NAS Zugriff von Außerhalb

    Hallo Zusammen,


    ich tue mir momentan etwas schwer bei den Einstellungen der NAS für einen Zugriff von Extern und wollte mal sehen wer mir hier qualitativ helfen kann. Ich scheitere zur Zeit etwas an dem Verständnis wie ich meine NAS organisieren muss damit ich später einen gezielten Zugriff von außen zu lassen kann.


    Was ich gerne hätte ist, das ich von außen mit einem definierten Benutzer und einem Passwort z.B. den FileManager verwenden kann und hier aber nur bestimmte Ordner oder Daten sehen. Also eine gezielte Auswahl der Informationen von meinen Platten. Auch ein FTP Zugang wäre z.B. denkbar. Was ich gerne wissen würde ist, wie sieht den der BestPractice ansazt aus wenn man so etwas mit der Nass realisieren möchte.


    User
    Gruppe
    Ordner
    Portfreigabe
    Diverse weitere Einstellungen in der NAS


    vielen Dank schon mal im Vorraus für die Unterstützung :)

    Im prinzip musst du jedem Benutzer die Rechte für den Ordner bzw. die Ordner zuweisen die Sie sehen sollen. (R/W | R)


    Porst musst du die 443 oder die 8080 freigeben (TCP), für FTP dann natürlich auch auch die 21


    Zusätzlich würde ich eine dyndns oder bei no-ip eine dynamische DNS registieren.

    Hi JeffersonB,
    danke für das kurze Feedback. Ich habe jetzt mal folgendes gemacht:
    Eine eigene Gruppe angelegt GR_XY
    Einen User angelegt user_abc
    FTP Dienst aktiviert
    Die Gruppe GR_XY "private Freigabe" auf den Ordner "Public" gegeben.


    Was ich jetzt noch nicht gemacht habe ist unter
    Zugriffskontrolle --> Freigabe Ordner --> Public
    die Gruppe bzw. den User hinzugefügt. Ehrlich gesagt bin ich mir auch nicht sicher ob ich das muss.


    Gleichzeitig habe ich die "Erweitere Ordnerzugriffsrechte aktivieren" unter den "Erweiterete Optionen" da dies in der Hilfe so angegeben ist. Jedoch bin ich mir nicht sicher ob das wirklich notwendig ist.


    Soweit der Stand. Vielleicht hast du (gerne auch jeder andere) hierzu einige Kommentare die mir das Leben erleichtern. Und vor allem was muss und was nicht.


    PS: Gibt es (bestimmt gibt es das) eine Möglichkeit online den Zugriff von außen zu simulieren um seine Einstellungen zu testen?
    Ich kenne nur das http://www.mxtoolbox.com/
    Merci

    Einmal editiert, zuletzt von GorillaBD () aus folgendem Grund: Volltextzitat entfernt!

    Hallo, der beste Ansatz kann nur der sicherste sein. Insofern sind alle mittels FTP und Portfreigaben erstellte Verbindungen abzulehnen und statt dessen eine VPN-Verbindung zu verwenden. Wie Du das realisieren kannst, hängt von Deinem verwendeten Router ab bzw Du verwendest den VPN-Server des NAS.

    Danke für das Feedback. Aber das ist nicht ganz das was ich wollte.
    Ich möchte ja Inhalte für andere möglichst einfach zugänglich machen. Einen VPN Tunnel aufzubauen ist da nicht das was mir vorschwebt.

    Hallo DannyP,


    evtl. kann ich dir weiterhelfen.
    Falls du zuviel in deinem NAS herumgespielt hast, empfehle ich dir vorerst diesen auf Werkseinstellungen zurückzusetzen.


    Mir ist bisher leider auch dein NAS-Model nicht bekannt.
    Selber besitze ich die TS119 wodurch ich dir nur dessen Anleitung für dein Problem beschreiben kann.


    - Logge dich auf deine Administratorseite an.


    - Gehe erst einmal auf Systemadministration>Sicherheit und schalte falls AN den Netzwerkzugangsschutz aus. Dieser blockiert nämlich gern deine IP bei Falschanmeldung besonders beim Zugriff über Windows.
    !!!Wichtig!!! Diesen Netzwerkzugangsschutz solltest du bei erfolgreicher Fertigstellung deines NAS aus Sicherheitsgründen unbedingt wieder einschalten.


    - Gehe dann auf Zugriffskontrolle>Benutzer. Der Benutzer "admin" sollte ja vorhanden sein. Wenn du nun für den Benutzer admin die "privaten Netzwerkfreigaben" anklickst, kannst du auswählen auf welche Freigabeordner der admin zugreifen darf. RO=nur lesen, RW=lesen/schreiben, Deny=Zugriffsverweigerung.
    Wähle für den Admin am besten für jeden Ordner RW aus. Willst ja als Admin schließlich alle Rechte!


    - Mit der aktuellen Firmware von meiner NAS TS119 habe ich den "MyCloudNAS Dienst" erhalten. Dieser ermöglicht eine schnelle und einfache Einrichtung für den Zugriff von Außen auf deinen NAS. Falls dieser bei dir auch vorhanden ist, starte den "MyCloudNAS-Assistent" und befolge die Anweisungen. Wichtig dabei ist das du dabei die richtigen Ports nach Außen freigibst. Die wichtigsten hierbei wären "Webadministration" Standardmäßig Port 8080.
    Beachte bitte auch, dass falls du deinen NAS an einem Router angeschlossen hast, musst du natürlich auch in deinem Router diesen Port 8080 nach Außen freigeben. Sollte bei deinem Router die Möglichkeit bestehen die Sicherheitseinstellungen per UPnP zu ändern, wie es bei einer FritzBox z.B. der Fall ist, kann dein NAS diesen Port 8080 automatisch in deinem Router freigeben.


    Damit wärst du auch schon fertig und kannst auf deinen NAS von außen zugreifen.
    Natürlich nur mit dem richtigen von dir ausgewähltem Link wie z.B. http://wasguckstdu.mycloudnas.com:8080


    Falls dir meine Anleitung nicht weitergeholfen haben sollte, da du andere Geräte verwendest oder andere Firmware benutzt, antworte mir einfach und nenne deine Modelle bezüglich NAS und Router.


    Beste Grüße
    Draganok

    Einmal editiert, zuletzt von Draganok ()

    Zitat von "Draganok"

    - Gehe erst einmal auf Systemadministration>Sicherheit und schalte falls AN den Netzwerkzugangsschutz aus. Dieser blockiert nämlich gern deine IP bei Falschanmeldung besonders beim Zugriff über Windows.


    Weshalb sollte man auf dieses Sicherheits-Feature verzichten, gerade wenn man das NAS von außerhalb erreichbar macht?
    Richtig konfiguriert wird kein Zugriff über Windows blockiert.

    Zitat von "Draganok"

    Wichtig dabei ist das du dabei die richtigen Ports nach Außen freigibst. Die wichtigsten hierbei wären "Webadministration" Standardmäßig Port 8080.
    .....musst du natürlich auch in deinem Router diesen Port 8080 nach Außen freigeben.


    Warum verschickst Du nicht gleich Einladungen " My NAS is open, f..k me"?
    Bitte mal lesen, besonders Punkt 2.

    Zitat

    Weshalb sollte man auf dieses Sicherheits-Feature verzichten, gerade wenn man das NAS von außerhalb erreichbar macht?
    Richtig konfiguriert wird kein Zugriff über Windows blockiert.


    Du hast es bereits geschrieben: "richtig konfiguriert"
    DannyP große Probleme mit seiner "richtigen Konfiguration", wie er auch geschrieben hat.
    Ausserdem soll er ja dieses Sicherheits-Feature für die anfangs Interne Konfiguration ausschalten um sich selbst nicht zu blocken.
    Es ist doch bekannt welche Umstände auftreten, wenn man nur einen Rechner hat, und dieser mit seiner IP in der Blacklist des NAS liegt.
    Für Laien wie anscheinend DannyP einer ist, wird er solch ein Problem nicht schnell lösen können.


    Deshalb mein Tipp für dieses Sicherheits-Feature.

    Einmal editiert, zuletzt von Draganok ()

    Zitat von "biboca"

    Warum verschickst Du nicht gleich Einladungen " My NAS is open, f..k me"?
    Bitte mal lesen, besonders Punkt 2.


    Biboca, DannyP hat doch folgendes vor:


    Zitat von "DannyP"

    Was ich gerne hätte ist, das ich von außen mit einem definierten Benutzer und einem Passwort z.B. den FileManager verwenden kann und hier aber nur bestimmte Ordner oder Daten sehen. Also eine gezielte Auswahl der Informationen von meinen Platten.


    Die durch Benutzer und Passwort geschützte Weboberfläche des NAS, auf der sich auch der "FileManager" befindet (derselbe Port) ist von Außen "nur" zugänglich, wenn das NAS sowie der Router auch den Port für Außen freigegeben haben.


    OK, ich bin vielleicht kein NAS-Spezialist. Doch bevor DannyP keine Lösung zu seinem Problem von Spezialisten bekommt, antworte ich ihm lieber.


    Falls du Biboca eine Möglichkeit gefunden haben solltest, auf den FileManager extern zuzugreifen, ohne den Port des Web/Admininterface für extern freizugeben, wäre es sehr nett von dir mir bzw. uns dies mitzuteilen.


    Schließlich kann ich selber auf meiner TS119 in den Einstellungen den Port des FileManagers nicht ändern. Dieser liegt automatisch auf dem selben Port wie das Web/Admininterface.

    Einmal editiert, zuletzt von Draganok ()

    Zitat von "Draganok"

    Deshalb mein Tipp für dieses Sicherheits-Feature.


    Dann solltest du vielleicht erwähnen, dass diese Funktion nur vorübergehend auszuschalten ist.
    Der Laie könnte meinen, dass die Einstellung die größten Probleme macht und besser nicht zu verwenden ist.

    Zitat von "DannyP"

    ...wie sieht den der BestPractice ansazt aus wenn man so etwas mit der Nass realisieren möchte.


    Das war die Frage, auf die sich meine Antwort bezog. Erst die Verbindungsart klären und dann die notwendigen Einstellungen. Es spielt überhaupt keine Rolle, ob ich einen Lösungsansatz für den Filemanager habe, es gibt sicherheitstechnische Grundsätze, die man befolgen sollte und danach seine Vorstellungen umsetzt und nicht umgekehrt. Man muss das aber nicht, wir sind alle erwachsen. Für mich ist der WebFileManager ein Werkzeug für den Admin (deshalb Port 8080?) und nicht für externe Benutzer, daher bekommt niemand den Zugriff. Da muss man sich halt was anderes einfallen lassen.
    Eine Möglichkeit wäre ein externer Hoster.


    Zitat von "Draganok"

    Falls du es noch nicht gelesen haben solltest


    Zitat von "Draganok"

    Womöglich ist es dir ja nicht bekannt


    Zitat von "Draganok"

    Biboca, du solltest erst lesen was DannyP überhaupt will.


    Draganok, bitte verkneiff Dir doch mal derartige zweideutige Äusserungen, auch andere können lesen und denken.

    Ich weiss nicht, warum ihr euch das Leben so schwer macht. Biboca hat schon recht, was das Thema Sicherheit angeht. Ich persönlich würde diese Ports nach aussen auch nicht aufmachen. Die sicherste Lösung heißt nunmal VPN. Allerdings bietet Qnap eine Kooperation mit TappIn an, welches einen einfachen und sicheren Zugriff bietet. Dazu gibt es ein QPKG und jeglich erdenkliche Möglichkeit der Zugriffe (Apps, clients für Windows und Mac oder einfach über den Browser).


    Bitte mal einlesen: http://www.tappin.com


    Eine Lizenz gibt es für Qnap Kunden umsonst, was auch ausreicht.

    Zitat von "biboca"

    Für mich ist der WebFileManager ein Werkzeug für den Admin (deshalb Port 8080?) und nicht für externe Benutzer, daher bekommt niemand den Zugriff. Da muss man sich halt was anderes einfallen lassen.
    Eine Möglichkeit wäre ein externer Hoster.


    Ist es nicht der Fall, dass wenn ich als Admin von Extern auf meine Daten via "Filemanager" zugreifen möchte oder administrative Änderungen im NAS durchführen möchte/muss, der Port für extern freigegeben werden muss?



    Zitat von "biboca"

    Draganok, bitte verkneiff Dir doch mal derartige zweideutige Äusserungen, auch andere können lesen und denken.


    Meine zweideutigen Äusserungen habe ich bereits geändert und bitte alle betroffenen vielmals um Verzeihung.

    Zitat von "Draganok"


    Ist es nicht der Fall, dass wenn ich als Admin von Extern auf meine Daten via "Filemanager" zugreifen möchte oder administrative Änderungen im NAS durchführen möchte/muss, der Port für extern freigegeben werden muss?


    Wenn du direkt und ohne Umwege drauf zugreifen möchtest ist das natürlich richtig.
    Wenn du dich zunächst per VPN mit deinem Netzwerk verbindest, ist das nicht nötig (mal angenommen VPN läuft über den Router). Nachteil ist eben, dass jeder Client-PC für den Zugang konfiguriert werden muss.

    Zitat von "Draganok"

    Ist es nicht der Fall, dass der Port für extern freigegeben werden muss?


    Natürlich ist das der Fall, nur man muss sich dabei vor Augen halten, dass damit Dein Netzwerk offen steht und Du damit ein gehöriges Risiko eingehst. Besser und nach der besten Art wurde ja gefragt, ist eine VPN-Verbindung. Nun bin ich bestimmt kein Paranoiker, aber ein paar Grundsätze sollte man sich schon zulegen und in meinem Paralleluniversum bedeutet das nun mal nur VPN. Andere dürfen das natürlich anders sehen. Machbar ist vieles.

    Hallöle,


    bevor Ihr Euch hier nich an die Gurgel springt... ;)


    Also, die Fragestellung des Themenstarters zugrunde legend, würde ich eine Portweiterleitung eines belibigen Highports auf 8080 des NAS machen.
    Allerdings sind sich hier viele einig, dass diese Methode nicht zu den sichersten gehört!
    Wer es sicher haben möchte, nimmt zwangsläufig Einschränkungen im Komfort hin, wer darauf nicht verzichten möchte sucht halt nach anderen Wegen!


    Warum auch immer der Zugriff auf den Webfilemanager gewünscht wird, ist es doch ganz alleine sein Ding!



    Grüße
    Jody


    PS.: ich würde es mit VPN und ggf. FTP über die VPN-Verbindung lösen ;)

    Hallo zusammen,


    ich muss schon sagen, ihr habt mich mit eurem VPN zu einem richtigen VPN-Süchtling gemacht. :mrgreen:


    Somit habe ich gleich eine VPN-Verbindung an meinem Router freigeschalten.
    Mein Smartphone Galaxy S3 baut nun von außen eine VPN-Verbindung zum Router auf :idea: , wodurch ich mit meinen Apps wie Qmanager, Qfile(Filemanager) oder anderen sicher zugreifen kann.


    :idea: Ausserdem kann ich nun per VPN von außen mit meinem Smartphone jederzeit und überall surfen ohne ausspioniert zu werden.


    Vielen Dank an alle User die VPN angesprochen und mich nun zum Süchtling gemacht haben. :thumb:


    P.S.: Für alle FritzBox Benutzer! Mit der aktuellen Firmware OS05.50 ist eine VPN-Verbindung auch für das sichere surfen (bzw. anfragen zu öffentlichen IP´s) möglich!

    Einmal editiert, zuletzt von Draganok ()

    HI,


    Du solltest nicht vergessen die eventuell eingerichteten Portweiterleitungen wieder zu deaktivieren...


    Grüße
    Jody