QNAP TBS-453DX - Verwendung als "Cloud-Speicher" möglich?

    Lieber Leser,


    ich habe folgende Hardware-Konfiguration:


    NAS: QNAP TBS-453DX mit Samsung 860 EVO 2TB

    3 x PC mit Windows 10

    2 x iPhone mit iOS 14

    Vodafone Easybox DSL-Modem/Router


    Das NAS und die SSDs werden erst innerhalb der nächsten 2 Wochen geliefert. Ich versuche mich deswegen ein wenig schlau zu machen. Die Thematik ist aber etwas größer und ich habe den Überblick über die Möglichkeiten verloren.

    Vielleicht könnt ihr mir bitte mit Ideen/Vorschlägen zu meinen Gedankengängen weiterhelfen?


    Ich möchte das NAS 24/7 laufen lassen im Heim-Netzwerk. Angeschlossen per Kabel an den Internet Router.

    In erster Linie möchte ich meinen Cloud-Speicher (Dropbox) ablösen und die Daten an verschiedene Computer synchronisieren.

    Zusätzlich soll auch ein iPhone Zugriff auf die Daten erhalten, um Musik und Videos zu streamen oder Fotos abzuspeichern.

    Am besten erfolgt die Datenspeicherung und der Transfer verschlüsselt.


    Meine Gedanken:

    Ich richte mit QFinder am PC das NAS ein (IP, Volumes, evtl. Verschlüsselung). Vielleicht kann ich dort gleich das komplette Volume verschlüsseln lassen?

    Anschließend richte ich eine Freigabe ein und installiere QSync damit dort die Dokumente auf die anderen PCs synchronisiert werden. Vielleicht kann man auch nur spezielle Ordner für die Synchronisierung auswählen? Vieles kann ja einfach auf der NAS liegen bleiben und wird ggf. dann gestreamed oder heruntergeladen.


    Soweit in Ordnung? Denke ich richtig? Ideen? Vorschläge?


    Jetzt wird es etwas schwieriger, da ich auch zwei iPhones einbinden möchte. Damit das ganze klappt muss ich doch einen DynDNS Dienst wählen damit mein iPhone weiß, wohin die Daten gespeichert werden bzw. von welcher Adresse die Daten zu streamen sind? Ich denke da an den Anbieter no-ip.com und ihr?

    Ist das nicht ein Risiko für Hacking, da man ja das NAS direkt am Internet anbindet? Daher möchte ich auch gerne, dass die Daten verschlüsselt werden. Einerseits die Speicherung und andererseits die Übertragung. Die App dazu ist QSync Pro, oder?

    Wie läuft die Authentifizierung der iPhones ab? Mit einem Zertifikat von Let's encrypt? Ich möchte eben nicht, dass jemand über das NAS in mein Heimnetzwerk eindringen kann (mir ist klar, dass es keine 100% Sicherheit gibt aber ich möchte es so gut es geht ausschließen).


    Was meint ihr dazu? Könnte ich so meine Dropbox ablösen? :)


    Herzlichen Dank und LG

    Ich bin zu kurz angebunden um Dir die Fragen zu beantworten und meine Gedanken dazu zu teilen, da wird sicher in Kürze was von anderen Usern kommen...


    Ich möchte aber einmal loswerden, dass ich es erstaunlich und großartig finde, dass Du Dir Gedanken gemacht und Infos besorgt hast, bevor Du blind drauf losgelegt hast und nun eine Einschätzung dazu haben möchtest!

    :thumbup::thumbup::thumbup:

    Bekommt man nicht oft zu lesen.


    Edit:

    Naja eins noch... Du hast das Thema "Hacking" angesprochen... Schau Dich dazu mal im Bereich "Sicherheit" im Forum um. Da ist genau deswegen grad ziemlich viel los ;)

    Keine Sorge was die Verschlüsselung der Daten angeht, wenn du das nicht einrichtest, wird sich da schon ganz automatisch jemand drum kümmern:


    https://www.heise.de/news/Jetz…rity.atom.beitrag.beitrag


    Ja kann man intern als Speicher für alles und jeden verwenden, dann wird von extern aber nur über VPN aufs Heimnetz und damit das NAS zugriff gewährt. Dann ist das der sicherste Datenspeicher des es gibt, jedenfalls so sicher wie das Gebäude in dem es steht.


    Also bitte erweitere deine Überlegung zu einem Netzwerk Gesamtkonzept, dann wird das super funktionieren.


    Ich habe ich ein Modem, eine Netgate Firewall, mehrere Switche und an einem weiterem Standort noch mal Modem, Netgate Firewall und ein Backup NAS.


    Das bekommt dann per Job die Daten durch den VPN Tunnel übertragen.

    So habe ich immer ein externes, relativ aktuelles Backup aller Daten.

    Da pflichte ich tiermutter bei: erst fragen, dann machen, das sieht man nicht oft - leider. ;)


    Für IOS gibt es auch QFile und Qsync, damit habe ich aber nur unter Win bzw. Android Erfahrung.

    Das wichtigste fehlt mir in Deinen Ausführungen: soll das NAS auch von irgendwo in der Welt erreichbar sein, wenn ja, auch für andere?

    Vermutlich, denn sonst würdest Du kein DynDNS benötigen.

    Bei einem Dropbox Account kanst Du ja Dritten Zugriff gewähren, bei einem NAS auch, aber davon würde ich Dir ganz dringend abraten, siehe mal wieder die gegenwärtige Malwarewelle.


    Und wenn, dann würde ich einen Zugriff nur über VPN gestatten, das wäre das Minimum an Sicherheit, alles andere ist Risiko!

    Wobei man dann Zugriff auf das komplette LAN hat, wenn nur auf das NAS zugegriffen werden soll, musst Du erst mehr oder weniger aufwändig entsprechende Maßnahmen treffen.


    Meine Volumes sind nicht verschlüsselt und Lets Encrypt benutze ich auch nicht, von daher - keine Erfahrung.


    Gruss

    Crazyhorse hat schneller getippt...:)

    Hängt vom VPN GE ab, was dann erlaubt ist.


    VPN geht auch mit einer Fritzbox, hier kann man aber so gut wie nix einstellen.


    Bei einer richtigen Firewall sieht das anders aus. hier ist alles verboten was vom Admin nicht extra erlaubt wird.


    Dazu gehört aber auch, das man sich ein wenig in das Thema Netzwerk rein arbeitet.


    Pfsense ist dann jedoch super für den Einstieg, denn es gibt es für fast alles einen Guide oder eine mega Gemeinschaft die im Forum des Herstellers hilft.

    Zitat von Crazyhorse

    Keine Sorge was die Verschlüsselung der Daten angeht, wenn du das nicht einrichtest, wird sich da schon ganz automatisch jemand drum kümmern:

    ymmd :D

    so traurig das auch gerade aktuell ist.

    So viele Antworten in so kurzer Zeit. Vielen Dank Euch!!


    Das mit der Malware auf QNAP-Systeme ist schon heftig. Richtig heftig.... wer denkt schon immer dran, das neueste Update auf seine NAS zu installieren, wenn sie einfach läuft. Ich hoffe natürlich, dass solche Attacken eine Ausnahme sind und QNAP daraus lernt?


    tiermutter freut mich, dass meine Anfrage so positiv rüberkommt.

    FSC830 ja, das NAS muss unbedingt von extern zugänglich sein, da ich mit dem iPhone auch mal Bilder und Videos streamen möchte, wenn ich unterwegs bin. Oder auch einfach meine Dokumente bearbeiten möchte am Laptop.

    Crazyhorse Pfsense ist bestimmt super aber ich glaube das erfordert weit mehr Kenntnisse als mein Horizont zulässt. Deine Lösung mit dem automatischen Backup der Daten ist bemerkenswert. Ich möchte aber zunächst mal nur ein NAS betreiben im RAID5 Modus. Bietet ja etwas mehr Ausfallsicherheit als nur eine externe Festplatte (wie es momentan der Fall ist).


    Habe Eure Empfehlungen weiterverfolgt, insbesondere die VPN-Geschichte. Die gute Nachricht ist, dass diese Vodafone Easybox tatsächlich eine VPN-Möglichkeit bietet und das sogar mit eigenen Zertifikaten zur Authentifizierung. Ob es natürlich auch wirklich klappt bzw. dass ich es hinbekomme steht auf einem anderen Blatt ;) ich muss mir noch einen DynDNS Dienst suchen, welchen ich dann verwende.


    Jetzt sind doch noch ein paar Fragen aufgekommen auf die ich noch keine Antwort habe. Vielleicht könnt ihr mir bitte nochmal weiterhelfen? :)


    1. Nutzt ihr einen DynDNS Dienst? Falls ja, welchen?
    2. Damit das mit dem VPN und der TBS-453dx klappt, ist die Software "QVPN" zuständig? Oder bräuchte man das nur, wenn der Router kein VPN-Server ist?
    3. Was ist der Dienst myQNAPcloud ? Ist es nicht genau das was ich eigentlich suche? Habe mir nur kurz ein Video angeschaut und war recht begeistert. Ist das besser als die Lösung über VPN?
    4. Für die Sicherheit wird mein NAS, also das Volume komplett verschlüsselt. Um die Übertragung sicherer zu gestalten kann man auf SSL stellen? Habe da nur einen Button gesehen zum aktivieren/deaktivieren? Braucht man dafür auch ein Zertifikat oder ist das hinfällig, wenn ich über VPN verbunden bin mit dem VPN-Zertifikat?


    (Bitte fühlt Euch nicht genötigt alle Fragen beantworten zu müssen!!)


    Schönen Abend noch und LG

    1. Dyn.org .. aber jeder Service sollte gleich gut klappen

    2. QVPN nur wenn der Router keinen VPN Server hat..und selbst dann würd ich den VPN Server NICHT auf dem Qnap betreiben

    3. Welcher Dienst genau? CloudLink?

    4. Platten Verschlüsselung hat nix mit Übertragung der Daten zu tun und auch nix mit VPN.

    Ja, QVPN ist m.E. eher schlecht im Vergleich zum VPN Zugang über den Router.

    Gerade über myqnapcloud sind wohl in der Vergangenheit eine Reihe Angriffe erfolgt, davon würde ich erst recht abraten!

    Als DynDNS Dienst verwende ich meinen Account bei meinem Webhoster.

    Ich würde die Easybox gegen eine Fritzbox tauschen, dann könnte man myfritz als DynDNS nehmen.


    Gruss

    Zitat von FSC830

    Gerade über myqnapcloud sind wohl in der Vergangenheit eine Reihe Angriffe erfolgt

    So ist es. Es wird wohl explizit nach myqnapcloud Adressen gescannt um Lücken in QNAP System auszunutzen.

    Ich würde beim Thema VPN empfehlen einfach ein weiteres Gerät zu verwenden und die notwendige Freigabe dann darauf einrichten. Dann ist zumindest das NAS nicht "direkt" über das Internet zu erreichen. So ein Gerät kann z.B. ein Raspberry Pi sein, der mittels PiVPN die Verbindung bereitstellt. Als Protokoll würde ich Wireguard empfehlen. Da gibt es Clients für alle Betriebsysteme (auch Android und iOS) und weil Wireguard "Romaning" beherrscht, bemerkt man gar nicht, dass man sich nicht im Heimnetz befindet.


    Als DynDNS Privider nutze ich Dynv6 mit einer eigenen Domain.

    Mein erster Gedanke dazu, weil ich auf das Thema heute zum zweiten Mal stoße:


    Wireguard auf Android mit dyndns? Geht das?


    Ich stimme in dem Punkt zu, dass ich mir lieber ein anderes Gerät als VPN Server hinstellen würde, als nen QNAP, wenn es der Router nicht hergibt. Wichtig sind halt entsprechende Updates und da hat man selbst bei nem Pi mehr Handhabe und Aktualität.

    Zitat von tiermutter

    Wireguard auf Android mit dyndns? Geht das?

    Ja, das geht wunderbar. Wüsste auch nicht was dagegen sprechen sollte. Für die vereinfachte Verwaltung von Clients könnte man sogar noch sowas wie wg-ui verwenden.

    Moin!


    Perfekt!


    MyQNAPcloud ist sicherheitstechnisch leider nicht das gelbe vom Ei. Wobei ich einige Einstellungen gefunden habe die einge Schlupflöcher stopfen würde (Apps & Zugänge deaktivieren, "admin" löschen,...). Aber das Problem ist auch wie tuxflo beschreibt, dass das QTS direkt am am Internet hängt. Das ist zwar technisch leicht umsetzbar aber ich habe kein Vertrauen in QTS, dass es immer frei von Sicherheitslücken ist.


    Bei einer VPN-Lösung über die Easybox als VPN-Server geht man zwar auch auf die NAS aber ich muss gestehen, dass mir das als Sicherheit ausreichen würde. Einen zusätzlichen Pi nur für die Freigabe? Behalte ich aber auf jeden Fall mal im Hinterkopf für die Zukunft :) so ein Pi bietet schon einige interessante Möglichkeiten (z.B. Pi-hole).


    Generell habe ich Dank Euch schon weitaus besseren Durchblick bei der ganzen Sache! Danke nochmal an alle!!


    Die Easybox ist fertig konfiguriert als VPN-Server mit DynDNS ( Crazyhorse Danke für den Hinweis mit selfHOST!).

    Und seit gestern ist auch die QNAP TBS-453DX da :) juhuuu!! Umfassende Konfiguration steht noch aus ;)


    Aber leider bereitet mir mein Laptop von der Arbeit Sorgen. Dieser erlaubt es mir schlichtweg nicht eine OpenVPN Verbindung aufzubauen. Ich denke die Firma hat hier gute Gründe soetwas zu unterbinden.

    Muss gestehen, dass ich bei manchen Tätigkeiten (Schreibarbeit, Dokumentationen,...) einfach meinen Kopfhörer aufziehe und Musik höre. Musik die dann zukünftig auf der QNAP liegt und die ich auch in der Arbeit streamen wollte.

    Das ist natürlich nur ein Beispiel und "Musik" könnte man noch verkraften. Aber manchmal benötigt man eben auch ein privates Dokument oder sonstiges, auch wenn man in der Arbeit sitzt...

    Die vorhandene VPN-Software "PulseSecure" habe ich nicht zum laufen gebracht - weiß zumindest nicht wie. Und auch zwei OpenVPN clients starten einfach nicht (OpenVPN und Securpoint).


    Da habe ich leider keine Idee wie ich das noch irgendwie lösen könnte. Muss mir auch mal das 1-Std. Video von QNAP über CacheMount/HybridMount anschauen... vielleicht lässt sich darüber etwas machen damit auch der Zugriff aus der Arbeit auf die QNAP möglich ist.


    Danke und einen schönen Donnerstag! LG

    Zitat von commy

    Aber leider bereitet mir mein Laptop von der Arbeit Sorgen. Dieser erlaubt es mir schlichtweg nicht eine OpenVPN Verbindung aufzubauen. Ich denke die Firma hat hier gute Gründe soetwas zu unterbinden.

    Davon stand auch nichts im ersten Post ;), und ja, jede (vernünftige) IT-Administration wird einen Zugriff auf fremde Netztwerke unterbinden, nennt sich "Sicherheit".

    Sonst schleppst Du u.U. Malware vom Heimnetzwerk schön in das Unternehmen, das kann durchaus auch arbeitsrechtliche Konsequenzen haben, da wäre ich also höchst vorsichtig, so ganz nebenbei bemerkt.


    Gruss

    Ja, ganz klar. Ich will wegen MP3s oder den Vorteil in der Arbeit an das NAS zu können meinen Job nicht riskieren!


    Mein Fokus liegt daher auch klar auf den privaten Systemen und dem iPhone. Daher war der Arbeits-Laptop anfangs auch nicht in den Anforderungen dabei. :saint:

    Hat sich schon mal jemand mit dem CacheMount beschäftigt wie das funktioniert und ob das in Hinblick auf die Sicherheit taugt? Interessanter Weise sind viele Cloud Speicher in der Arbeit nicht gesperrt.

    Vielleicht kann man über dieses Feature irgendwie einen Arbeits-Speicherordner anlegen... :/


    LG

    Also wenn du OpenVPN nutzt, solltest du einfach als Protokoll TCP und als Port 443 einstellen können. Das kann theoretisch kein Arbeitgeber unterbinden, weil darüber ja auch das "normale Web" bereitgestellt wird.

    Das ist natürlich nicht von der Hand zu weisen.

    Aber ich kann/darf den VPN Client gar nicht starten. Ich vermute das wird über sogenannte Gruppenrichtlinien blockiert...


    werde wohl in den sauren Apfel beißen müssen was die Verbindung am Arbeits-Laptop angeht.


    Auf der anderen Seite habe ich es heute mit dem iPhone aus der Arbeit probiert... da klappt es wie beim privaten einwandfrei.


    Ich überlege mir die ganze Geschichte niederzuschreiben... also sowas wie eine Anleitung und ausführlichen Gedanken zu diesem Setup. Außerdem sind die sonstigen Anleitungen leider veraltet...