NAS nur im LAN - kein Internetzugang

    Ich habe mir als Backuplösung eine QNAP TS-131K gekauft, die in einem entfernten LAN nur als Backup Speicher dienen soll. Diese QNAP ist noch jungfräulich verpackt und soll nie das Internet sehen. Jetzt die Frage, welche Einstellungen muss ich an der NAS vornehmen, dass kein Kontakt mit dem Internet möglich ist - nur LAN Zugriff natürlich. Konfigurieren würde ich die QNAP über einen PC, der natürlich dazu auch nicht im Internet sein darf. Das bedeutet WLAN aus und nur eine Kabelverbindung zwischen QNAP und PC.


    Die letzten Tage/Wochen habe ich hier viel gelesen und daraus mitgenommen, dass:

    1. myQnapCloud nicht installiert wird
    2. Die Systemports geändert werden (bietet aber keinen allzu großen Schutz)
    3. In der FritzBox gibt es jetzt neu eine Gerätesperre "Jetzt können Sie an ausgewählten Geräten im Heimnetz mit einem Klick den Internetzugang aus- und einschalten" Ob das aber nur in eine Richtung wirkt oder in beiden konnte mir der Support nicht sagen und müssen sie erst testen :/ Vielleicht hilft diese Einstellung auch noch zusätzlich.
    4. Welche Dienste und Freigaben sind sonst noch zu deaktivieren ?

    Die TS-131K soll ausschließlich per Webbrowser aus dem LAN auf die GUI erreichbar sein, und das Backup meiner QNAP TS-251+ wird per HBS3 zur TS-131K synchronisiert. Firmwareupdates erledige ich manuell und für die Zeitsynchronisierung fällt mir noch was ein - oder hier kommt ein Tipp dazu ;)

  • thomas_1802

    Hat den Titel des Themas von „NAS nur im LAN kein Internet“ zu „NAS nur im LAN - kein Internetzugang“ geändert.

    Wie wird das andere LAN denn erreicht, damit die beiden NAS miteinander kommunizieren können? VPN zwischen zwei Routern? Wenn ich in der Firewall/ Router keine eindeutigen Regeln definieren kann (oder will), die den Internetzugriff verhindern, dann würde ich dem Gerät einfach eine statische IP und ein falsches Gateway geben. Edit: Und die Route in das entfernte LAN manuell eintragen.

    Zitat von thomas_1802

    myQnapCloud nicht installiert wird

    Jo, besser weglassen.

    Zitat von thomas_1802

    (bietet aber keinen allzu großen Schutz)

    Richtig. Habe das im LAN selbst mal gemacht und bin nun dabei im LAN wieder alles auf Standardports zu stellen. Nervt nur, vor allem wenn man auch noch überall unterschiedliche Ports für die gleiche Anwendung verwendet :D

    Zitat von thomas_1802

    In der FritzBox gibt es jetzt neu eine Gerätesperre

    Fritte kenne ich nicht, aber das klingt eigentlich nach dem, was Du brauchst.

    Zitat von thomas_1802

    Ob das aber nur in eine Richtung wirkt oder in beiden

    Ausgehend reicht doch, eingehend muss die Firewall sowieso alles blockieren, was Du nicht explizit freigibst.

    Zitat von thomas_1802

    konnte mir der Support nicht sagen und müssen sie erst testen

    Wow, das ist arm.

    Zitat von tiermutter

    Wie wird das andere LAN denn erreicht, damit die beiden NAS miteinander kommunizieren können? VPN zwischen zwei Routern?

    Richtig .. LAN2LAN Kopplung von zwei Fritz!Boxen.



    Zitat von tiermutter

    Wenn ich in der Firewall/ Router keine eindeutigen Regeln definieren kann (oder will), die den Internetzugriff verhindern, dann würde ich dem Gerät einfach eine statische IP und ein falsches Gateway geben. Edit: Und die Route in das entfernte LAN manuell eintragen.

    Vom Prinzip verstanden, wie das umgestzt werden soll ist mir nich klar. Aber ich glaube mit der Gerätesperre bzw. einer Kindersperre erreiche ich genau das was ich möchte. Dann muss ich zuvor die statische IP mit der Mac Adresse der TS-131K anlegen und dort gleich die Sperre eintragen. Erst dann die TS-131K mit dem LAN verbinden.

    Ich denke auch, dass das mit den gegebenen Mitteln möglich sein wird, das werden andere denke ich beantworten können.


    Mit meiner "Methode" war gemeint dass das NAS kein (oder ein falsches) Standardgateway (Routeradresse) bekommt, wodurch es erstmal nur im LAN kommunizieren kann. Sollte es eine Verbindung zum Quellsystem aufbauen sollen oder müssen, so könnte die Route in das Netz des Quellsystems manuell angelegt werden, sodass das NAS den Router nur als Gateway verwendet, wenn es zu dem Netzwerk des Quellsystems sprechen will.

    Was willst du mit dem Inet Block erreichen?


    Ich betreibe seit Jahren ein Backup NAS an einem per S2S angebundenem Standort.

    Das darf aber ins Internet um Apps und Firmware zu prüfen.

    Das Internet wird hier aber durch einen DNS Filter ein und ausgehend vor bösen Sachen geschützt.


    Zugriff von WAN Seite erfolgt nur über Roadwarrior VPN, in meinem Fall auch IPsec IKEv2.


    Da kann also von außen nichts an Schadsoftware auf das NAS gelangen, bleibt nur die Möglichkeit über einen Client der sich im Netz vom NAS befindet etwas ein zu schleppen.


    Zudem sind aber mindestens Quartalweise noch mal alle Daten auf zwei externen HDs gesichert die so gelagert werden, ebenfalls am Standort vom Backup NAS.


    Du kannst ja bei deiner Fritz nicht mit verschiedenen, über restriktives Firewall Regelwerk getrennte VLANs arbeiten. Daher ist das Inet Blocking ausgehend vom Backup NAS nur bedingt Sinnvoll.

    Absolute Sicherheit lässt sich sowieso nicht erreichen, also muss diese verhältnismäßig sein.


    In deinem Fall sehe ich daher den Mehrwert für den totalen Internet Block nicht.


    Ja das mit dem fehlendem GW kann man machen, aber das ist immer Mist und das sage ich aus Sicht eines Netzwerkers. Das geht schnell unter und dann suchst du dir später nen Wolf.

    Was noch Sinn machen würde, den Inet Zugriff vom NAS aus eingeschränkt zu stellen, so das hier der Filter der Fritz aktiv wird und böses vor filtert. So wie ich das mit dem DNS Filter auch mache.


    Ansonsten eigenes VLAN für das Backup NAS, nur https für Management von einem VPN Netz freigeben, in das man am besten mit 2 FA Auth nur rein kommt.

    Dann zieht sich das Backup NAS das Backup aktiv vom Quellsystem, es muss also nur ausgehendes Regelwerk vom Backup NAS erlaubt werden.

    Rein darf in das Netz dann nix außer dein Management VPN Zugriff.

    Das ist aber eher etwas für ne Firma und weniger für privat, wobei man das auch hier umsetzen kann, wenn man bock drauf hat.

    Zitat von thomas_1802

    entfernten LAN nur als Backup Speicher

    Wenn das QNAP nur Backup Speicher und nicht in Internet können soll, dann ist es mit der Gerätesperre am einfachsten. Ist in beide Richtungen gesperrt. Zugriff nur im Hausnetz möglich.

    Zitat von thomas_1802

    Die letzten Tage/Wochen habe ich hier viel gelesen und daraus mitgenommen, dass:

    1. myQnapCloud nicht installiert wird

    Bei meinem kommt das mit der Firmware. Die Installation lässt sich weder verhindern, noch geht es zu deaktivieren oder zu deinstallieren.

    Was du aber Gutes machen kannst, ist, _es_nicht_zu konfigurieren_, also das NAS online bei QNAP anzumelden, Dienste zu veröffentlichen und Ports per UPnP zu öffenen.