Datenzugriff und Backup

[TommiWe]

Meines Wissens gibt es auf der Seize von Synology eine Liste empfohlener Festplatten.

 

[TechGeek]

Habe die DS220+ nun eingerichtet, komme aber bei diversen Dingen noch nicht wirklich weiter. Vor allem der externe Zugriff will noch nicht so richtig. (Der Interne geht einwandfrei.) Habe einen DynDNS Dienst eingerichtet. Den von Synology mit der Adresse benutzername.DiskStation.me ("benutzername" ist nur hier stellvertretend für den echten Benutzernamen)
Wenn ich diese URL am Mac (der Mac ist via Handy Hotspot im Web und also nicht im lokalen Netz) bei "mit Server Verbinden" eingebe, fügt er mir automatisch smb:// vorab ein. Das halte ich für falsch, da SMB ja wohl kaum das richtige Protokoll ist für einen Zugriff übers Netz. Wobei ich in den Synology Einstellungen auch nichts finden kann, welches Protokoll da verwendet wird, geschweige denn eine entsprechende Einstellung. Natürlich funktioniert der Zugriff via dem SMB auch nicht. Habe auch noch http://benutzername.DiskStation.me bzw. https:// versucht, was beides auch nicht ging. (Server wird nicht gefunden.) Der Internetanschluss ist auf IPv4 eingestellt. Portweiterleitung habe ich im Router 5000-5001 eingestellt. Im NAS sehe ich da auch nicht wirklich eine konkrete Portnummer.

Was mache ich hier noch falsch? Welche Einstellungen muss ich noch vornehmen? Danke für die Hilfe!

 

[win2mac]

Wenn Du per smb zugreifen willst kann es auch sein, dass dein Router smb blockiert (machen manche)

 

[maccoX]

Also entweder du gehst über den Synology Dienst und die Apps oder wenn du das manuell einrichtest mit DynDNS brauchts dann nicht auch einen VPN?

So hab ich meine Fritzbox für Zugriff auf meinen Mac nämlich eingerichtet, DynDNS + VPN, weil Apps hab ich da ja keine. Ich aktiviere dann am iPhone erst das VPN und kann dann über die Daten App per SMB zugreifen (bin dann ja praktisch in meinem Heimnetzwerk).


Zum Backup:
Ein Raid hat überhaupt nichts mit einem Backup zu tun, du musst entweder ein online Backup einrichten oder eine externe Platte dafür dran hängen. Ich würde zwei Platten nehmen, eine davon kannst du dann immer im Wechsel an einem sicheren Ort lagern (falls die Hütte abbrennt).

 

[dg2rbf]

 

[TechGeek]

SMB ist meines Erachtens nicht das richtige Protokoll für den Zugriff übers Internet. Bei dieser
https://kb.synology.com/de-de/DSM/tutorial/Quick_Start_External_Access
Anleitung steht auch nichts davon, dass man zusätzlich noch ein VPN bräuchte.

Dann hab ich noch diese Anleitung gefunden und befolgt für den Zugriff via WebDav:
https://kb.synology.com/de-de/DSM/t...iles_on_Synology_NAS_with_WebDAV#x_anchor_id7

Leider geht auch das nicht. "Es ist ein Fehler aufgetreten".

Die Portweiterleitung habe ich im Router so eingestellt:


Das NAS hat eine fixe IP.

EDIT: Jetzt geht es auf einmal! Komisch, habe nichts mehr geändert. Naja egal, jetzt scheint es zu gehen via WebDav.

 

[Johanna K]

Ein wichtiger Hinweis:

Es gibt heutzutage viele Angriffe auf offene Ports im Internet, und dies auch auf SMB-Ports oder NAS. Die Gefahren sind Datenabflüsse oder Verschlüsselungen zwecks Erpressung.

Daher empfehle ich dringend, die beiden Portweiterleitungen wieder rauszunehmen und den Zugriff über VPN (am besten im Router) oder einen ssh-Tunnel zu realisieren. Bei VPN und ssh werden zwar auch Ports geöffnet, aber diese Dienste sind für genau diesen Zweck sehr gut getestet, weit verbreitet und bieten eine geringe Angriffsfläche. Bei SMB hingegen sind schon häufiger Sicherheitslücken in den Implementierungen aufgetaucht, und fehlerhafte Konfigurationen durch die Admins gab es genug.

 

[TechGeek]

Greife ja nicht via SMB zu sondern via WebDAV (https) zu. Ist denn das auch problematisch? Ist auch nur für den persönlichen und privaten Zweck, nichts öffentliches. Welches wären denn die SMB Ports, die ich "gegen aussen" schliessen müsste?

 

[mausfang]

Erreichbarkeit von aussen: man kann beides machen. Entweder selbst per DynDNS - ist ein wenig komplizierter. Oder bei Synology über einen einfachen, für Anfänger geeigneten Dienst (einfach anhaken und fertig).

Macht man so nicht.

Du richtest ein VPN ein, und wenn Du durch das VPN quasi in Deinem Heimnetz bist (obwohl Du extern bist), dann kannst Du auf die Daten auf dem NAS zugreifen.

Dienste die Dateien freigeben direkt am Router per Portfreigabe … die schlimmste Bad Practice.

So nicht machen!

 

[mausfang]

Greife ja nicht via SMB zu sondern via WebDAV (https) zu. Ist denn das auch problematisch? Ist auch nur für den persönlichen und privaten Zweck, nichts öffentliches. Welches wären denn die SMB Ports, die ich "gegen aussen" schliessen müsste?

Du bekommst dann auf den offenen Port für https dann eben die Angriffe.

 

[mausfang]

Hast Du eine FRITZ!Box als Router?

 

[Johanna K]

Greife ja nicht via SMB zu sondern via WebDAV (https) zu. Ist denn das auch problematisch?

Meiner Ansicht nach ja, aber ich nutze WebDAV nicht selbst und habe da nicht so viel Erfahrungen.

Erst mal vorweg, das 'S' aus HTTPS bietet dir hier keine Sicherheit. Das ist nur eine Transportverschlüsselung, die verhindert, dass irgendwer Fremdes deine Daten oder dein Anmeldepasswort mitliest. Das bietet aber keinerlei Sicherheit gegen Angriffe auf den Dienst. Ob ein Hacker nun über HTTP oder HTTPS angreift, macht nur insofern einen Unterschied, dass im zweiten Falle niemand mitlesen kann, welche Daten er abfließen lässt.

Die Authentifizierung erfolgt über Benutzername und Passwort. Damit ist die Sicherheit gegen einen Einbruch schon mal deutlich geringer als bei VPN oder SSH mit SSH-Keys (aber gleich zu SSH mit Passwort).

Dann wird WebDAV von Tomcat oder einem anderen Webserver bereitgestellt. Dies sind recht komplexe Programme mit einer deutlich größeren Angriffsfläche als VPN oder SSH.

Ich habe nicht verfolgt, ob es bei WebDAV erfolgreiche Angriffe gab oder vermehrt Sicherheitslücken in den Implementierungen. Ich würde aber die Ports schließen und WebDAV nur über VPN oder SSH-Tunnel nutzen.

 

[TechGeek]

Danke allen für ihre Antworten!

Also entweder du gehst über den Synology Dienst und die Apps oder wenn du das manuell einrichtest mit DynDNS brauchts dann nicht auch einen VPN?

So hab ich meine Fritzbox für Zugriff auf meinen Mac nämlich eingerichtet, DynDNS + VPN, weil Apps hab ich da ja keine. Ich aktiviere dann am iPhone erst das VPN und kann dann über die Daten App per SMB zugreifen (bin dann ja praktisch in meinem Heimnetzwerk).

VPN sah für mich bis jetzt immer sehr kompliziert aus, sowohl zum einrichten wie auch zum nutzen....

Zum Backup:
Ich würde zwei Platten nehmen, eine davon kannst du dann immer im Wechsel an einem sicheren Ort lagern (falls die Hütte abbrennt).

Das ist auch der Plan! Kannst du mir da erklären wie ich das am besten konfiguriere? Habe die entsprechende Anleitung bei Synology noch nicht gefunden.

Hast Du eine FRITZ!Box als Router?

Nein es ist eine UPC Connect Box.

Dann wird WebDAV von Tomcat oder einem anderen Webserver bereitgestellt. Dies sind recht komplexe Programme mit einer deutlich größeren Angriffsfläche als VPN oder SSH.

Ich habe nicht verfolgt, ob es bei WebDAV erfolgreiche Angriffe gab oder vermehrt Sicherheitslücken in den Implementierungen. Ich würde aber die Ports schließen und WebDAV nur über VPN oder SSH-Tunnel nutzen.

Naja habe schon länger einen Mini von dem mein ganzes Videoarchiv per WebDAV "am Netz" hängt. Bis jetzt keine Probleme.

 

[mausfang]

Danke allen für ihre Antworten!


VPN sah für mich bis jetzt immer sehr kompliziert aus, sowohl zum einrichten wie auch zum nutzen....


Das ist auch der Plan! Kannst du mir da erklären wie ich das am besten konfiguriere? Habe die entsprechende Anleitung bei Synology noch nicht gefunden.


Nein es ist eine UPC Connect Box.


Naja habe schon länger einen Mini von dem mein ganzes Videoarchiv per WebDAV "am Netz" hängt. Bis jetzt keine Probleme.

Du siehst ja, dass Dir mehrere Leute abraten Ports zu öffnen ... es ist eigentlich egal ob Du http / https / webdav öffnest ... Die Ports die Dein NAS-Hersteller empfiehlt zu öffnen sind in öffentlich zugänglichen Listen auch für jeden böswilligen Angreifer einsehbar:

https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

Es sind also prominente Ports, auf die Du auf jeden Fall Angriffsversuche erwarten musst.

Du beharrst relativ hartnäckig darauf, dass Dir VPN zu kompliziert sei. Und sagst Dein NAS-Hersteller empfiehlt die Vorgehensweise.
Dazu kann ich Dir nur folgendes sagen:

• Dein NAS-Hersteller hat nicht die Folgen wenn Du gehackt wirst sondern Du.
• Dein NAS-Hersteller will Dir die Funktion so einfach wie möglich darstellen, da er Dir ja die Software mitverkauft, die das bietet.
  Die Konfiguration mit VPN zu erklären wäre für Deinen NAS-Hersteller bei der Vielfalt an Routern komplizierter.
• Es gibt Mittel und Wege auch bei geöffnetem Port (was Du ja vorhast) gewisse weitere erhöhte Sicherheit (andere Ports nutzen, Anmeldeversuche limitieren und IPs sperren nach fehlerhafter Authentifizierung) zu erreichen.

Da Du Dich, und das meine ich nicht abwertend oder von oben herab, aber eigentlich wirklich überhaupt gar nicht auskennst ... mit Schritt-für-Schritt-Anleitungen für genau Deinen Use-Case wird Dich hier wahrscheinlich keiner ausstatten.

Ich persönlich würde Dir weiterhin zu der Vorgehensweise mit den offenen Ports nicht raten.

Bei einer Fritz!Box ist es fast ein Kinderspiel ein VPN einzurichten, da Fritz! einen Dienst anbietet, die DynDNS überflüssig macht. Wie und ob das für Deinen Router geht ... kann ich Dir nicht sagen, und werde ich auch nicht recherchieren.

Eins kann ich Dir nach lesen diesen Threads noch sagen. Du hast mehrfach aus gutem Grund den guten Rat bekommen. Von Leuten die sich auf jeden Fall tiefer in der Materie befinden.

Was Deine Webdav-Filmfreigabe angeht ... Um Filme hätte ich jetzt auch nicht so die Sorge ... aber der Zugriff auf ein NAS von außen. Das ist schon was anderes. Wenn jemand da über Webdav einen entsprechenden Angriffsvektor nützt ... dann sei wenigstens so klug und geh nicht auch noch mit Deinem Adminuser als Benutzer auf die Webdav-Freigabe. Wenn Dir das jetzt nichts sagt, was ich gerade schreibe ... dann hänge Deine Daten besser nichts ans Internet.

Ich bin jetzt raus aus dem Thread.

 

[TechGeek]

es ist eigentlich egal ob Du http / https / webdav öffnest ... Die Ports die Dein NAS-Hersteller empfiehlt zu öffnen sind in öffentlich zugänglichen Listen auch für jeden böswilligen Angreifer einsehbar:

https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

Es sind also prominente Ports, auf die Du auf jeden Fall Angriffsversuche erwarten musst.

Ok, ja ist logisch. Hatte den Port deshalb damals beim Mini auch geändert auf einen unbekannten.

Du beharrst relativ hartnäckig darauf, dass Dir VPN zu kompliziert sei.

Hartnäckig beharren? Wo und wann denn?
Bin überhaupt nicht hartnäckig und werde mich der VPN Sache annehmen! Hatte mich ja nur schrittweise an die Sache ran getastet und meinen rudimentären Minimalkenntnisse über VPN sind halt, dass das sowohl in der Einrichtung wie auch in der Anwendung eben aufwändiger und umständlicher wird, weshalb ich versuchte auszuloten und abzuwägen ob sich das in meinem Fall lohnt oder nicht. Und jetzt kam ich ja zum Schluss, dass ich den VPN Weg einschlage.

Da Du Dich, und das meine ich nicht abwertend oder von oben herab, aber eigentlich wirklich überhaupt gar nicht auskennst ...

Naja, "wirklich überhaupt gar nicht"... finde ich jetzt schon etwas übergriffig für jemanden der durchaus weiss was Ports, DynDNS, SMB, WebDAV, VPN etc. ist und sind und das auch schon (ausser VPN) mehrfach in diversen Setups und Orten eingerichtet hat und verwendet...

 

[lisanet]

weshalb ich versuchte auszuloten und abzuwägen ob sich das in meinem Fall lohnt oder nicht.

... genau diese Ansicht ist allerdings der eigentliche Fehler und das was dem "Beharren" nahekommt.

Wenn du ein Gerät offen ans Netz hängst, dann musst du dir Gedanken über darüber machen, wie du unauthorisierte Zugriffe unterbindest. Das Mittel der Wahl ist dabei ein VPN, alternativ der Zugriff über ssh.

Wenn es dir natürlich egal ist, was mit deinen Daten passiert, ob sie überhaupt noch existieren, beschädigt sind, oder von Fremden gelesen/verwertet und ggf gegen dich genutzt werden, dann lohnt es sich echt nicht. Dann frage ich mich aber, warum du dir überhaupt ein NAS kaufst oder über Backups nachdenkst.

Hier wurde im Thread ja schon gesagt, du hast ja sowas auch schon gelesen, dass ein NAS zwar als Klicki-Bunti-Gerät beworben wird, aber es erfordert in der Praxis halt doch einiges mehr an Wissen. Und nein, ich lasse Berichte der Art "mir ist in den letzten Jahren nichts passiert" nicht gelten. Das ist kein valider Gradmesser oder Beurteilungsmaßstab für die Nützlichkeit eines VPN.

 

[mausfang]

Ok, ja ist logisch. Hatte den Port deshalb damals beim Mini auch geändert auf einen unbekannten.


Hartnäckig beharren? Wo und wann denn?
Bin überhaupt nicht hartnäckig und werde mich der VPN Sache annehmen! Hatte mich ja nur schrittweise an die Sache ran getastet und meinen rudimentären Minimalkenntnisse über VPN sind halt, dass das sowohl in der Einrichtung wie auch in der Anwendung eben aufwändiger und umständlicher wird, weshalb ich versuchte auszuloten und abzuwägen ob sich das in meinem Fall lohnt oder nicht. Und jetzt kam ich ja zum Schluss, dass ich den VPN Weg einschlage.


Naja, "wirklich überhaupt gar nicht"... finde ich jetzt schon etwas übergriffig für jemanden der durchaus weiss was Ports, DynDNS, SMB, WebDAV, VPN etc. ist und sind und das auch schon (ausser VPN) mehrfach in diversen Setups und Orten eingerichtet hat und verwendet...

Ja, gut. Sind Deine Daten. Ich wollte nicht übergriff sein, sondern etwas Grundfalsches (jedenfalls meine Ansicht) abwenden. Ich hatte Dich fälschlicherweise als weniger versiert als es wohl der Fall ist wahrgenommen. Mein Fehler. Du kennst Dich aus.
Ich glaube ich bin hier nicht der einzige der nicht immer die Samthandschuhe über hat. Lass Dich für Geld beraten. Dann bist der König, oder der Dumme, wenn Du an einen Dienstleister gerätst der Dein NAS im Internet freigibt.

 

[jteschner]

Also ich hatte (Schande auf mein Haupt) bis eben noch auch den einfachen Zugang zu meinen Daten über Synology's "Quick-Connect' Dienst hergestellt. Da ich aber eine Fritzbox habe und es mit dieser einfach sein soll einen VPN Zugang zu konfigurieren, habe ich das einfach mal ausprobiert. Resultat: das ist ja wirklich einfach - und es gibt auch eine passende/verständliche Schritt für Schritt Anleitung bei AVM dazu.
Getestet habe ich dann den Zugang über mein iPhone aus dem LTE Netz - null Problemo.
Ein weiterer Test dann von meinem MBP14": Persönlichen Hotspot des iPhone als NW genommen, VPN aktiviert (vorher natürlich konfiguriert ;-) ) und schon gings los . Wieder kein Problem.
Also ich bin bekehrt: VPN bleibt das Tool der Wahl, um von aussen ins eigene Netz zu kommen.

 

[TechGeek]

Bei meinen Recherchen taucht gerade wieder ne Verständnislücke auf: Muss ich das VPN nur am Router konfigurieren oder auch am NAS? Oder sogar nur am NAS? Von meinem Verständnis her, muss ich da am NAS gar nichts machen sondern das läuft alles über den Router und wenn ich von aussen damit verbunden bin, ist es ja wie wenn ich zu Hause wäre mit dem Gerät, oder mache ich nen Überlegungsfehler?

 

[dg2rbf]

Hi,
VPN, muss nur am Router eingerichtet werden, das NAS hat damit nichts zu tun.
LG Franz