Synology DDNS einrichten?!
Geizhals » Forum » Netzwerk » Synology DDNS einrichten?! (85 Beiträge, 971 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
Synology DDNS einrichten?!
02.02.2022, 13:36:51
Liebe Geizhals Gemeinschaft!

Vorweg: Ich bin ein Nackerpatzl was Netzwerk & Co. betrifft. Habe mir eine Synology geholt, weil ich häufig gelesen habe, dass diese "leicht" einzurichten wäre. Mir geht es hier vorrangig, um den externen Zugriff. Diesen bekomm ich irgendwie nicht hin.

Habe mir vor kurzem eine Synology DS220+ gekauft. Nun habe ich recherchiert, welcher Zugang einen relativ sicheren Zugriff erlaubt und da kam ich auf DDNS und nicht über QuickConnect.

Habe nun nach einer Anleitung (https://www.youtube.com/watch?v=c5c32VirXpY ) dies so eingerichtet. Ich beziehe das Internet über Magenta. Ich habe dann versucht eine Portweiterleitung am Router einzurichten. Nur weiß ich nicht so recht, ob die Daten die ich eingetragen habe richtig sind?

Lokale IP: da kommt die IP welche meine NAS besitzt, oder?
Lokaler Start Port: 5100?
Lokaler End Port: 5100?
Externer Start Port: 5100?
Externer End Port: 5100?
Protokoll: TCP?
Aktiviert: An?

und dann auf Regel hinzufügen.

Wenn ich dann probiere zuzugreifen über meine adresse: xxx.synology.me:5100 funktionierts nicht. Irgendwo ein Fehler?

Ich verwende meine NAS ausschließlich für meine digitalen Dokumente und Bilder. Sonst nichts. Externer Zugriff eher selten. Welche Sicherheitsmaßnahmen sind noch anzudenken? 2-Faktor Authentifizierung und Viren Scanner habe ich auf der NAS ebenfalls aktiviert. Firewall ebenso. Firewall im UPC Router aktiviert. Da kann man nicht wirklich viel einstellen.

Ich würde mich freuen, wenn mir hier weitergeholfen wird. Bitte verständlich erklären, für mich ist dies wirklich eine andere Sprache. Danke!!

LG Nilpferd

Antworten PM Übersicht Chronologisch
 
Melden nicht möglich
.
Re: Synology DDNS einrichten?!
02.02.2022, 21:04:27
So kurz wie möglich erklärt.

Wenn du eine Fritzbox hast hier den Port 5000 auf dein NAS weiterleiten (dieses hat hoffentlich eine fixe Ip, sonst klappt das nicht so recht mit dem Port weiterleiten). Dort in der Firewall auch die nötigen Ports freigeben, damit das NAS den Zugriff überhaupt zulässt. Die Adresse wäre dann für unverschlüsselten Zugriff http://xxx.synology.me:5000

Für eine verschlüsselte Verbindung müsstest du den Port 5001 auf dein NAS weiterleiten und ebenfalls in der (NAS)Firewall freigeben. Damit erhälst du eine verschlüsselte Verbindung mit https://xxx.synology.me:5001
Nur wird hier der Browser dann meckern das du kein gültiges Zertifikat hast. Dieses müsstest du vorab einmal erstellen, Synology verwendet hier das kostenlose LetsEncrypt.
Dazu gehst du auf Sstemsteuerung -> Sicherheit und hier dann im rechten Fensterbereich oben auf Zertifikat klicken -> auf Button hinzufügen klicken und im neuen Fenster dann auf „neues Zertifikat hinzufügen klicken“ den weiteren Schritten folgen, dann wird ein Zertifikat erstellt und eingerichtet. Wenn du nun eine verschlüsselte Verbindung aufbaust meckert der Browser nun nicht mehr da er ein gültiges Zertifikat angezeigt bekommt.

Möchtest du das ganze etwas sicherer gestalten, dann könntest du einen externen Port abseits der 5001 verwenden und intern auf das Nas und den Port 5001 weiterleiten.
z.B Extern 77777 auf intern 5001 des Nas.
Dann würde der externe Link https://xxx.synology.me:77777  lauten.

----------------------------

zwischen zu früh und zu spät, liegt stets der Augenblick


02.02.2022, 21:04 Uhr - Editiert von teuflisch, alte Version: hier
Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
.
Re: Synology DDNS einrichten?!
03.02.2022, 13:05:31
Du machst damit dein NAS (oder wenn falsch konfiguriert irgendein anderes Gerät bei dir) aus der ganzen Welt erreichbar. Darauf liegen deine Dokumente und Fotos. Finde den Fehler.

Synology-NAS bei Konsumenten zuhause sind in der Vergangenheit bereits mehrfach erfolgreich angegriffen worden, erst letzten Sommer haben manche User alle gespeicherten Dateien verloren, weil ein Cryptolocker-Virus das Gerät übernommen hat: https://www.bleepingcomputer.com/news/security/synology-warns-of-malware-infecting-nas-devices-with-ransomware/

Auch ist möglich, dass unberechtigte Dritte Daten runterkopieren.

>Firewall ebenso. Firewall im UPC Router aktiviert.

Die Firewall ist aber rudimentär und für die Portweiterleitung vom NAS außer Kraft gesetzt.

Was mir dazu noch einfällt:

- Das NAS sollte niemals direkt aus dem Internet erreichbar sein. D.h. für den Remotezugang hat man einen eigenen VPN-Server bzw. Gateway, manche Router können das auch sicherheitstechnisch einwandfrei, aber dazu gehört das Billig-Router-Klump von Magenta nicht.

- Sämtliche Sachen müssen regelmäßig gepatcht werden, und du musst auch irgendwo erfahren falls es wieder mal einen großen Angriff oder eine Sicherheitslücke gibt. Es kommen dann von den Herstellern manchmal so tolle Empfehlungen wie: Wir können das jetzt nicht fixen, bitte Gerät vom Netzwerk trennen (zuletzt bei irgendwelchen NAS von WD). Das bekommt dann der Verbraucher oft erst gar nicht mit, das Gerät wird einmal gekauft und eingerichtet und das wars.

- Selbst wenn man die sicherste Hard- und Software hat, muss das noch kompetent eingerichtet werden. Man kann das auch unabsichtlich so konfigurieren, dass die Sicherheit von vornherein ausgehebelt ist.

- Nächste Stolperfalle IPv6, das ist bei Magenta manchmal schon aktiviert, da gibt es Stolperfallen die erfahrene Admins oft nicht kennen, weil IPv6 noch nicht weit verbreitet ist. Auch das hat wieder einen Einfluss auf die Erreichbarkeit aus dem Internet, und damit auf die Sicherheit.

In anderen Worten, meiner Meinung nach kannst du dir keinen vertrauenswürdigen sicheren Zugang von extern einrichten. Die meisten User richten das nach dem "wird scho nix sein"-Motto ein.

Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
.......
Re(7): Synology DDNS einrichten?!
04.02.2022, 03:58:37
genau das ist es ja. Keinen Hacker/Kriminellen interessieren die Daten die bei einem durchschnittlichen Privatanwender daheim liegen.
Was allerdings interessant ist, sind Zahlungen um verschlüsselte Daten wieder zugänglich zu machen.

Viele vergessen halt, dass ein Dateisystemfehler, verschlüsselte Daten etc. auch zwischen 2 Festplatten (RAID1) synchronisiert werden - also dann auf beiden Festplatten nicht mehr zu gebrauchen sind. Abhilfe schafft nur das weitere Backup in ein zusätzliches System (eben zB. einen Cloud-Speicher der "Großen"). In meinem erweiterten Bekanntenkreis, inkl. einiger KMUs/EPUs, kann ich diejenigen, die das tatsächlich machen aber an einer Hand abzählen. Mit einem NAS ist ja eh schon alles gesichert, warum dann noch ein paar € im Monat zahlen um noch mal alles zu sichern? %-)

Erst vor kurzem gabs auch bei QNAP wieder eine schwere Sicherheitslücke die tausende Anwender eiskalt erwischt hat, das komplette System verschlüsselt hat und ~1.000€ in BTC gefordert hat um (möglicherweise?) den Key zum Entschlüsseln zu übermitteln:
https://www.heise.de/news/Jetzt-handeln-Erpressungstrojaner-DeadBolt-hat-es-auf-Qnap-NAS-abgesehen-6340174.html
Mein letzter Stand ist dass das VPN-Service von QNAP bzw. Wireguard auf QNAP (?) evtl. ausgenutzt wurde, das wäre natürlich besonders pikant, weil auch die etwas erfahreneren Nutzer davon betroffen sind, die sich denken VPN am NAS aktivieren und ich bin sicher.

Das zeigt sehr schön dass - wenn VPN - dieser auf einem separaten System laufen sollte, weil angepasste Herstellerpakete im Zweifel eher mehr als weniger Lücken haben.

Und ja, es gibt div. Möglichkeiten das Eindringen daheim zu erschweren - aber das heißt auch entsprechende Hardware zu kaufen, div. Pakete zu kennen/finden, installieren, aktuell zu halten etc... Ziemlich viel Aufwand wenn man's richtig macht. Würde mich interessieren ob sich das irgendjemand, der sich in der Materie dementsprechend auskennt, tatsächlich selbst macht.

Die für mich interessanteste Variante wäre evtl. eine "Cloud-Firewall" wie die WAF von AWS mit CloudFront vor das NAS zu setzen - ich denke das ist der minimale Aufwand mit der maximalen Security die man für daheim erreichen kann; sofern das NAS unbedingt öffentlich erreichbar sein muss. Für mich war das aber im Endeffekt auch zu viel Aufwand, drum bleib ich bei meiner VPN-Lösung.

Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
...
Re(3): Synology DDNS einrichten?!
03.02.2022, 23:15:42
>liegen die Daten auf irgendeinem Server einer Firma (Apple, Microsoft, Google,...) die genauso gut missbraucht werden können.

Also wenn du deine Daten aufs Onedrive, oder in die iCloud oder zum Google Drive legst, dann sind die sicher. Wir verwenden Onedrive im Unternehmen und speichern sensible Firmendaten auf Microsofts Servern.

Dort ist nämlich mehr oder weniger garantiert, dass bei Bekanntwerden von Schwachstellen sofort reagiert wird.

Das einzige was du da wieder hast sind die Anbieter selbst, Google scannt momentan die eigenen Daten der User auf Copyright-geschützte Inhalte und löscht die einfach. Apple will sowas auch machen.

>Dann war es für mich als Normal-User ein Fehlkauf?

Man darf halt der Werbung nicht alles glauben. Das Internet Of Things führt dazu, dass entweder von Anfang an oder spätestens nach ein paar Jahren (wenn der Support ausläuft) von Überwachungskamera über NAS bis zur Waschmaschine (ja, es gab angreifbare Waschmaschinen mit Internetverbindung...) viel Zeugs ungesichert im Internet hängt und dort wird das prompt ausgenutzt. Das c't-Magazin hat in den letzten Jahren ungesichert im Internet hängende Kirchenglocken (werden computergesteuert geläutet), Heizungen usw usf gefunden...

Es gibt einen Router von Google, der vor kurzem 10 Jahre oder so alt wurde. Google hat gesagt, wir machen alle noch in Verwendung befindlichen Router jetzt aus der Ferne unbrauchbar, zum Briefbeschwerer, weil wir den Support nach der langen Zeit einstellen und nur so verhindern können, dass der Router bald Teil eines Botnetzes wird.

Ein Fehlkauf ist das NAS nicht, wenn du es für den Haupteinsatzzweck brauchen kannst, d.h. du speicherst zentral die Daten dort ab und kannst dann von verschiedenen Computern aus gleichzeitig drauf zugreifen. Außerdem kannst du doch noch auf Quickconnect zurückgreifen? Ich persönlich kenn das nicht, aber wenn du da keine Portfreigabe brauchst, ist es zumindest schon deutlich besser.

>Nur als Home-Server verwenden? Wie riecht ich mir diesen ein? Einfach externen Zugriff verweigern und über die IP-Adresse der Nas einsteigen?

Du aktivierst SMB (Samba) am NAS, wenn es nicht sowieso von Haus aus aktiviert ist und verbindest auf deinen Computern das NAS als Netzlaufwerk, mit der IP-Adresse vom NAS. Das musst du ja so oder so machen, sonst kommst du von zuhause doch gar nicht drauf? Und die Portweiterleitung löschst du wieder raus, dann ist das NAS nicht mehr aus aller Welt sichtbar.

Quickconnect und sowas sollte dennoch funktionieren.

>eh schon jeder Mensch ein gläserner Akt ist

Ist aber ein Unterschied ob der Staat deine Daten kennt um dir einen Perso auszustellen oder ob die auf deinem NAS gespeicherten Kopien deines Persos im Ausland landen und für Identitätsdiebstahl verwendet wird. Oder sonstige persönliche Daten die du drauf hast. Oder persönliche Fotos, vielleicht intime die dann auf irgendeiner Webseite landen.

Antworten PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung