Tip für DDNS Konfiguration

    Hallo zusammen,


    ich bin grad fleisig dabei, mein NAS ordentlich gebrauchsfähig zu machen. Dazu gehört für mich der Zugriff von außen.


    Ich hab ne Easybox 803A von Vodafone, daran hängend einen 16 Port Switch, 1 GB, mit Sternverteilung im ganzen Haus. An einer Leitung direkt am Switch hängt ne Qnap TS-421 auf LAN Port 1. LAN-Port 2 wird akruell nicht genutzt.


    Firmware ist die 4.1.1, RAID 5 mit 4 x 3 TB WD Red.
    Auf das NAS greife ich mit Smartphones, Tablet (Android) sowie mit Windows Rechnern über http, bzw. über Apps zu.


    DDNS nutze ich bei selfhost. DMZ Weiterleitung in der Easybox auf das NAS. Hintergrund, dass ich nicht die Easy Box für DDNS nehme ist, dass die dort voreingestellten DDNS Anbieter aufgekauft wurden.


    Bei meiner Konfiguration kommen mir einige Sicherheitbedenken:


    1. Der Hostname des DDNS Anbieters ist aus meiner Sicht durch einen Hacker leicht herauszufinden, oder? Dann käme man direkt zu mir auf das NAS, welches natürlich durch ordentliche Passwörter gesichert ist. Gibt es hier Richtlinien, die ich anwenden kann, dass dieser Zugang sicher ist, ich aber trotzdem von außerhalb auf das NAS komme? Wie richte ich bespw. ein VPN ein?


    2. Ich habe weitere Dinge im Netz, die ich fernsteuern möchte. Nämlich ein Bussystem. Dieses erreiche ich innerhalb meines Netzes über http. Da es auf einem Linux läuft, steuere ich es über den integrierten Webserver. Einstellungen dort für ein DDNS sind nicht vorhanden. Wie schaffe ich es, dass ich über http meinen bestehenden DDNS Anbieter eine weitere interne IP Adresse gebe, damit ich auf das Bussystem geroutet werde und nicht auf das NAS?


    Freu mich auf ein paar Tips

    Zitat von "oli_p1974"

    DMZ Weiterleitung in der Easybox auf das NAS


    Das ist nicht sehr Sinnvoll, damit ist das NAS, abgesehen von deinen sicheren Passwörtern, schutzlos ausgeliefert.
    Da würde wirklich die Ports weiterleiten, die du für das Internet wirklich benötigst.
    Die Shellshock-Malware ist das beste Beispiel.


    Zitat von "oli_p1974"

    Der Hostname des DDNS Anbieters ist aus meiner Sicht durch einen Hacker leicht herauszufinden, oder


    Dazu braucht es keinen Hacker.


    Zitat von "oli_p1974"

    Wie richte ich bespw. ein VPN ein?


    Besser auf dem Router ( wenn verfügbar) oder das OpenVPN auf dem NAS.


    Zitat von "oli_p1974"

    dass ich über http meinen bestehenden DDNS Anbieter eine weitere interne IP Adresse gebe


    Das DDNS wird auf die WAN-IP "verlinkt", nicht auf die interne IP-Adresse deines NAS.
    Daher macht es zusätzlich Sinn von der DMZ lebewohl zu sagen.

    Hey,


    vielen Dank für die ausführliche Antwort.


    Ich glaub, dass ich das mit dem Portforward irgendwie nicht kapiere. Wo komme ich denn hin, wenn ich meinen hostnamen von irgendwo in den Browser eingebe? Auf welchen Port? Und an welchen soll ich das weiterleiten? Ist es 8080 an 80?


    DMZ war so einfach und irgendwie verständlich.
    Trotzdem habe ich es direkt deaktiviert.


    Gruss

    Zitat von "oli_p1974"

    Auf welchen Port? Und an welchen soll ich das weiterleiten? Ist es 8080 an 80?


    Bei der Portweiterleitung gibst du nicht nur die Ports, sondern auch die Ziel-IP an, also mit bestimmten Ports (8080) erreichst du bestimmte Geräte (NAS).


    1.) Nur Dienste/Ports weiterleiten, die du wirklich benötigst.
    2.) Ports 1:1 weiterleiten = 8080 -> 8080, 80 -> 80, usw.


    3.) Zur Konfiguration (Port 8080) oder anderen privaten Zugriff möglichst über VPN.
    4.) Das NAS ist sicherheitstechnisch nicht als WebServer für das Internet geeignet.


    5.) Bei DMZ ist JEDER Port des NAS aus dem Internet erreichbar, ausgenommen Ports die der Router kurzfristig für den Zugriff LAN-Internet benötigt.
    Ohne eine zusätzliche Firewall zwischen Router und NAS nicht empfehlenswert.

    Ich raff einfach net welchen Port ich wofür brauche?
    Hiermit kann ich nichts anfangen http://www.qnap.com/i/de/qa/con_show.php?op=showone&cid=10


    Und hinzu kommt die Easy Box, dieses blöde Ding. Ich such jetzt schon seit Stunden nach einer vernünftigen Anleitung (was mir auch mangels Wissen vielleicht schwer fällt).


    Angenommen ich würde in der MAC Filtertabelle des WLAN Routers nur unsere Devices eintragen, würde das als Sicherheitsvorkehrung dienen?


    Ich hätte dann zwar eine Einschränkung, aber könnte zumindest mit dem Tablet von irgendow auf das NAS zugreifen?


    Vielen Dank in jedem Fall für die HILFE!

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Unnötiges Volltextzitat entfernt! - siehe Forenregeln!

    Welche Dienste möchtest du aus dem Internet nutzen?
    Ich kenne nur den MAC-Filter, der den Zugang innerhalb des LANs steuert,
    aber ob es auch den Zugriff aus dem Internet kontrolliert, kann ich nicht sagen.

    Ich würde gerne folgendes nutzen:


    -- Photostation
    -- Filestation
    -- Multimedia (Musik)
    -- Adminstration


    Problematisch sehe ich gerade die Easy Box....


    Wobei ich auch keine Ahnung habe, was ich im DSL Router freigeben soll. Webserver, FTP, Telnet, NNTP, SNMP......


    Update: Ich bin ein Stück weitergekommen und habe den Fernzugriff auf die Easybox hinbekommen. Ein Einloggen ist jedoch vom WAN aus nicht möglich.
    Zudem lande ich auf der Easybox, obwohl ich über Port 80 die NAS-IP freigeschaltet habe.
    Irgendwas läuft da jetzt noch schief.


    BTW: Ich habe sogar den Dyddns Account gekauft, damit ich das irgendiwe hinbekomme....

    Zitat von "oli_p1974"

    Ich bin ein Stück weitergekommen und habe den Fernzugriff auf die Easybox hinbekommen.


    Die Fernwartung aus dem Internet würde ich nicht aktivieren, zudem wenn diese über den Port 80 (http) geht.


    Der geteilte Link zeigt schon alle Dienste und Ports des NAS an,
    für Dienste wie den WebUI, Web- und FTP-Server werden die Ports direkt in der WebGUI angezeigt,
    da diese veränderbar sind, im Gegensatz zu anderen in der Liste.


    Zitat von "oli_p1974"

    -- Photostation
    -- Filestation
    -- Multimedia (Musik)
    -- Adminstration


    Dazu benötigst du eigentlich nur den Port 8080 (http, Intern) bzw. 8081 (https, extern), dabei würde ich den Port 8081 für die externe verschlüsselte (https) einen anderen Port (zB. 38080) wählen und im Router freigeben.
    Da es jedoch auch die WebGUI (Administration) betrifft, würde ich dazu ein sicheres Passwort (lang und mit Groß/Kleinschreibung, Zahlen) verwenden.


    Wenn der Zugang nur für dich alleine gedacht ist, solltest du dir Gedanken über VPN machen.

    Hallo Eraser,


    vielen Dank für Deine Hilfestellung.


    Ich bin endlich einen großen Schritt voran gekommen und kann meine Technik so nutzen, wie ich das immer wollte.


    Gruss, Oliver.