Externer Zugriff nur aufs NAS konfigurieren

    Hallo,


    ich würde gerne den Zugriff auf ein NAS von extern einrichten.

    Da ein NAS direkt ins Internet zu stellen wie mehrfach hier im Forum .... zu sehen keinen Sinn macht, würde ich das gerne wie ich es sonst auch per VPN machen.


    Da bleibt aber das Problem, dass man aber auch direkt im kompletten Netz ist. Da man ja als Client teil des Netzes durch die VPN Verbindung ist.


    Kann mir einer von euch vielleicht Tipps oder Hilfe geben wie man das NAS am besten in ein eigenes, also unabhängiges/getrenntes, Netz packen kann und dennoch per bspw. VPN drauf zugreifen kann?


    Vielen, Vielen Dank!


    Viele Grüße


    Revan335

    Kommt auf dein VPN GW an, gute ermöglichen auch Regelwerk für granulare Zugriffssteuerung.


    Das ist dann aber eher auf einer richtige Firewall zu finden und nicht auf einer SoHo Kiste.


    Was für ein Router ist denn vorhanden?

    Ein Router oder eine kleine Firewall die über eine DMZ (Demilitarized Zone) erfügt. Das ist eine zusätzliche Netzwerkzone, die genau dafür gedacht ist, sprich Zugriffe von Außen von internen Netzwerk zu trennen. Aber nicht alle Router verfügen über so etwas und manche scheinen diesen Begriff auch falsch zu verwenden. Wie schon Crazyhorse schreib, ist eine richtige Firewall am geeignetsten für so etwas. Die gibt es aber auch in klein.

    Hm.

    Mit der Fritte kann man am LAN 4 ein Gästenetz aktivieren. Da den VPN drauf richten und eine LAN Schnittstelle des NAS daran anschließen. Die andere LAN Schnittstelle des NAS in dein privates hängen. Anleitungen siehe AVM. Musste mal ausprobieren. Viel Erfolg.

    Leider erlaubt das Gastnetz bei AVM keine Portfreigaben.


    Deshalb kann ich leider das VPN nicht entsprechend als Portfreigabe definieren.


    Hab es auch mal mit einer weiteren Fritzbox hinter der ersten probiert. Kaskadiert ist meine ich die Bezeichnung dafür. Das hat leider auch nicht den gewünschten Erfolg gebracht. Portfreigaben sind im Normalen Netz ja möglich, aber getrennt ist das Netz dadurch ja leider nicht gewesen.


    Netz 1 war zwar getrennt (dies müsste die DMZ für Netz 2 sein), Netz 2 konnte aber auf Netz 1 zugreifen. Also quasi falsch herum.

    Zitat von Revan335

    Eine Fritzbox 7590 ist vorhanden.

    Mit min. einer FB 7590 und einer 2. FB müsste es gehen. Die hat einen WAN-Anschluss, sprich die kann Netzwerke Routen, denke ich zumindest.


    Auf 1. FB

    - Internetzugang

    - VPN auf diese einrichten

    - QNAP hier am LAN anschließen

    - 2. FB am LAN anschließen


    Auf 2. FB = FB 7590 mit WAN

    - 1. FB am WAN anschließen

    - im LAN und WLAN nur noch privates Netzwerk.


    Jeweils getrennt IP-Adressen vergeben.

    "Firewall-Funktionen" entsprechend einrichten ungefähr so als ob 1.FB ein NAS im Internet ist. Das Routen ins Internet muss dann allerdings auch passen.


    So zumindest die grobe Theorie von meiner Seite. :)

    Bei dem Preis kann man auch gleich was anderes kaufen, was in der Lage ist auch noch ganz anderes zu realisieren.


    Eine kleine Hardware auf der eine pfSense, OPNsense oder eine Sophos UTM läuft ist doch eine ganz andere Liga.

    Dazu noch ein managed Switch und man kann so viele DMZs aufbauen wie man VLANs anlegen kann.

    Zitat von Crazyhorse

    Bei dem Preis kann man auch gleich was anderes kaufen, was in der Lage ist auch noch ganz anderes zu realisieren.

    Zitat von Revan335

    Hab es auch mal mit einer weiteren Fritzbox hinter der ersten probiert.

    Klingt für mich also ob hier noch eine FB ungenutzt herumsteht. Dann wäre dies doch eine kostengünstige Lösung.

    Ich schließe mich hier gerne Crazyhorse an:

    Zitat von Crazyhorse

    pfSense, OPNsense oder eine Sophos UTM

    Das ist in meinen Augen vernünftig. Du erweiterst Dein Heimnetz um eine sinnvolle Anschaffung mit wesentlich mehr Möglichkeiten als Dir die Fritz!Box bietet. Ich mag meine Fritz!Box auch. Die macht Internet und Telefonie. Und das kann sie erstaunlich gut. Aber die Sicherheit meines LANs will ich nicht der eingebauten "Firewall" ohne Möglichkeiten der manuellen Konfiguration überlassen.

    WAN -> Router -> Firewall. Hast vernünftige, selektive und weitgehende Möglichkeiten als nur Portfreigaben. Sobald ein Port geöffnet ist, wird sämtlicher Traffic durchgeschleift. Egal ob erwünscht, legitimiert oder unerwünscht. Das alles und noch viel mehr kannst mit einer Firewall "richtig" regeln.

    Im übrigen gibts dann auch kein doppeltes NAT mehr. Ich will hier den Vorschlag von Mavalok2 nicht torpedieren. Ist auch eine Möglichkeit. Ist halt dann wie... nun ja... bisschen wie Tofu eben. Aber es kommt halt wie so oft auf das Umfeld, den gewünschten Möglichkeiten und das Budget an.

    Mavalok2 Das klingt so wie das was ich per kaskadierte Router probiert habe. Netz 1 ist DMZ am Internet mit dem NAS. Netz 2 dahinter.


    Wenn dann entsprechend alle derzeitigen Geräte im Netz 2 hängen, kommt man dort nicht mehr per VPN hin, da dieses schon auf der 1. Box läuft. Jedenfalls hatte es bei dem Test mit der zweiten Box nicht funktioniert. Möglich das, da ja auf beiden die gleichen Ports für das Fritzbox VPN verwendet werden, die sich behindern.



    Da ich kein großes Wissen über Firewall Konfiguration besitze, könnte das dann etwas problematisch werden. Ich denke das die ebenfalls so komplex wie ne Sonicwall oder andere "richtige" Hardware/Software Firewalls sind.

    Hast Du die 1.FB auch am WAN-Port der 2.FB angeschlossen, nicht am LAN-Port?

    Routing aktiviert? Habe gelesen, dass es wohl Geräte mit Doppelnutzung gibt. Ob dies hier so ist weiß ich jedoch nicht > Handbuch FB.

    Das schöne an einer Netgate FW ist die Verbreitung und die Comunity die damit einhergeht.


    Du findest für so ziemlich alles ein Anleitung oder wenigstens Infos um es hin zu bekommen.


    Aber eine pfsense setzt man mal nicht eben auf, das dauert ein paar Tage wenn man nur nebenbei schraubt auch schon mal länger.


    Hat man es dann aber geschafft, hat man viel gelernt und ein Powerhorse im Rack, das sehr gut mit der Hardware skaliert.


    Ich habe hier die kleinste SG-1100 im Rack, die macht 500MBit/s Firewalldurchsatz bei 3,5W Lwistungsaufnahme. Besser geht nicht.

    Reicht das später nicht, beschaffe ich mir was größers und packe die Konfiguration drauf und dann sind auch 10Gbit und mehr drin.


    Zudem ich hier einen Kabelanschluss habe und die ganzen Pumas sind alles andere als stabil gewesen.

    Ständig war meine 6490 wieder weg, wenn zu viel gleichzeitig los war.

    Ist aber auch kein Wunder die Fritz kann 2k Sessions, die kleine Natgate 49,5k (davor ein Docsis 3.1 Kabelmodem).

    So was bekommt man auch als Freak nie an die Grenzen.

    Da kannst du im LAN alles anwerfen und das gleichzeitig, so ein Teil schiebt einfach alles durch.


    Auch VPN ist eine ganz andere Liga, 36-37MBit/s kommen am Handy an von 40 und das bei IPSec mit IKEv2 und DHGroup 14, AES256 und SHA.

    Da ist der IKEv1 der FBox deutlich langsamer und nicht im Ansatz so gut gesichert.

    Fällt dann nicht auch das Gastnetz/WLAN/Gast WLAN der Fritzbox weg, da es vor der Firewall statt dahinter liegt und müsste dann durch eine weitere Fritzbox dahinter realisiert werden?

    Zitat von Mavalok2

    Hast Du die 1.FB auch am WAN-Port der 2.FB angeschlossen, nicht am LAN-Port?

    Routing aktiviert? Habe gelesen, dass es wohl Geräte mit Doppelnutzung gibt. Ob dies hier so ist weiß ich jedoch nicht > Handbuch FB.

    Nein, ich hatte in der Anleitung von AVM dazu gelesen, dass es der LAN 1 sein sollte. Aber ich kann es mal mit dem WAN Port probieren.

    Ja, das mag es auch geben. Aber wofür ist bei Deiner 7590 denn dann der WAN-Port gut?

    Zitat von Revan335

    Aber ich kann es mal mit dem WAN Port probieren.

    Jap. Manchmal ist probieren eben doch einfacher. Dann weiss man es genau.

    FTH? Also Google und Wiki spuken "Freie Theologische Hochschule" aus? Und wenn ich Buddhist bin? Darf ich den dann nicht verwenden? :)


    Edit:

    Klingt für mich als ob es dies ist was gebraucht wird.

    Einmal editiert, zuletzt von Mavalok2 ()

    Gefällt mir 1

    Mavalok2 neuster Artikel Security - Das NAS offen im Internet bestärkt meine derzeitige Vorgehensweise bzw. eure Empfehlungen es über bspw. VPN oder Firewall zu machen. Das mit WAN hat sich ja erledigt weil es ja für Fiber ist trotz RJ45 Stecker.


    Eine eigene Firewall ist derzeit aufgrund noch nicht sehr vorhandener Kenntnisse bzgl. Konfiguration und "best" Practise sehr wahrscheinlich keine gute Idee um eine falsch konfigurierte/schlechte Firewall zu vermeiden.


    Vielen Dank aber schon mal für eure Hilfe!


    Vielleicht entdecke ich ja noch einen sinnvollen Weg oder habe dann die entsprechenden Firewall Kenntnisse!


    Viele Grüße