NFS erlaubt Zugriff für alle IP Adressen. Wie bzw. wo einstellen?

  • Hallo an alle,


    Security Counselor mahnt bei mir an, dass NFS den Zugriff aus allen IP Adressen erlaubt. Ich weiß nicht was NFS ist, bin jedoch bemüht diese als mittleres Risiko angesehene Einstellung zu ändern sofern sie meinen Bedürfnissen entspricht. Ich benutze das 431P2 NAS um mit meiner Familie (unterschiedliche Wohnungen und nicht lokal zu Hause wohnend) diverse Ordner zu teilen. Diese verfügen über normale Internet Anschlüsse und haben somit keine festen IP Adressen soweit ich das verstehe.

    Wo und wie muss ich die Einstellungen vornehmen um das mittlere Risiko zu beenden, sofern überhaupt in meinem Fall sinnvoll.

    Wenn ich in den Log Ergebnissen des Security C. auf das beschrieben Problem klicke, öffnet sich die Systemsteuerung/ Freigabeordner Option. Ich verstehe aber nicht was ich hier machen soll. Jeder Tip und Hilfe willkommen. Danke schon mal.


    Bildschirmfoto 2018-10-29 um 12.10.27.png




    Bildschirmfoto 2018-10-29 um 12.45.27.png

  • Hallo QNapoli,


    ich bin mir nicht ganz sicher, ob es das ist was du suchst.

    Aber ich vermute es mal, da dort wo man das NFS aktiviert (Systemsteuerung/Netzwerk/Win/Mac/NFS) auch der Link vorhanden ist zu den Netzwerkfreigaben.

    Und dort bei den Einstellungen habe ich nur diese Einstellungen gefunden.


    NFS_Einstellung_0001.jpg


    NFS_Einstellung_0002.jpg

  • Um das Risiko zu beenden solltest Du zunächst auf allen Rechnern, die auf das NAS zugreifen dürfen, einen VPN Zugang zu Deinem Netzwerk einrichten!

    Wenn Du (was ich vermute), bisher einfach mal "eben so" alle über das Internet auf as NAS zugreifen können, hast Du ein wunderbares, scheunentorgroßes Einfallstor für ungebetene Gäste aller Art.


    Alle anderen I-Net Zugänge "dicht" machen oder über den EInsatz einer Synchronisation über einen Clouddienst nachdenken.


    Ich bin immer wieder überrascht, mit welcher Naivität man so etwas angeht...:rolleyes:


    NFS ist übrigens das "Network FileSystem" und die übliche Zugriffsart für Linux/Unix basierte Rechner (bei Windows ist es CIFS bzw. über Ux-Systeme Samba).


    Gruss

  • Danke erst mal für die Antworten, die ich als Laie mal versuche zu verstehen. VPN Zugang ist mir fremd. Da muss ich mich mal belesen. Hoffe, dass das nicht so kompliziert und Zeitaufwändig ist, bzw. wichtiger noch, keine Fehler dabei mache. FSC830, du erwähnst, dass der Zugang auf allen Rechnern einzurichten sei. Heißt also in meinem Fall an meinem Mac und erst dann am NAS?


    PTJ, die pics sind anschaulich, weiß aber nicht was ich genau einstellen, bzw wo. die Haken zu setzen wären.


    Ich lese erst mal über VPN nach.

    Einmal editiert, zuletzt von QNapoli ()

  • Nein, am NAS wird nichts gemacht.

    Ich habe vorausgesetzt das Du als Router eine Fritzbox nutzt, wenn nicht, dann musst Du bei dem Hersteller Deines Routers nachsehen, wie man VPN einrichtet. Für die FB gibt es auf AVM.de gute Anleitungen zum Einrichten von VPN.

    Anschliessend muss auf allen Rechnern, die nicht in Deinem Heimnetzwerk sind sondern von "außen" auf das NAS zugreifen wollen, ein VPN Client eingerichtet werden.

    Dieser sorgt dann dafür, das diese Rechner temporär (während der VPN Verbindung) in Deinem Heimnetzwerk sind, so, als wären sie vor Ort.

    Das heißt aber auch, das sie auf andere Geräte in Deinem Netzwerk zugreifen können.

    Auf keinen Fall sollte man alles freigeben und hoffen, das kein Unbefugter den Zugang findet!


    Wenn Du den MAC nur intern im Haus benutzt, dann muss dort kein VPN Client installiert werden. Nimmst Du den mit auf Reisen und willst von unterwegs auf das NAS, muss auch ein VPN Client auf dem MAC installiert werden.

    Das alles ist nicht ganz trivial und es gibt zahlreiche Fallstricke, auch müssen die anderen Familienmitglieder entsprechend damit umgehen können.


    Soll der Zugriff direkt auf das NAS erfolgen, dann halte ich VPN für die sicherste Methode, ansonsten kann man eine Cloud als Zwischenspeicher nutzen.

    Das ist wahrscheinlich einfacher.


    Gruss

  • Danke sehr für die gute Erklärung. Ich werde mich erst mal etwas mehr damit beschäftigen und gegebenenfalls noch einmal auf diese thread zurückkommen. Und ja, ich benutze eine Fritzbox,...zum Glück. Mein Mac Mini bleibt eigentlich immer z.H. stehen. Habe noch für den Fall der Fälle, falls der mini kaputt geht noch ein MacBook welches aber noch nicht aufgesetzt ist. Das wäre dann der zweite Schritt.

    Herzlichen Dank noch mal.

    P.S. Ich habe eine 16000 er DSL Verbinding. Das könnte etwas schlapp sein, wenn meine Verwandten ein Video auf dem NAS schauen wollen. Oder ist das unbegründet?

  • Wenn es ein VGA Format ist wird es gehen, bei HD wird es ruckeln (wenn es überhaupt geht) 8).

    16000 ist wirklich etwas dünn - heutzutage.


    Gruss

  • OK, habe per Fritz Box die VPN Verbindung eingerichtet und aufgebaut. Sobald ich in der Taskleiste auf "mit VPN Verbinden" clicke, bin ich zwar mit VPN verbunden, jedoch komme ich mit dem Browser nicht in Internet. Seiten werden nicht gefunden kommt dann als Fehlermeldung. Frust. Habe ich etwas übersehen? Wenn ja, warum gelingt dann eine Verbindung mit VPN, jedoch nicht darüber hinaus ins Netz? Das gleiche auch beim Iphone, wenn ich VPN einschalte.

    Einmal editiert, zuletzt von QNapoli ()

  • Für VPNs gibts mehrere Möglichkeiten. Statt eine Fritzbox als VPN-Server zu konfigurieren und einzelne Rechner als Clienten, kann man auch Fritzboxen untereinander per VPN Verbinden und dann in den verbundenen Netzwerken agieren, als wäre es ein lokales Netzwerk. Für die Geschwindigkeit kommt es auf den Upload von dem Anschluß an, wo das NAS steht. Als ich noch 16.000er DSL hatte waren das etwa 1MBit/s, macht 60 MBit/min, macht 7,5 MB/min. Ein 90minütiger Film mit 675 MB würde diesen Upload also voll ausreizen. In der Praxis würde das aber schon nicht mehr funktionieren. Bei einem Upload von 2 MBit/s würde sich alles entsprechend verdoppeln. Genauso muß man das dann aber wieder aufteilen, wenn mehrere zugleich zugreifen. (Hoffe ich habe mich jetzt nicht verrechnet.)

  • Danke Horst, jedoch habe nur einen Router (Fritzbox) und versuche mit nur einem Mac ins Netz zu kommen. Der Windows Rechner im Netzwerk ist gar nicht eingeschaltet. Auch das Iphone kann nicht ins Netz, wenn ich VPN einschalte.Ich glaube, dass es sich derzeit hier bei mir um ein anderes Problem handelt. Ich komme per VPN definitiv nicht ins Internet.


    Bildschirmfoto 2018-10-30 um 08.26.12.png

  • Ich verstehe nicht was Du machst.

    Wo willst Du VPN einschalten und warum?

    Wenn Du zu Hause bist, dann benötigst Du kein VPN. VPN wird nur benötigt, wenn man nicht zu Hause ist, aber auf sein Netzwerk zu Hause zugreifen will.

    Man muss dazu im Internet sein (also irgendeinen LAN/WLAN oder UMTS Zugang nutzen), und dann kann man unter Umständen VPN benutzen um einen "Tunnel" zu seinem Heimnetzwerk aufzubauen.

    Unter Umständen deshalb, weil es Provider gibt (oder Accesspoint Betreiber), die nicht alle Ports öffnen und somit auch eine VPN Verbindung nicht zustande kommen lassen.

    Das weiß man vorher leider nie ob man so einen Accesspoint erwischt hat.

    Aber selbst wenn ich bei mir zu Hause bin, und dennoch VPN zu Testzwecken einschalte, komme ich problemlos ins Internet und von dort wieder ins Heimnetz (was aber sinnfrei ist, da ich sowieso zu Hause bin).

    Es muss also entweder ein Konfigurationsfehler oder ein anderes Problem vorliegen.


    Gruss

  • Wir machen das mal der Reihe nach. Also das VPN ist nur für diejenigen gedacht, die von außerhalb, über das Internet auf das NAS zugreifen. Innerhalb des eigenen Netzwerkes, bleibt alles beim Alten.

  • @Horst Girtew. OK. Verstanden. Das heißt also, dass mein mac hier im Büro nicht zwingend VPN eingeschaltet haben muss damit andere und ich selbst von außerhalb per VPN auf meine Fritzbox oder NAS zugreifen können?


    @FSC830

    Mein Hauptanliegen ist es über das Internet auf die Daten im NAS zugreifen zu können bzw. auch meinen Verwandten den Zugang über einen Link zu ermöglichen. Ich habe den Vorschlag zunächst einmal VPN einzurichten aufgenommen und einen solchen an der Fritz Box eingerichtet. Bisher 1 Benutzer, nämlich mich selbst. Laut Fritz Hilfe Seiten, war die Voraussetzung ein MyFritz Konto anzumelden. Am IPhone nach Angaben aus der Fritzbox ebenfalls VPN eingerichtet. Wenn ich am Iphone über Einstellungen VPN per Schieberegler einschalte ist eine Verbindung ins Internet nicht mehr möglich. Keine Ahnung warum. Wenn ich mich bei nicht eingeschaltetem VPN mit dem Iphone in mein MyFritz Konto einlogge geht das und wenn ich dann zur weitergeleiteten Seite geführt werde (siehe Screenshot) und dort auf den Link über VPN mit Fritzbox verbinden klicke klappt das auch. Dabei ist aber am I phone VPN nicht eingeschaltet. Ich verstehe den Sinn von VPN nicht, wenn ich zwar über mein MyFritz account auf die Fritzbox zugreifen kann jedoch dies offenbar nur ohne VPN einzuschalten möglich ist. Mein QNAP sehe ich allerdings auch nicht über angeschlossene Geräte. Einzig das Fritzbox NAS oder auch die daran angeschlossenen USB Geräte sofern angeschlossen. Habe ich aber nicht weil das QNAP mit LAN Kabel an der FBox angeschlossen ist. Aber gut, das ist dann wohl ein anderes Thema.

    Danke f. den Hinweis FSC830. Habe die Antwort Option im PM Bereich nicht finden können, daher auf diesem Wege

    Der AVM Fritzz Box Support sagte mir am Telefon, dass VPN einen Konflikt verursacht, wenn man sich z.B. mit dem IPhone im gleichen Raum wie die Fritzbox befindet. Von Außerhalb soll es funktionieren. mal schauen. erst mal raus. 20° in Berlin.


    Gerade von außerhalb versucht per VPN auf die My Fritz Seite zu gelange. Niente, kein Zugang zum Internet .

    3 Mal editiert, zuletzt von QNapoli ()

  • Der AVM Fritzz Box Support sagte mir am Telefon, dass VPN einen Konflikt verursacht, wenn man sich z.B. mit dem IPhone im gleichen Raum wie die Fritzbox befindet.

    Das hat nichts mit dem gleichen Raum zu tun. Die VPN-Verbindung funktioniert nicht, wenn der Client (z.B. dein iPhone) im Netz der FritzBox angemeldet ist.
    Konkret: Dein iPhone hängt am WLan der Fritzbox, dann funktioniert VPN nicht. Abhilfe: WLan am iPhone ausschalten und über LTE den VPN-Tunnel aufbauen. Wenn es dann nicht geht, liegt der Fehler an anderer Stelle.

  • Also wenn wir mal zum Ursprung zurück gehen, da wurde der NFS Zugriff angemahnt.

    Da der TO nicht weiß was NFS ist wird er es kaum nutzen.

    Also sollte er das deaktivieren, und sein Ausgangsproblem dürfte gelöst sein!

  • Das sehe ich mitnichten so. 8)

    Wenn, wie er weiter schreibt, andere Familienmitglieder zugreifen sollen, dann ist es erst mal egal ob die über CIFS oder NFS zugreifen.

    Das "Nichtwissen" um NFS zeigt mir, das es mit Sicherheit niemand ist, der sich auch nur annähernd mit IT befasst hat.

    Das deaktivieren von NFS ist zwar hilfreich, aber dennoch ist das NAS bzw. das LAN mit ziemlicher Sicherheit offen für alle anderen Zugriffe.

    Daher die Empfehlung das vernünftig zu durchdenken und mit größtmöglicher Sicherheit und Vorsicht den Zugriff erlauben.


    Das ist aufwändiger, als mal eben einen Haken (NFS Zugriff) wegzunehmen, aber das sollten die Daten wert sein.


    Gruss

  • Nochmal was Grundsätzliches. VPN funktioniert nicht so, dass man bei zwei Geräten einfach einen VPN-Schalter auf »an« stellt und dann finden die sich. Ein Gerät wird als VPN-Server konfiguriert und das andere Geräte als VPN-Client. Dann baut man vom Clienten zum Server eine Verbindung auf. Für VPN gibt es auch verschiedene Modi, z.B. OpenVPN oder IPSec. Die Fritzbox nutzt meines Wissens IPSec. Das muß dann auch der Client können. Bei OpenVPN gibts eine Variante, wo Schlüssel erzeugt und ausgetauscht werden müssen.


    Das Ganze hat nichts mit dem VPN zu tun, was irgendwelche Anbieter zum sicheren Surfen anbieten und auch nichts mit dem VPN, welches Opera im Browser integriert hat. Die funktionieren zum Teil nur technisch nach demselben Prinzip.

  • Ich habe vor zig Jahren mal einen FS 1000 NAS mit DynDNS angemeldet und betrieben . Das ging rel. flott und einfach. Den Teilnehmern, denen ich Zugang zu Daten gewährt habe hatte ich einen Link zugesandt wo sie sich mit ihren Zugangsdaten hatten anmelden können. Die Dinge haben sich offenbar sehr weit weiterentwickelt und die sog. einfache Handhabung mit der immer geworben wird, erschließt sich mir nicht. Das aktuelle Prozedere was ich derzeit nicht in den Griff bekomme lässt mich an meine Grenzen stoßen.

    Das Prinzip des Servers und des Client ist mir bekannt, habe jedoch nicht bemerkt, dass mir mein Mac die Option bietet das eine oder andere zu wählen. Ich finde es auch jetzt nicht. Ich bin davon ausgegangen, dass mit der Einrichtung einer VPN die Fritzbox die Funktion des Servers einnimmt.

    Ich vermute mal, dass sie dies auch tasächlich ist, denn, wenn ich mit dem Iphone über das Internet auf meinen MyFritz account zugreife und von dort aus den etsprechenden Link zur Weiterleitung an meine Fritzbox clicke werde ich auch tatsächlich mit meiner Fritzbox verbunden. Allerdings bin ich überhaupt im Unklaren darüber ob diese Verbindung dann auch über VPN läuft, denn der beschriebene Vorgang funktioniert nur, wenn ich VPN am Handy NICHT einschalte. Wie gesagt, wenn ich vorher VPN am Handy einschalte gibt es überhaupt keine Verbindung zum Internet. Ein MyFritz client für IOS habe ich auch vergeblich auf AppStore gesucht. Hat mich auch 30 Minuten recherche gekostet bis ich lesen durfte, dass es für IOS noch nicht erhältlich ist. Na ja, kann leider nichts anderes tun und denken weil ich mich sowas von hineinverbissen habe das endlich mal ans Laufen zu bringen. Also wirklich,...Tss..


    Hat jemand Erfahrung mit einem VPN Dienst, der preisgünstig ist und gut funktioniert? Vielleicht funzt ja das umsonst und draußen Paket v. Fritzbox nicht immer wie es soll. Macht keiunen Spaß sowas.

  • Das Fritz-VPN sollte problemlos mit iOS und Android funktionieren - da brauchts keine extra App für. Wie das einzurichten ist bekommt man in der Fritzbox angezeigt, wenn man bei einem Benutzer den VPN-Zugang aktiviert.


    Mal davon abgesehen, nachdem was ich hier so gelesen habe:

    Hol Dir jemand mit Ahnung in der Materie ins Haus, der Dir das erklären und gemeinsam mit Dir einrichtet.

    Da hast Du a) mehr Lerneffekt und b) am Ende ein konfiguriertes System wie du es brauchst.

    Die Versuche sowas über ein Forum mit jede Menge Halb- oder fehlender Informationen und implizitem Wissen abzuhändeln halte ich nicht für zielführend. Letztendlich bleibt (zumindest für mich) ziemlich unklar was Du da grad wo einstellt - und damit eventuell alles nur verschlimmbesserst.


    Gruß René