Sichere Einstellungen für Fernzugriff

    Hey,


    habe jetzt seit fast 2 Jahren mein NAS (ts-412 mit aktueller FW). Bisher habe ich es nur im lokalen Netz benutzt, also als DLNA und Netzwerklaufwerk. Dazu habe ich nur die lokalen IP's (192.168.1.0-192.168.1.255) zugelassen. Zugriff nur per SSH und FTP, webserver, vpn etc. habe ich alles ausgeschaltet. Jetzt zu meiner Frage. Habe neues Internet mit halbwegs akzeptabelem upload (1 MB/s) ohne dummes DS-Lite (also noch schön per ipv4) und wollte nun auch von ausserhalb auf meine Daten zugreifen. Klappt auch alles ganz gut wenn ich an meinem Router Port 443 freischalte und alle IP's zulasse. Das doofe ist aber, dass ich mich als admin anmelden kann und auch Einstellungen von außen ändern kann... Also wenn ich über internet meine ip eingebe, dann komme ich ganz normal auf die Benutzeroberfläche.


    Was ich gerne haben würde:
    einen benutzer, der NUR Dateien lesen kann bzw. auch in EINEN Ordner Schreibrechte hat. KEINEN Zugriff auf Konfiguration (also admin nur lokal). Und mach ich das besser über ssh also port 443 oder FTP (21)? Wozu ist FTP eigentlich gut? Macht das eher sinn? Möchte mein NAS so sicher wie möglich haben... Und ist es problematisch wenn ich den Port im Router öffne bzw. weiterleite? Ist es besser wenn ich nicht den standartport 443 sondern besser xyz benutze? Und wird in Deutschland nur ein bestimmter IP-Bereich vergeben, oder ist das reiner zufall? dann könnte ich ja nur den Bereich von DE zulassen, wär ja schon mal ein bisschen sicherer...



    1000 Dank für die Antworten.


    vielen Dank schon mal! :D

    Am besten ist eine VPN-Verbindung, denn jeder offene Port stellt ein Sicherheitsrisiko dar. Leider hast Du nichts zu Deinem Router geschrieben, sodass man da jetzt nichts weiter sagen kann.
    VPN auf das NAS wäre auch möglich, nur da ist auch wieder ein Port zu öffnen.
    Die Sache mit dem Benutzer ist ganz einfach. Einen erstellen und am WebIF anmelden, der hat dann nur die Rechte, die für ihn gesetzt sind.

    Ah, verstehe... Ja, hab leider nur einen blöden O2 Router. Das einzige was der kann ist Port-weiterleiten... Solche Zwangsrouter sollten verboten werden... Die geben ja leider nicht mal die Verbindungsdaten frei, also leider nichts mit fritzbox etc. :x :( . Obwohl man die glaube ich irgendwie aus der log-datei von dem Router auslesen kann... muss ich mal versuchen...
    Das mit dem Benutzer habe ich schon verstanden, aber dann kann ich mich doch trotzdem per admin anmelden, bzw. mit anderen Benutzern. Also gibt es eine Möglichkeit adminzugriff über das Internet generell zu verbieten? bsp admin/benutzer xyz nur lokale ip's... oder macht das eh keinen sinn, weil per vpn dann alle ips lokal wären?! und warum muss man per vpn eigentlich keinen port freimachen?

    Zitat von "kuhziehhahn"

    ... Solche Zwangsrouter sollten verboten werden...


    Wer zwingt Dich denn, solch einen Anbieter zu nehmen? :roll:


    Zitat von "kuhziehhahn"

    und warum muss man per vpn eigentlich keinen port freimachen?


    Weil das der Router auf Anforderung des authentifizierten Client macht und anschliessend wieder schliesst.

    Sofern der Router Portweiterleitung unterstützt, kannst Du mit recht einfachen Mitteln einen grundlegenden VPN-Server nutzen.


    • Auf dem NAS (Anwendungen: VPN-Dienst) OpenVPN aktivieren...
    • Im Router Port 1194 UDP aufs Nas weiterleiten...
    • Benutzer berechtigen (Einstellungen im VPN-Dienst)...
    • cert-Datei herunterladen...
    • OpenVPN Client auf Client-PC installieren...
    • cert-Datei in Client-Verzeichnis (nach Anleitung) kopieren...
    • "Spaß" haben...


    Wenn alles geklappt hat, sollte der Server unter \\10.8.0.1 erreichbar sein.


    Viel Erfolg!