Frage zur Sicherheit und Ports der QNAP in Verbindung mit einer FritzBox 7490

    Hallo Leute,


    nachdem ich gerade dabei bin mir nach und nach die Einstellungen bzw. die Möglichkeiten der QNAP TS-131 anzueignen, stoße ich dabei doch immer wieder schnell an meine Grenzen da ich noch nicht so tief ind er Materie stecke.
    Ich hoffe ihr könnt mir weiterhelfen.


    Und ZWAR HABE ICH MIR EINGE Gedanken dazu gemacht wie ich am besten die QNAP vom Internet aus zugänglich mache.
    Bis jetzt habe ich es geschafft mir einen Fritzbox Benutzer anzulegen, mit dem ich eine VPN Verbindung von meinem Android Telefon zur Fritzbox aufbaue und mich danach mit der lokalen IP Adresse der Qnap über die App "Qfile" auf die QNAp verbinde.
    Das funktioniert soweit auch, allerdings muss ich mich regelmäßig die VPN Verbindung trennen und wieder neu aufbauen, da oft ansosnten die App nicht reagiert.
    Meine erste Frage wäre jetzt ob ich irgendwo einstellen kann das das Telefon dauerhaft, so lange bis ich auf "Trennen" drücke die VPN Verbindung aufrecht halten kann?
    Bei meinem Ipad verhält es sich so das ich die VPN Verbindung herstellen kann, er aber sich nicht mit der lokalen IP der QNAP verbindet und immer wieder möchte das ich eine neue Verbindungsmethode auswähle.
    Über den Browser am PC kann ich mich mit genau dem Benutzernamen und dem Passwort sofort Anmelden. Was mache ich falsch?


    Schalte ich auf der QNAP den "Cloud Link" ein, so kann ich mich auch sofort verbinden. Allerdings habe ich dabei bedenken, den ich habe ansich keine Lust das meine ganzen Daten irgendwann bei QNAP liegen, den dann hätte ich mir die Anschaffung einer eigenen auch sparen können.
    Oder ist dieser QNAP Cloud Link nur ein DDNS Dienst...? Ich meine ich hätte gelesen das wenn man den Dienst einschaltet alles Daten auch über die QNAP Server fließen..Ist das richtig?


    Ich hatte auch schon überlegt das ich eine Portweiterleitung auf der FritzBox einrichte und dann die App so einrichte das Sie sich direkt mit der QNAP befindet.
    Leider habe ich bis jetzt noch nicht heraus gefunden was ich genau an der Fritzbox einstellen muss das das funktioniert (Welche Ports, mit welchen Protokollen).


    Aber ansich finde ich die Variante mit dem VPN sicherer, da ein Portweiterleitung ja doch immer mit einem gewissen Risiko verbunden ist, oder sehe ich das falsch?
    Allerdings möchte ich auch das es stabil über längeren Zeit läuft und ich nicht alle 15 min die VPN Verbindung neu aufbauen muss um mich dann wieder neu zu verbinden.


    Außerdem weiß ich das mein Frau dazu von Anfang an schon keine Lust hat und ich die QNAP gleich wieder abbauen kann :)
    Nein im ernst, es wäre super toll wenn mir einer weiter helfen könnt, den ich habe da keine Erfahrung drin und würde es trotzdem gerne hinbekommen.
    Vielen dank dafür.


    PS. Gibt es vielleicht nicht so etwas wie dynamisches Port Öffnen, das heißt das die FritzBox nur dann den weitergeleiteten Port öffnet, wenn der richtige Benutzer samt Passwort stimmt?

    Kann es sein, dass dein Handy häufiger mal die Verbindung ins LAN oder so verliert und evtl. die verbindung kurze Zeit später wieder aufbaut?
    Denn ich muss mich immer nur dann neu Anmelden wenn genau das passiert.


    Zitat von t1h0eh

    Ich meine ich hätte gelesen das wenn man den Dienst einschaltet alles Daten auch über die QNAP Server fließen..Ist das richtig?

    Naja wenn du die Verbindung über deren Server aufbaust laufen logischer Weise auch die Daten darüber.
    Aber egal ob du einen externen DDNS anbieter nutzt oder QNAP über irgendjemanden werden die Daten letzten Endes laufen. Allerdings ist das ganze ja verschlüsselt wenn du VPN nutzt.


    Im QNAP kann man übrigens auch einstellen über welche IPs darauf zugegriffen werden darf. Wenn du dort nur die Privaten IPs freigibst und die fürs VPN, sollte das schon etwas sicherer sein.


    Ja ja immer sind am Ende die Frauen schuld tztz... ihr müsst sie einfach mal mehr für die Materie begeistern. Am besten ihr fangt schon bei den Kindern an. :)

    Hallo,


    vielen Dank für die schnelle Antwort...allerdings habe ich das mit dem DDNS anders verstanden..
    Ich habe das so verstanden das der Dienst lediglich meiner App die IP Adresse zurückgibt unter der meine FritzBox erreichbar ist.
    Erst danach fließen ja die eigentlichen Daten und der DDNS Dienst ist an dieser Stelle raus.
    Wie das bei dem QNAP Dienst ist weiß ich eben nicht...es wäre aber toll wenn mir einer sagen kann ob ich das so richtig verstanden habe.
    Wenn der QNAP "Cloudlink", ich glaube so heißt er auch nur ein DDNS Dienst ist wie z.B. MyFritz, dann wäre das ja okay.
    Mir geht es ansich nur darum das ich ungern meine ganzen Daten über irgendwelche Cloud Dienste laufen lassen möchte, den genau deswegen habe ich mir eine QNAP gekauft.
    Die andere Frage wäre wie das ist wenn ich die Ports in der FritzBox weiterleite...wäre da sicherer und wenn ja welche Ports muss ich dafür weiterleiten?
    Wäre über Hilfe sehr dankbar.

    Naja so wirklich raus ist er nicht, du bekommst ja eine adresse in der form blub.ddns.de


    Und nach dem du deine Website oder was auch immer immer darüber aufrufst müsstest du an der stelle ja auch jedes mal über den ddns server gehen oder nicht?


    Mir fällt aber auf, dass ich so im Detail nicht darüber nachgedacht habe wie das wirklich läuft.


    Natürlich wäre es theoretisch möglich, dass dir jedes mal erst deine ip Adresse zurück geliefert wird. Anderseits sind Websiten ja dann häufig doch so aufgebaut, dass da direkt die Unterseiten auch an der URL noch hinten dran hängen. blub.ddny.de/hallo.html



    Aus meiner sicht wärs eher denkbar, dass der ddns eben die URL durch eine IP ersetzt und dann den hinteren Teil wieder dran hängt und weiterleitet. Wie gesagt so im Detail habe ich noch nicht drüber nachgedacht


    Also was ich dir zu diesem Cloudlink sagen kann, als ich es mal ausprobiert hatte, ist mein NAS deutlich häufiger angegriffen worden. Als jetzt wo ich einen externen Anbieter nutze. Unterm Strich sogar logisch, die Angreifer, können da ja gezielt nach bestimmten Namen suchen und wissen direkt dass hinten dran ein QNAP hängt. Das macht Angriffe bestimmt um einiges Leichter, als wenn da alles mögliche hinten dran hängt. Und bei so einem Datenspeicher sind ja auch entsprechend mehr Daten zu erwarten als bei irgend einer popligen Website von z.b. einem Friseursalon

    Zitat von angelluck

    Also was ich dir zu diesem Cloudlink sagen kann, als ich es mal ausprobiert hatte, ist mein NAS deutlich häufiger angegriffen worden. Als jetzt wo ich einen externen Anbieter nutze. Unterm Strich sogar logisch, die Angreifer, können da ja gezielt nach bestimmten Namen suchen und wissen direkt dass hinten dran ein QNAP hängt. Das macht Angriffe bestimmt um einiges Leichter, als wenn da alles mögliche hinten dran hängt. Und bei so einem Datenspeicher sind ja auch entsprechend mehr Daten zu erwarten als bei irgend einer popligen Website von z.b. einem Friseursalon

    Ich glaube nicht, dass die Welt der 0815- Cracker, -Hacker und -Script Kiddies so spannend ist. Sie arbeiten wohl meistens mit Programmen/Scripten (die sie nicht selbst geschrieben haben) die IP-Adressräume nach offen Ports mit Standardanmeldungen durchscannen und ggf. bekannte Exploits anwenden. Von denen wird sich keiner hinsetzen und sich gezielt deinem Nas zuwenden, dafür sind die meisten zu doof und deine Daten für echte Profis zu uninteressant. Die interessieren sich nicht für Lieschens und Fritzchens Fotosammlung auf dem Qnap. Vielleicht sind externe DDNS Anbieter Qnap in Sachen Angriffsschutz einen Schritt voraus in dem sie Angreifer frühzeitig erkennen und deren IPs sperren.

    Das ist richtig, aber man darf nicht vergessen, dass nicht nur Privatleute ein NAS haben. Sondern eben auch Firmen. Außerdem scheint es in der Zeit der Kryptotrojaner nicht mehr so wichtig zu sein, dass die Daten für Angreifer interessant und wichtig sind. Es ist wichtig, dass sie dem Eigentümer wichtig sind.

    Hallo,


    vielen Dank für die Antworten...
    Aber wenn ich ganz ehrlich bin, bin ich jetzt noch kein Stück weiter.
    Meine Frage wäre ob der Myqnapcloud Link und dieser "myqnapcloud" in der Form meinqnapname.myqnapcloud.com nun in der Cloud sind oder nicht.
    Des weiteren wäre es sehr nett wenn mir einer sagen könnte wie ich die Portweiterleitung einrichten kann auf der FritzBox 7490 und vor allem welche Protokolle ich weiterleiten muss, den davon habe ich leider keine Ahnung.
    Welchen DDNS Dienst würdet ihr den Empfehlen?
    Was mir gerade einfällt...Wäre es möglich den myfritz Dienst dafür zu nutzen...das ist ja an sich schon ein DDNS Dienst, oder mache ich da gerade einen Denkfehler.
    Meine Konfiguration ist zur Zeit so das ich mit dem ANdroid /Iphone eine VPN Verbindung zu meiner Fritzbox erstelle und mich dann über die App Qfile mit der lokalen IP der NAS verbinde.
    Allerdings habe ich gestern Abend einmal probiert ein Foto via Link freizugeben, so das man sich es hätter anschauen und herunterladen können. Das hat aber leider nicht funktioniert. Immer wenn ich den versendeten Link angeklickt habe dann bin ich auf einen Timeout gelaufen.
    Ich vermute einmal das das daran liegt das man ja von außen bis dato nicht auf die QNAP kommt.
    Ist meine Vermutung richtig?
    Wäre toll wenn ihr mir weiterhelfen könnt.

    Einmal editiert, zuletzt von t1h0eh ()

    Was deine Ports angeht, Standardports für http ist 80 und für https 443, wenn du aber was anderes eingestellt hast wirst du das nutzen müssen. Da wir aber keine Glaskugel haben die uns sagt was du eingestellt hast oder nicht eingestellt hast, können wir dir da auch keine konkrete Antwort drauf geben. Du könntest bei QFile auch einfach einstellen, dass er die Ports automatisch erkennen soll.


    Ja der myFritz Dienst funktioniert auch.


    Was ich bei deiner Schilderung nicht verstehe, du sagst du kannst schon eine VPN Verbindung aufbauen. Wenn die Verbindung steht, musst du doch keine Extra Ports mehr an der Firewall öffnen. Sondern nur die IP des internen Netzwerks nutzen und hinten dran die Portnr. von dem Dienst den du nutzen willst kleben.

    Die Meinungen zu myqnapcloud gehen hier im Forum etwas auseinander. Grundsätzlich bietet das Angebot ja auch mehr als einen reinen DDNS Dienst und da wo Cloud drauf steht, wird auch Cloud drin sein. ;) Die Frage ist, ob man die Privatsphäre durch die Einstellungen von myQNAPCloud so einrichten kann, dass der reinen DDNS übrigbleibt. Vielleicht "überzeugt" auch die Datenschutzerklärung. Qnap selbst hält sich ansonsten bedeckt, ich nutze deshalb den Fritz DDNS und denke nicht weiter darüber nach. Starte doch mal eine Anfrage an den Qnap Support! Wollte ich auch schon einmal gemacht haben, ist aber in Vergessenheit geraten.


    @angelluck
    Was ich darstellen wollte ist, dass ich das Herumfingern an den Ports durch Hobby-Hacker nicht als die große Bedrohung ansehe. Recht haste, die Kryptotrojaner dagegen sind richtig gefährlich, allerdings sind die Infektionswege auch andere.

    @phoneo Ja, aber die Wege ändern sich ja gefühlt Stündlich.


    Klar irgendwelche Scriptkiddis stellen keine ernsthafte Gefahr dar. Aber ich drücks mal so aus, jeder fängt mal klein an und ich denke die wenigsten hacker haben direkt angefangen den eigenen Code zu schreiben. Man muss ja erst mal lernen was wie das funktioniert und nutzt dafür natürlich erst mal die Wege die schon beschritten wurden.


    Nun ja und dann kommt halt so was raus wie "gib mir deine IP, ich hack dich". Musst mal danach googeln gleich der erste Link bei Google müsste es sein. Der Hipp Hopp Hacker schlägt zu. ;)

    Ja, das dachte ich, egal ob die Geschichte erfunden ist oder nicht einfach genial.


    Nur mit dem T-shirt rum zu laufen wäre mir dann doch arg peinlich.

    Hallo,


    vielen Dank für die schnelle Antwort....
    Da hast Du allerdings recht, ich habe vergessen ein paar Informationen mitzugeben...sorry.
    Also ich habe keine Ports extra auf der Fritzbox geöffnet, sondern die QNAP hat mich bei der Ersteinrichtung gefragt ob ich das automatisch über UpnP machen lassen möchte.
    Allerdings habe ich mich gerade einmal auf die QNP geschaltet und gesehen das in der APP "myqnapcloud" die "Webkonnektivität ein rotes x davor hat.
    Das sagt mir doch das die QNAP über den Router nicht ins Internet kommt.
    Das wiederum sagt mir ja das ich dann auch keine Dateien Teilen kann. Das ist an sich der Grund warum ich gerne die Ports weiterleiten würde, damit ich auch Dateien mit anderen teilen kann.
    Das mit dem VPN ist ja nur für mich gut, aber jeder dem ich eine Datei frei gebe wird diese nie sehen können wenn ich keinen Zugang vom Internet auf die QNAP einrichte.
    Ich habe auch gerade einmal probiert eine Portweiterleitung auf der Fritzbox einzurichten um dann mit der qfile app daruaf zu zu greifen, was geklappt hat, juhuu...


    Allerdings habe ich nun einen Bug in der Qfile App bemerkt, zumindest meine ich das.
    Ich habe in der Konfiguration der App den Standardport 443 für SSL/hhtps aus dem Internet gelassen, habe aber einen neuen Port (52083) definiert, der in der Fritzbox auf die QNAP weitergeleitet wird.
    Nun hat wenigstens der Zugang schon einmal geklappt und ich war sehr froh.
    Wenn ich nun allerdings z.B. auf ein Foto gehe und sage "Teilen via email", dann erzeugt er mir ja eine Automatisch generierte Email mit dem Link zu dem Foto.....was er leider vergisst ist das er den richtigen Port (in meinem Fall 52083) anhängt, somit bin ich immer auf einem Fehler gelandet als ich den Link angeklickt habe.
    Füge ich aber dem automatisch generierten Mail den richtigen Port hinzu klappt alles.
    Ist das ein Bug der App oder mache ich etwas falsch?
    Jetzt habe ich allerdings noch gesehen das Mozilla immer nach dem Zertifikat fragt, was ich natürlich nicht habe für mein QNAP.
    Weiß jemand zufällig ob es da eine Möglichkeit kostenlos an eines heranzukommen ist und wenn ja wo?
    Vielen Dank für die Hilfe.

    Zitat von t1h0eh

    sondern die QNAP hat mich bei der Ersteinrichtung gefragt ob ich das automatisch über UpnP machen lassen möchte.

    Das ist genau der Haken.


    Mit der Einstellung via UPnP werden in der Fritzbox und auch in jedem anderen Router immer ALLE die Ports aufgemacht, die ein Dienst anfordert - Unsicherheit pur!!! Du hast da nichts mehr unter Kontrolle.


    Meine Empfehlung:


    Man besorge sich einen DDNS-Eintrag bei dynv6, siehe https://dynv6.com/


    Das ist eine Service von Digineo, kostenlos, kann IPv4 und IPv6 und läuft unter deutschem Datenschutzrecht. Dann nutzt man im Router diesen DynDNS-Service, macht NUR die Ports auf, die man braucht, sichert den Router und das NAS möglichst gut ab, macht immer brav seine Sicherungen und hat hoffentlich NIE Ärger.


    Alternativ dazu geht folgendes: Für FTP-Sachen habe ich mir bei einem Homepage-Provider aus D ein günstiges Paket rausgesucht mit viel Webspace und FTP-Zugang. Damit laufen meine Datentransfers über einen ganz externen Server, mein NAS ist nicht im Netz. Das ganze kostet ein paar Euros extra, aber ich muss weder Strom dafür bezahlen, noch kann ich gehackt werden.


    Live can be easy.

    Guten Morgen und nochmals vielen Dank für die umfangreiche Hilfe..
    Nun wollte ich euch natürlich auch noch auf dem laufenden halten was alles bisher geklappt hat und wo ich für Hilfe noch sehr dankbar wäre
    Also ich habe es nun so gemacht das ich eine Portweiterleitung auf der FritzBox eingerichtet habe womit ich nun die Qnap über den DNS Dienst der FritzBox erreichen kann und nicht mehr über die "myqnapcloud oder den myqnapcloud Link"...das muss ich allerdings beides noch löschen auf der Qnap und mich auch auf der Internetseite von myqnapcloud wieder löschen, so das das alles in geordneten Bahnen läuft.


    O
    @docht: Vielen Dank für den Hinweis mit dem upnp, darauf hin habe ich mal in der FritzBox nachgeschaut und außer der einen Portweiterleitung die ich händisch eingerichtet habe nichts weiter gesehen bei diesem Punkt.



    @alle: Gibt es noch andere Stellen wo ich nachsehen sollte ( FritzBox bzw Qnap) bezüglich Sicherheit?
    Ich würde ja schon gerne das ganze so sicher wie nötig , aber auch so praktikabel wie möglich machen.
    Wäre über Tipps sehr dankbar.


    phoneo: Vielen Dank für den Ylink zu der Anleitung mit der Zertifikatserstellung, wenn ich auch zugeben muss das das böhmische Dörfer für mich sind...nichts desto trotz ist das Zertifikat für mich noch eine offene Baustelle die ich gerne angehen würde.




    Folgende offene Punkte habe ich für mein Verständnis noch:


    - Zertifikat erstellen mit letsencrypt
    - Backup erstellen


    Zum Punkt Zertifikat erstellen:


    Ich habe mir die Anleitung einmal durchgelesen und wie schon erwähnt habe ich nicht den blassesten Schimmer was da im Detail passiert bzw sind für mich noch ein paar offene Fragen.


    Ich versuche es einmal so zu erklären wie ich es Verstande habe und wenn ich daneben liege , wäre es sehr nett wenn ihr mich korrigiert und helfen könntet.


    1. An der FritzBox eine Portweiterleitung für den Webserver (http Server) ( Port 80) an die Qnap weiterleiten. Frage( wenn vielleicht auch eine doofe): die Portweiterleitung sollte ich wahrscheinlich schnellstmöglich nach erfolgreicher Durchführung des ganzen wieder raus nehmen?


    2. Die Python App aus dem App Store von Qnap herunterladen. ( ist vorhanden, das habe ich schon nachgesehen).


    3. Die App Entware-ng von dem Download Link herunterladen und auf der Qnap installieren.


    4. Dann mit Putty mich von meinem Windows 10 Pc auf die Qnap verbinden.


    5. Folgenden Code in Putty eingeben ( die Änderungen wegen der Abfrage falls letsencrypt nicht erreichbar natürlich vorher in den richtigen Teilen eintragen):


    [Howto] Eigenes Zertifikat mit "qnap-letsencrypt"


    6. enter drücken


    7. Ab hier verstehe ich es nicht mehr.... Was soll ich genau mit dieser Autorun.sh machen ?
    Ist das die Datei die am Ende des Tages immer bei letsencrypt nachfragt und das Zertifikat erneuert falls es kurz vorm Ablauf ist?


    8. Wenn ich es richtig verstanden habe muss ich dann die erstellte autorun.sh mittels cronjob ( was das pondon zu Windows aufgabenplanung ist ) regelmäßig laufen lassen.


    Das wars... Wäre nett wenn ihr mal schauen könntet ob ich das alles so richtig verstanden habe.


    Vielen Dank

    Hallo liebes Forum,


    leider habe ich auf meine Frage noch keine Antwort bekommen.
    Wäre nett wenn sich das nochmal einer anschauen könnte, wer sich damit auskennt.
    Würde das installieren des Zertifikates gerne machen wenn die Fragen beantwortet sind.
    Vielen Dank.

    Hallo Mike,


    stelle Fragen zum letsencrypt-Zertifikat doch besser im entsprechendem Anleitungsthema. Ich meine sogar, dass sich deine Fragen beantworten, wenn du die bisherige Diskussion dort studierst.


    Gruß Dirk