch die Firewall konfigurieren, die File Station-Dienste auf einen anderen Port legen (z.B. 19443, einzurichten in Systemsteuerung>Anmeldeportal>Anwendungen), dahingehend die Portweiterleitung einrichten und so ohne VPN den Download ermöglichen. Solange dann keine Sicherheitslücke in der File Station ist und es keine Benutzer mit schwachen Passwörtern gibt (ggf. auch 2-Faktor-Authentifizierung aktivieren), kann auch das eine Alternative sein.
Gruß
DivideByZero
das sehe ich ebenfalls so.
Ich habe auch komplett andere Ports im Einsatz, als standardmäßig vorgeben.
Ebenso die Syno Firewall wurde konfiguriert.
