NAS im Internet - was beachten

    Hallo Leute,


    ich habe zwei TS-128A in unterschiedlichen Haushalten die sich gegenseitig über HBS3 als Backupserver dienen. Dafür habe ich jeweils eine DDNS über myqnapcloud (2FA aktiv) eingerichtet und ein SSL-Zertifikat bei Let's Encrypt. SSL ist in HBS3 auch eingerichtet. Port 8899 ist freigegeben.


    Nun ist meine Frage, auf was ich noch achten sollte um den NAS halbwegs sicher zu haben.


    Macht es zB Sinn bzw. ist es möglich den Admin-Nutzeraccounts keinen Onlinezugriff zu ermöglichen? Ggf. sollten die NAS auch gar nicht direkt im Internet sein sondern per VPN miteinander kommunizieren?

    Ihr merkt vielleicht, ich kenne mich mit dem Thema nicht sonderlich aus und bin von der Fülle der Infos etwas erschlagen.


    Danke vorab für eure Hilfe!

    Einmal editiert, zuletzt von MetroFun ()

    Das kannst du nicht absichern, siehe aktuelle Exchange Problematik! Hafnium


    Das geht nur über eine Firewall davor, in der du das auf die jeweilige DDNS IP der Gegenstelle eingrenzen kannst.

    Es gibt ja inzwischen eine QuFirewall, aber der traue ich irgendwie nicht so recht.

    Ist besser als nix, aber einer externen Lösung traue ich da mehr.


    Wenn du die aber schon mal hast, kannst auch gleich ein gescheites VPN im Side-to-Side Mode aufbauen und da durch sichern, so mache ich das.

    Da brauche ich dann den NAS - NAS Datenverkehr nicht mal mehr verschlüsseln, da alles durch den stark verschlüsselten Tunnel läuft, was zwischen den Standortnetzen an Daten ausgetauscht wird.

    Ja, wenn du 65xx/75xx oder eine andere gleichwertige neue Box hast, dann können die AES in Hardware und das rennt dann richtig gut.

    Wenn nicht, dann gurkt das mit 10-15MBit rum, weil es rein in Software läuft.

    AVM FRITZ!Box 7580 (GRX350/550 + VRX318) kann das.

    Die 4090 sagt mir nix, finde nur eine 4040.

    7490 kann VPN, aber die Hardwarebasis ist so alt, das sie das nicht in Hardware kann und damit die CPU auf 100% laufen wird und trotzdem nur die 15MBit durch gehen.

    Die kann man aber ggf. noch für gescheites Geld verkaufen und sich dann für ca. 50-60€ mehr eine 7590 hin stellen, wenn man Glück hat und sie im Angebot bekommt.

    So hat es mein Schwiegervater gemacht, er ist mit der 75er sehr zufrieden und im Nachhinein gut angelegtes Geld.

    Gut, 15Mbit gingen ja noch. Mache ja nur Backups; wenn da 1 gb pro Woche zu kommen sind das unter 10 Minuten.
    Ich werde das mal versuchen, ich glaube da hätte ich auch ein besseres Gefühl! Danke für die Tipps

    Side2Side VPN ist eine gute Lösung und läuft mit der Fritzbox sehr stabil. Hatte das über Jahre anstandslos im Einsatz. Du musst nur bedenken, dass man dann jedes andere Gerät im entfernten Netz über VPN adressieren und erreichen kann. Es besteht aber auch die Möglichkeit die Verbindung auf einen LAN-Anschluß an der Fritzbox zu begrenzen. Ausführliche Anleitungen findest du bei AVM.

    Du kannst es inzwischen auch auf gewisse Geräte im eigenem Netz eingrenzen, das ist neu.

    Du kannst aber die Gegenseite nicht in irgendeiner Weise einschränken, das ist ein Sicherheitsproblem, unter Umständen.

    Das scheint schon mal zu laufen. Final testen kann ichs erst morgen da aktuell beide NAS in meiner Wng stehen.

    Danke euch beiden!!


    Was sollte ich jetzt alles machen, um den QNAP aus dem Internet zu bekommen, sodass ich nur noch über Fritz VPN drauf komme?
    Ich denke den myqnapcloud-service deaktivieren, Port wieder zu machen. Noch etwas?

    Zitat von MetroFun

    Was sollte ich jetzt alles machen, um den QNAP aus dem Internet zu bekommen

    Die Portfreigaben auf beiden Seiten (Muttern und bei Dir) in der Fritte löschen, sofern Du sie selbst angelegt hast.

    Andernfalls (und auch trotzdem) UPNP auf NAS und Fritzbox deaktivieren. Also eigentlich das Rückgängig machen, was Du dafür eingerichtet hast... solltest Du am besten wissen ;)

    Zitat von MetroFun

    Ich denke den myqnapcloud-service deaktivieren

    Wie erreichen die beiden Fritten sich denn nun gegenseitig? Bislang ja mit "xxyyy@myqnapcloud.com" oder nicht?

    Das wäre dann vorbei und soll auch gerne vorbei sein, dafür (DDNS) kannst Du MyFritz verwenden.

    Zitat von MetroFun

    Port wieder zu machen. Noch etwas?

    Joa da hast Du es doch eigentlich :) UPNP abschalten nicht vergessen, ist immer eine gute Wahl ;)

    Zitat von tiermutter

    Wie erreichen die beiden Fritten sich denn nun gegenseitig? Bislang ja mit "xxyyy@myqnapcloud.com" oder nicht?

    Das wäre dann vorbei und soll auch gerne vorbei sein, dafür (DDNS) kannst Du MyFritz verwenden.

    Genau, dafür verwende ich die Fritz-Dyndns (xyyy@myfritz.net)

    Zitat von tiermutter

    Also eigentlich das Rückgängig machen, was Du dafür eingerichtet hast... solltest Du am besten wissen

    Schön wärs - ist ne Weile her :S

    Zitat von tiermutter

    UPNP abschalten nicht vergessen, ist immer eine gute Wahl

    Was macht das? Ist bei der Fritzbox offenbar standardmäßig an:
    pasted-from-clipboard.png

    Das ist doch vmtl. damit ich das vom Filebrowser aus finden kann, oder? Ist das unsicher?

    Einmal editiert, zuletzt von MetroFun ()

    Zitat von MetroFun

    Genau, dafür verwende ich die Fritz-Dyndns (xyyy@myfritz.net)

    perfekt: myqnapcloud deaktivieren (es sei denn Du hast noch einen anderen Bedarf daran ;) )

    Zitat von MetroFun

    Schön wärs - ist ne Weile her

    Dann schau doch mal in die Portfreigaben rein... bestenfalls steht da gar nichts. Im Zweifel Screenshot her...

    Zitat von MetroFun

    Was macht das? Ist bei der Fritzbox offenbar standardmäßig an:

    =O per default aktiv mag ich gar nicht glauben!

    Definitiv abschalten! Das erlaubt im expliziten Fall dass über myqnapcloud Ports geöffnet werden.

    Allgemein erlaubt es jedem Gerät Ports zu öffnen... damit stehst Du unter Umständen nackt im Netz und weisst nichts davon.

    Ja das ist per default aktiv, überträgt aber nur Statusinfos.

    Portfreigaben über UPnP muss man pro Client extra erlauben.

    Als kannst das anlassen wenn das NAS nix selber aufmachen darf.


    Wenn der VPN Tunnel steht, erreichen die sich über die interne IP.

    Ich verwende da gern die .11 für.

    Zitat von Crazyhorse

    Ja das ist per default aktiv, überträgt aber nur Statusinfos.

    Portfreigaben über UPnP muss man pro Client extra erlauben.

    Ok, steht ja auch dran wenn man sich das durchliest. Wäre auch übel wenn es anders wäre.

    Zitat von tiermutter

    Allgemein erlaubt es jedem Gerät Ports zu öffnen... damit stehst Du unter Umständen nackt im Netz und weisst nichts davon.

    Nein da ist die Fritzbox schon informativ und warnt den User siehe Tabelle unten, die ganzen xxx war ich :) und ja die Portfreigaben waren beabsichtigt :)


    Mod: Nicht deklariertes Zitat ... korrigiert! :handbuch::arrow: Forenregeln und Die Zitat Funktion des Forums richtig nutzen