Zugriff von extern auf QNAP NAS (Windows/iPhone/Easybox) per VPN - Nutzung als private Cloud

Inhalte

  1. (Hintergrundinfo) - Einleitung - Warum? Was? Wie?
  2. (Hintergrundinfo) - Ist es für mich sinnvoll die MyQNAPcloud zu verwenden?
  3. (Start der Anleitung) - Eigenes Virtual Private Network (VPN) einrichten
  4. DynDNS einrichten für die DSL-Verbindung
  5. Einrichtung des Routers Vodafone Easybox 904 xDSL
  6. Zertifikate zur Authentifizierung erstellen
  7. DynDNS in Router hinterlegen
  8. Verbindung mit Computer unter Windows 10 herstellen
  9. iOS 14 iPhone Verbindung einrichten

1.      Einleitung - Warum? Was? Wie?

Ich möchte meine zig Datenspeicher (Laptop, Handy, Cloudanbieter) zentralisieren. Das alte Thecus NAS mit den 3,5“ Laufwerken soll ebenfalls abgelöst werden. Allerdings möchte ich auch von extern, z.B. auf Dienstreise darauf zugreifen können. Also eine private Cloud, wenn man so will. Darüber hinaus soll es möglichst sicher sein, da ich hochsensible Daten darauf abspeichere. Wie wir alle wissen gibt es eine 100% Sicherheit nur dann, wenn alle Kabel am PC/NAS ausgesteckt sind ;) dennoch ist Sicherheit ein zentrales Thema für mich.


Mein Provider ist momentan Vodafone und ich habe deren Easybox 904 xDSL im Einsatz. Mein Fokus liegt darin die vorhandene Infrastruktur zu nutzen. In erster Linie ist das natürlich für Benutzer der Easybox interessant aber ich denke den Teil der Anleitung könnt ihr auch auf eurem Router (Speedport, Fritzbox,…) durchführen.


Zugegeben ich war am Anfang etwas erschlagen mit den Infos aber mir wurde hier im Forum so gut geholfen, dass ich nun meine Erfahrungen gerne mit Euch teilen möchte. Außerdem waren viele Anleitungen im Netz (z.B. VPN Easybox oder Zugriff mit iPhone) bereits veraltet. Vielleicht hilft es ja dem ein oder anderen? Ich selbst mache das Ganze nur als Hobby und um meine Daten endlich mal etwas zu strukturieren.


Da das NAS 24/7 laufen soll habe ich mich für ein reines M.2 SSD NAS entschieden. Das gibt es in dieser Form bisher nur von QNAP. Das aktuelle Modell (Stand Mai 2021) ist das TBS-453DX, Vorgänger war das HS- Modell. Außerdem ist das NAS so schlank und leicht wie eine große, externe Festplatte. Da ist für mich ein Vorteil, hingegen für jemanden in einem Unternehmen eher nicht, da man das NAS ganz schnell im Rucksack verschwinden lassen kann. Anmerkung an mich selbst: ich werde mein NAS Volume auf jeden Fall verschlüsselt anlegen! Und was ich in diesem Zug auch noch gelernt habe: das TBS-453DX unterstützt lediglich SATA M.2 SSDs! Keine M.2 SSD mit NVMe Schnittstelle!


Mein Hardware-Setup ist wie folgt:

  • QNAP NAS TBS-453DX (Firmware 4.5.3.1652 ohne sonstige Modifikationen)
    • 4 x Samsung 860 EVO M.2 SATA SSD 2TB
    • 2 x 8GB RAM von Crucial CT2K8G4SFS824A (ich hatte mir dazu die 4GB-RAM Version bestellt, um diese selbst aufzurüsten)
  • 3 x Windows 10 PC’s mit aktuellster Build 20H2
  • 2 x iPhone SE mit iOS 14.4.2
  • Als Router: Vodafone Easybox 904 xDSL mit aktuellster Vodafone Firmware (von Okt. 2020)


Ein paar paar Bildchen zum NAS :


  • Ein wirklich schlankes und hübsches Teil :love:

NAS_aussen.jpg


  • Braucht man wirklich so viele USB ports?

NAS_aussen2.jpg


  • Unter den Standfüßchen sind vier Schrauben versteckt, um das NAS zu öffnen.

NAS_öffnen.jpg


  • So sieht das Innenleben ohne M.2 SSDs aus. Trotz des kleinen Designs kommt man überall gut hin.

NAS_innen.jpg


  • QNAP spart nicht mit Tesa-Film :D

NAS_innen2.jpg


  • Kleine Rechenaufgabe: Das 4G-Modell mit 2x2GB RAM kostet 501.-€ - das 8G-Modell mit 2x4GB RAM kostet 640.-€. Also zumindest bei mir im April '21. Ich habe mich daher für das 4G-Modell entschieden und habe für 70€ noch 2x8GB RAM dazu bestellt :) mit 16GB soll das TBS-453DX bei manchen Anwendungen besser laufen.

NAS_RAM.jpg


  • Bevor die 860er "Babys" eingebaut werden können brauchen sie noch eine Wärmeleitschicht (wie doppelseitiges Klebeband) und einen Kühler. Dieses Zubehör liegt bei.


01.jpg


  • Die Schicht zum kleben kommt auf die Chips der SSD. Also nicht auf die Rückseite ;)


02.jpg


  • Sieht doch irgendwie süß aus? :)


03.jpg


  • Die SSDs werden nun in die Slots 1-4 eingesteckt und noch verschraubt. Hier empfiehlt sich ganz stark eine gebogene Pinzette und ein 00-Kreuzschlitz.


05.jpg


  • Nach ein wenig Fingerspitzengefühl sieht es dann so aus...


06.jpg


  • Die Einrichtung über QFinder etc. spare ich mir an dieser Stelle :)

2.      Ist es für mich sinnvoll die MyQNAPcloud zu verwenden?

QNAP bietet einige Services, um das NAS mit Cloudspeicher zu verknüpfen bzw. eine private Cloud einzurichten. Konkret geht es z.B. um die MyQNAPcloud und die CacheMount Funktion.


MyQNAPcloud: Interessanter Ansatz, da man leicht mit mehreren Geräten von unterwegs auf das heimische NAS zugreifen kann. Hört sich doch genau nachdem an was ich brauche!! Eigentlich ja…


Die Sache hat nur einen Haken: die Einrichtung und Nutzung ist bequem aber leider alles andere als sicher. Nach intensiver Recherche kann ich Euch von MyQNAPcloud nur abraten. Wenn ihr es dennoch einsetzen wollt dann beachtet bitte die folgenden Tipps, um es Angreifern nicht ganz so leicht zu machen:

  • Firmware von QTS immer aktuell halten!
  • Einen neuen Benutzer mit Admin-Berechtigung anlegen und den Standard „admin“ Account löschen, um ein BruteForce-Angriff auf den „admin“ Account zu unterbinden.
  • Ein möglichst sicheres Passwort für den neuen Account einrichten (Lang, Sonderzeichen, Groß- und Kleinschreibung)
  • Zum Login die Zwei-Faktor-Authentifizierung verwenden (2-FA) mit einem Smartphone und der App Google Authenticator (iOS & Android)
  • Unnötige NAS-Services deaktivieren, welche man nicht braucht (FTP, Telnet, SSH,... als auch Dienste wie Music/Photo Station)!
  • Nutzt NICHT den Service CloudLink! Sämtliche Daten werden über die Server von QNAP geleitet! QNAP selbst empfiehlt diesen Service nicht für vertrauliche und/oder viele Daten!
  • UPnP deaktivieren. Das empfiehlt sich auch auf dem Router! Man verzichtet zwar dann auf die automatische Router Konfiguration zur Portweiterleitung aber das kann man auch leicht manuell einrichten.
  • Keinem Dritten Zugriffe auf Daten freigeben!
  • SSL Zertifikat von Let’s Encrypt einsetzen (kostenlos und wenn man Port 80 am Router weiterleitet dann verlängert sich das automatisch). Oder das kostenpflichtige direkt von QNAP.
  • Man öffnet Ports am Router. Das ist für mich ein No-Go und sollte es für Euch auch sein!
  • Es gab einfach schon zu viele Sicherheitslücken. QTS ist schlichtweg kein sicheres Betriebssystem, um direkt am Internet zu hängen. Sicherheitslücken der Vergangenheit:
  • Auch ein aktuelles Beispiel dafür: https://www.heise.de/news/Jetz…-000-Euro-ab-6027863.html


Damit ist das ganze schon relativ gut gesichert aber ich habe mich dennoch dagegen entschieden. Meine Beweggründe sind:

https://www.cvedetails.com/vul…vendor_id-10080/Qnap.html


CacheMount: jetzt auch unter dem Namen HybridMount zu finden. Es ist eine interessante Möglichkeit aber eher für Unternehmen, wenn man einige NAS-Systeme an unterschiedlichen Standorten einsetzt. Daten die man schnell im Zugriff braucht können über einen Cloudanbieter (ca. 20 Stk.) gecached werden. Auch die Integration in Windows als Netzwerkressource macht das Arbeiten damit leichter.

Ausführliche Infos dazu:

https://www.youtube.com/watch?v=enuyOeoTeC4 (zwei hochmotivierte QNAP Mitarbeiter)

https://nascompares.com/2019/1…20-vjbod-and-hybridmount/


Wie ihr seht sind beide Lösungen von QNAP nicht das Gelbe vom Ei und passen nicht auf meine Anforderungen. Schon gar nicht in Bezug auf die Sicherheit.

3.      Start der Anleitung - Eigenes Virtual Private Network (VPN) einrichten

Um es Angreifern nicht ganz so leicht zu machen ist die Lösung ein VPN einzurichten empfehlenswert, da es einen verschlüsselten Tunnel zwischen Computern ermöglicht. Vielleicht habt ihr davon schon gehört, um Netzwerksperren zu umgehen bieten mittlerweile viele VPN-Anbietern ihre Dienste an. Damit Du von deinem Netzwerk einen Tunnel zu deren Servern aufbauen kannst und darüber den Internet-Traffic leitest.


Anders nun in meiner Anleitung denn ich möchte Euch die Einrichtung eines eigenen VPN-Servers zeigen. Lasst mich das kurz an einem Beispiel veranschaulichen. Angenommen Du bist unterwegs, hast nur Dein iPhone dabei und brauchst aber dringend Daten von der NAS die zuhause steht. Mit einer OpenVPN-App stellt man nun die Verbindung zur Easybox (Router) her (unser VPN-Server) und schon ist man im heimischen Netzwerk als wäre man einfach zuhause mit dem iPhone im WLAN.


Ordentliche Sicherheit? Direkt verbunden als wäre man im Heimnetzwerk? Das hört sich schon mal gut an für meine Anforderungen! Und weit besser als die NAS direkt am Internet zu haben und X offene Ports am Router zu haben.


Im Grunde kann jeder Computer ein VPN-Server werden aber am leichtesten tut ihr Euch, wenn ihr die VPN-Funktion Eures Routers einsetzt. Also bspw. Fritzbox, Speedport, Easybox,…


In meinem Fall reicht mir der VPN-Server auf meiner Easybox aus, um der Sicherheit Genüge zu tun.


(optional) Profi-Tipp:

Leider muss ich gestehen, dass die Easybox 904 keine sehr aktuelle OpenVPN Version hat (2.3.6). Das hat zur Folge, dass es ein paar kleine Sicherheitsbedenken gibt. Einmal die sogenannte „COMPRESSION“ für Datenpakete und andererseits die „SWEET32“-Attacke. Zum Glück sind beide Schwachstellen nur selten wirklich praktikabel für Angreifer. Ich möchte behaupten, dass man das verschmerzen kann. Allerdings spricht das eigentlich gegen den Grundgedanken „VPN Verbindungen sind sicher“.

Lösung dafür wäre eine Firmware auf Basis von OpenWRT auf die Easybox 904 aufzuspielen. Mehr Infos zu den Sicherheitslücken und eigener Firmware: https://forum.vodafone.de/t5/I…rsion/m-p/2620237#M178167

Es gibt aber noch einige mehr Tutorials im Internet für die eigene Firmware.


(optional) Profi-Tipp #2:

Wer noch etwas mehr Sicherheit möchte der kann z.B. einen Raspberry Pi einsetzen und mittels PiVPN die Verbindung bereitstellen sowie über eine Freigabe auf das NAS gehen. Möglich wäre auch die Verwendung von pfSense als Firewall-Lösung. Bei diesem Thema bin ich aber überfragt und ich weiß auch nicht, ob pfSense auf einem Pi überhaupt läuft.

4.      DynDNS einrichten für die DSL-Verbindung

Da mich mein Provider Vodafone regelmäßig vom Netz trennt und ggf. eine neue IPv4 WAN Adresse zuteilt benötige ich einen dynamischen DNS damit dieses Problem der ständig wechselnden IP-Adresse umgangen werden kann. Ich fange damit in der Anleitung an, da die Einrichtung bei selfHOST durch den Support geschehen muss. selfHOST deshalb, weil meine Easybox das als Anbieter unterstützt und selfHOST den Dienst kostenlos zur Verfügung stellt!


Öffnet https://selfhost.de und registriert Euch für selfHOST free:

1 selfhost.png


SUBDOMAIN free (0.-€ pro Monat)


Wählt einen Namen der Euch gefällt und füllt das Formular aus. Anschließend warten bis selfHOST die Domain angelegt hat. Währenddessen kann man sich anderen Dingen widmen…

5.      Einrichtung des Routers Vodafone Easybox 904 xDSL

Loggt Euch mit dem Browser und dem Passwort auf dem Webinterface Eurer Easybox ein. Soweit ich weiß ist die Standardadresse 192.168.2.1 und das Passwort wisst ihr selbst oder steht auf der Easybox hinten drauf.


Folgende Klicks sind nötig:

  • Wechsel auf den Expertenmodus rechts oben
  • Reiter Internet öffnen
  • VPN im Menü anklicken
  • Folgende Einstellungen machen bzw. s. Screenshot:

Empfohlen ist das UDP Protokoll (etwas schneller als TCP). Der Standard-Port (1194) kann so belassen werden.


Routed als Verbindungsmethode


Als Subnetz ein beliebiges Subnetz vergeben, welches noch nicht genutzt wird (Bsp. 192.168.4.0). Das ist dann das zukünftige VPN-Subnetz für verbundene Geräte.


Bestätigen klicken und warten. Schon habt ihr einen VPN-Server :)


2 VPN.png

6.      Zertifikate zur Authentifizierung erstellen

Damit der VPN-Server weiß, ob er den Zugriff gewähren darf sind Zertifikate nötig (beim iPhone nennt sich das „Profile“).


Ganz wichtig: die Zertifikate die ihr gleich herunterladet sind die Schlüssel, um in Euer Heimnetz zu kommen. Bitte geht also damit sehr sorgfältig um und falls Dritte darauf Zugriff hatten macht ihr Euch bitte neue Zertifikate!


An der Easybox geht die Einrichtung zum Glück recht leicht. Klickt dazu:

  • Reiter Einstellungen
  • Im Menü auf Zertifikate
  • Ganz unten VPN-Client Zertifikat erstellen mit dem Klick auf das +
  • Hinweis: bitte ein sehr sicheres Passwort und einen beliebigen Namen wählen! Das Passwort benötigt ihr später zum Verbinden mit den Geräten!
  • Anschließend herunterladen (.zip Datei)
  • Außerdem auf der Zertifikat Seite noch das Root-CA Zertifikat herunterladen (.crt Datei)

3 Zertifikat anlegen.png


Sollte dann wie folgt aussehen für den Download der .zip Datei:


3 Zertifikat fertig 2.png



Nun noch das Root-CA Zertifikat (rootca.crt) herunterladen:


3 Zertifikat runterladen 3.png


7.      DynDNS in Router hinterlegen

Hat selfHOST schon die Subdomain angelegt für Euch?

  • Zurück auf den Reiter Internet bei der Easybox
  • Im Menü auf DNS & DDNS und die Zugangsdaten eintragen

Anmerkung: ich habe Vodafone als Provider aber manuell die Public-DNS Server von Google eingetragen, um ggf. DNS-Sperren/Zensur zu umgehen. Die Einstellung müsst ihr an dieser Stelle also nicht übernehmen. PS. Mir kommt es so vor, als seien die Google DNS auch etwas schneller als die von Vodafone.


Für Euch ist der rote Kasten interessant:

4 DynDNS.png



Die Daten dazu findet man auf selfHOST.de, wenn man eingeloggt ist unter „DynDNS Accounte


4 DynDNS 2.png


Und dann unter „Details

4 DynDNS 3.png


Tragt die Daten unter Details in die Eure Easybox ein und klickt auf „Bestätigen“.

8.      Verbindung mit Computer unter Windows 10 herstellen

Damit ihr Euch nun mit dem eingerichteten VPN unter Windows 10 verbinden könnt benötigt ihr einen VPN-Client. Dazu empfehle ich den OpenVPN Client oder als Alternative den VPN-Client von SecurePoint. Bitte hier die neueste Version runterladen und installieren:

https://openvpn.net/community-downloads/


Ich habe die Version 2.5.2 installiert und ich unterstelle Euch jetzt einfach mal, dass ihr selbst wisst wie man den Client installiert :)

Wenn die Installation durchgelaufen ist benötigt ihr nun die .zip Datei, welche ihr von der Easybox heruntergeladen habt:

5 zip Datei.png


Beide Dateien (.OVPN & .P12) in folgenden Ordner entpacken. Ordner mit Explorer öffnen: C:\Users\***Dein Benutzer***\OpenVPN\config


5 entpackt 2.png


Ich habe alle Dateien die dort drin lagen gelöscht, da ich diese nicht benötige. Also bei mir liegen lediglich die beiden .OVPN und .P12 Dateien drin. Also so:


Bevor ihr Euch nun verbindet prüft bitte nochmal den Inhalt der .OVPN Datei. Öffnet die .OVPN daher entweder mit dem Editor oder einem anderen Tool wie z.B. NotePad++. Damit es klappt musste ich eine Zeile einfügen. Wie gesagt ist die OpenVPN Version der Easybox nicht mehr die neueste und wenn der neueste Client (2.5.2) mit dem VPN-Server der Easybox (2.3.6) zusammenarbeiten soll, fügt man „cipher BF-CBC“ in die Datei ein:



Speichert die Datei.


Wichtig: Um nun das Ganze zu testen dürft ihr Euch nicht im WLAN bei Euch zuhause sein! Vielleicht könnt ihr die Verbindung bei jemanden testen oder ihr macht schnell einen persönlichen Hotspot über das iPhone. Wenn ihr dann über das iPhone per WLAN verbunden seid könnt ihr den Test angehen.


Nun könnt ihr den OpenVPN Client starten. Es sollte in der Taskleiste rechts unten ein kleines Logo mit einem Computer und Schloss zu sehen sein. Macht einen Rechtsklick drauf und wählt „Verbinden“. Solltet ihr mehrere .OVPN Dateien im Verzeichnis haben müsstet ihr hier den Namen auswählen und anschließend „Verbinden“ auswählen. Es sollte auch eine Abfrage zum Passwort kommen, welches ihr beim Herunterladen an der Easybox vergeben habt!


5 verbinden 3.png


Hat die Verbindung geklappt? Falls ja, kommt die Meldung über eine zugeteilte IP im Subnetz, welches ihr als das VPN-Subnetz an der Easybox definiert habt (z.B. 192.168.4.***). Außerdem leuchtet das Computer Logo in der Taskleiste nun grün!

9.      iOS 14 iPhone Verbindung einrichten

Damit ihr Euch mit dem iPhone verbinden könnt benötigt ihr zunächst den PC und die drei Zertifikatdateien:

NAS.OVPN, NAS.P12 (beides aus der .zip) und die rootca.crt (Root-CA Zertifikat von der Easybox)


Öffnet die .OVPN daher entweder mit dem Editor oder einem anderen Tool wie z.B. NotePad++. Öffnet außerdem die rootca.crt mit dem Editor.

Ihr müsst den Inhalt aus der rootca.crt in die .OVPN Datei einfügen und zwar mit <ca> und am Ende mit </ca>.


So sollte der Inhalt der .OVPN dann aussehen:



Speichert die .OVPN und löscht die rootca.crt vom PC.


Benennt nun noch die NAS.P12 Datei in NAS.OVPN12 um. Ich bin mir nicht sicher, ob man dieses Umbenennen noch benötigt. Ich denke, dass man sich das sparen kann, da das iPhone _mittlerweile_ mit .P12 Dateien umgehen kann. Habe die Umbenennung trotzdem gemacht.

Schickt nun beide Dateien .OVPN und .OVPN12 per Mail an Euch selbst.


Jetzt nehmt ihr Euer iPhone in die Hand und installiert erstmal den OpenVPN Client aus dem Appstore:

https://apps.apple.com/de/app/openvpn-connect/id590379981


Öffnet nun Eure Mail App und wählt die Mail mit den beiden Dateien an:

6 1.png


Öffnet bitte erstmal die NAS.OVPN12 und wählt die App OpenVPN aus.

6 2.png


Nun sollte sich die OpenVPN Connect App öffnen zum importieren des Zertifikats. Klickt bitte auf „Add“. Dazu müsst ihr auch das Passwort eingeben, welches ihr beim Herunterladen an der Easybox vergeben habt.

6 3.png


Anschließend geht ihr zurück zur Mail App und importiert die NAS.OVPN auch noch. Klickt wiederum auf „Add“ und anschließend auf Allow/Erlauben, um ein neues VPN Profil anzulegen im iOS. Dazu ist auch Eure Authentifizierung nötig (Fingerabdruck, PIN-Code).

6 4.png

So sollte es dann aussehen mit dem entsprechenden Zertifikat:

6 5.png


Auf der Startseite von OpenVPN könnt ihr nun den Switch umlegen, um Euch mit dem VPN zu verbinden. Bitte beachtet, dass ihr für diese Aktion nicht in Eurem WLAN hängt, sondern mobil (3G/4G) verbunden seid.

6 6.png


So sollte es aussehen, wenn ihr verbunden seid!


Ganz wichtig: die Zertifikate die ihr dafür verwendet habt sind die Schlüssel, um in Euer Heimnetz zu kommen. Bitte löscht die Dateien wieder am PC die ihr gerade bearbeitet habt für das iPhone, in der Mail App und im Papierkorb!


Bei Fehlern, Updates oder Ideen meldet Euch bitte bei mir. Ist ja schließlich meine erste Anleitung, daher möchte ich Fehler nicht ausschließen ;)



LG

Kommentare 2

  • Habe nach dem ersten Buchstaben den Text samt Garnitur bis zum Ende verschlingen müssen.

    Herzlichen Dank!

  • Cool das du hier deine Erfahrungen in komprimierter Form als Anleitung für andere hinterlegt!