Webseite hosten über QNAP NAS

  • Hallo QNAPCLUB



    ich bin am verzweifeln.



    Ich will meine domain über den QNAP hosten. Habe alle Anleitungen von QNAP befolgt, kann meine Seite aber nicht erreichen.


    Folgendes habe ich eingerichtet:


    Webserver

    Screenshot 2021-04-01 110118.png


    Virtual Host

    Screenshot 2021-04-01 110412.png


    DNS Einstellungen bei Ionos, Einstellungen sind 2-3 Tage her


    Screenshot 2021-04-01 111516.png
    Portweiterleitung, erstmal mit UPnP, will ich dann später manuell machen

    Screenshot 2021-04-01 110617.png


    DynDNS

    Screenshot 2021-04-01 111516.png
    ssl Zertifikat habe ich von QNAP gekauft und eingerichtet


    Ich habe eine Testseite mit phpMyAdmin und Wordpress erzeugt


    der myqnapcloud.com link ist aus dem Internet erreichbar über https mit dem sll Zertifikat


    xxx.myqnapcloud.com:81/WordPress/ ist erreichbar, auch über die Verschlüsselung



    Ich bekomme leider nur

    Screenshot 2021-04-01 112412.png



    Meine Hardware:


    TS-653D


    Fritzbox 6490Cabel über Vodafon



    Was mache ich falsch? Schonmal vielen Dank für Eure Hilfe.


    Bitte seid nachsichtig mit mir, bin neu hier

  • Hi Bernhard,


    es hilft Dir vielleicht nicht bei der Problemlösung, aber das fiel mir zu Deinem Post ein:


    Ich hatte auch einmal überlegt, meine Seite auf dem NAS zu hosten, um monatlich 9,99 EUR für den virtuellen Server bei hosteurope zu sparen.


    • Dann las ich über die Sicherheitsprobleme, wenn das NAS im Internet steht.
    • Dann habe ich mir den Aufwand überlegt.
    • Dann habe ich den Stromverbrauch den Hosting-Kosten gegenübergestellt.


    Dann billigere Hosting-Anbieter rausgesucht, gibt es auch für 5 EUR im Monat.


    Ich kam zu dem Resultat, dass ich das NAS nicht ins Internet stelle, sondern für die Webseite einen virtuellen Server behalte.

    Den Wechsel zu einem billigeren Hosting-Anbieter habe ich auch verworfen, da wir ja mit der Webseite Ferienwohnungen anbieten, ergo Geld verdienen und da kann es nicht auf monatlich knapp 10 EUR ankommen.


    Zudem das NAS ja dann auch 24/7 laufen muss. Eigentlich ist es jedoch so eingestellt, dass es nur 50% der Zeit läuft.

    Der Mehrverbrauch von Strom alleine läge bei 40 EUR im Jahr.


    Ich drücke Dir aber die Daumen, dass Du Dein Ziel erreichst!


    Gruß Markus

  • danke euch schonmal, ich überlege nochmal, klang sehr vielversprechend

    Hast Du da überhaupt eine öffentliche IPv4 oder nur IPv6?

    eine öffentliche IPv4 habe ich bei meinem Anbieter beantragt und kostenlos bekommen

  • Ich kann meinen Vorschreibern nur beipflichten.


    Dein Fehler lieg in der Konfiguration der Portweiterleitungen.

    Entweder du rufst die Seite im Browser mit Portangabe auf (http://www.icke.de:81) oder änderst die Konfiguration im Router, dass Port 80 an 81 der QNAP weitergeleitet wird.

  • Danke Frosch2.

    Ich habe schweren Herzens das vorhaben aufgegeben. Eure Sicherheitsbedenken haben mich dazu gebracht.

    Trotzdem will ich deinen Hinweis gerne ausprobieren. Anscheinend habe ich mit der Änderung der Ports mir selbst das Leben schwer gemacht. ;)


    Aber eine Frage zur Sicherheit:

    Ich muss die Ports doch auch offen haben, wenn ich myqnapcloud nutze. Wo ist da der Unterschied? Oder nutzt ihr die alle gar nicht?

    Nochmal Danke für die Unterstützung 8)

  • Ich nutze das nicht und habe es nie genutzt. Und es hat sicherlich auch einen Grund, warum QNAP selbst den Standard von "EIN" auf "AUS" geändert hat: myQNAPcloud.

    Damit überlässt man das Einschalten dieser Dienste dem Nutzer, in der Hoffnung, das dieser weiß, was er tut.

    Vorher waren die Dienste akiviert und ruck-zuck das NAS offen im Internet und durch Malware kompomittiert!

    Dazu muss man nur die vielen Artikel über die Angriffe auf QNAP NAS der letzten Jahre verfolgen, das waren eine ganze Reihe!


    Und wenn man nicht weiß, was alles zu beachten ist, ist das bei Aktivierung dieser Dienste wieder ganz schnell der Fall.

    Der sicherste Weg, darauf wird hier immer wieder hingewiesen, ist eben eine VPN Verbindung!


    Und ja, das ist aufwändiger als offene Ports, aber auch sicherer.

    Niemand käme auf die Idee, die Haustür mit einem einfachen Riegel zu verschliessen, alle nutzen mind ein Bundbart- oder ein Sicherheitsschloß.

    Warum also beim Netzwerk es anders machen?


    Gruss

  • Niemand käme auf die Idee, die Haustür mit einem einfachen Riegel zu verschliessen,

    Eine Website auf einem NAS ohne irgendwelchen zusätzlichen Schutz zu betreiben, ist wohl eher wie die Haustüre offen stehen zu lassen. ;)

  • Zu deinem Problem:

    xxx.myqnapcloud.com:81/WordPress/ ist erreichbar, auch über die Verschlüsselung

    Wenn du über verschlüsselt über https gehst, musst du in deinem Beispiel den Port 8081 angeben, nicht 81. Der Standardport, der im Router anzulegen ist, wenn https ohne explizite Portangabe genutzt werden soll, ist 443.


    Hast du schon mal einen Zugriff direkt mit der IP, also nicht über den Namen, versucht? Das hilft, die Fehlerursache einzugrenzen.


    Zur Sicherheit:

    Ich gehöre nicht zu denen, die sofort "nur über VPN" rufen, wenn jemand überlegt, sein NAS vom Internet aus erreichbar zu machen. Wenn man genau weiß, was man macht, und sichere Software verwendet, kann man da schon was machen. Wordpress ist aber schon mehrfach durch Sicherheitslücken aufgefallen und gehört daher nicht zu sicherer Software. Von deinem ursprünglichen Vorhaben rate ich auch eher ab.


    In einer Firma löst man dein Vorhaben oft über eine DMZ (Demilitarisierte Zone). Dabei kommen zwei Router zum Einsatz. Die Rechner der DMZ mit den Web-Services (also bei dir dein NAS) hängen am ersten Router, auch der zweite Router hängt am ersten Router, aber dieser bringt eine weitere Firewall mit, so dass Zugriffe von der DMZ wie auch vom Internet geblockt werden. Am zweiten Router hängt das LAN. Dann kann man vom LAN aus auf die DMZ zugreifen (mit hoher LAN-Geschwindigkeit; hier liegt ein Vorteil gegenüber einem externen Server beim Hoster), aber es ist nicht möglich, aus der potentiell unsicheren DMZ ind LAN zu kommen.


    Das Konzept mit der DMZ bedingt aber, dass auf den Rechnern der DMZ nichts läuft, was nicht für die Web-Services nötig ist. Du hättest dein NAS also für deine Wordpress-Seite "verschwendet". An Stelle des NAS täte es aber auch ein billiger Raspberry Pi. Bei den Routern bin ich mir nicht sicher, ob sich die beliebten Fritzboxen (gebraucht billig, insbesondere wenn aktuelles WLan nicht nötig) dazu eignen.


    Ich kam zu dem Resultat, dass ich das NAS nicht ins Internet stelle, sondern für die Webseite einen virtuellen Server behalte.

    Das ist allemal die sicherste Methode, insbesondere dann, wenn man nicht genau weiß, was man macht. Die meisten Firmen ohne spezielle Ansprüche ziehen dies einer DMZ auch vor.

  • In einer Firma löst man dein Vorhaben oft über eine DMZ (Demilitarisierte Zone). Dabei kommen zwei Router zum Einsatz.

    Wohl eher eine Firewall, die mit mehreren Zonen umgehen kann.

    Die meisten Firmen ohne spezielle Ansprüche ziehen dies einer DMZ auch vor.

    Richtig. Wieso sich die Arbeit des Hostings selbst antun. Bekommt man für ein paar Euros und man hat das Risiko nicht im eigenen Netz.

  • Wohl eher eine Firewall, die mit mehreren Zonen umgehen kann.

    Stimmt, die Firewall ist die entscheidende Funktionalität. Es ging mir nur darum, in wenigen Worten das Prinzip zu beschreiben. Auch eine Lösung mit nur einem Router ist denkbar, wenn dieser die Aufgaben beider Firewalls übernehmen kann und die DMZ getrennt anschließt. Mit nur einer Fritzbox geht es allerdings nicht (das Gastnetzwerk bietet nicht alle für die DMZ nötigen Funktionen).

  • Ich gehöre nicht zu denen, die sofort "nur über VPN" rufen, wenn jemand überlegt, sein NAS vom Internet aus erreichbar zu machen. Wenn man genau weiß, was man macht, und sichere Software verwendet, kann man da schon was machen.

    Das kann ich im Bezug auf QNAP so nicht stehen lassen.

    Welche sicher Software kennst du, die auf QNAP läuft?

    Web-, FTP-Server, sind es eher nicht.

    Wenn man einen Webserver online stellen will, gibt es da noch php, perl, python, ruby und mehr, welche auch aktuell sein müssen.

    Das gewährleistet QNAP momentan nicht im Ansatz.

    Eine Firewall hilft nicht bei veralteter Software dahinter.

  • Mit einer richtigen Firewall kann ich über VLANs so viele DMZ Netze aufbauen, wie die Hardware oder Softwarelizenz hergibt.


    Dazu gehört dann aber auch ein Netzkonzept, ich nutze hier z.B. 192.168.0.0/19.

    Da kann ich 32 Netze mit 24er Maske aufbauen, das reicht schon.

  • Die aktuelle OpenSSH-Version ist vom 3.3.21, da waren auch Sicherheitsupdates dabei.

    Ich glaube nicht, dass diese Version in der letzten FW von QNAP dabei ist, aber ich mich auch irren.

  • Qnap hat eine etwas ältere Version installiert.

    OpenSSH_8.0p1, OpenSSL 1.0.2s 28 May 2019


    Wenn du dir die Release Notes der neueren Versionen anschaust (und auch verstehst), kannst du, eine sichere Konfiguration vorausgesetzt, auch bei offenem Port damit gut schlafen.

  • OK dann lassen wir SSH als sicher gelten.

    SSH ist aber kein Dienst, welcher zum hosten von Webseiten notwendig ist.