Sicherer Fernzugriff auf NAS?

    Hallo zusammen


    Nach längerer Zeit will ich mich nun intensiv mit dem Thema Fernzugriff auf das NAS auseinandersetzen.
    Der Hintergrund ist, dass ich für mich und meine Familie den Zugriff untereinander ermöglichen, aber auch unterwegs auf meine Daten zugreifen möchte.

    Es geht dabei um folgende Geräte:
    - NAS TVS-472XT

    - NAS HS-453DX
    - Diverse Clients wie Windows PC/Notebooks, Android Tablets und Smartphones


    In Wohnung 1 befindet sich das "TVS-472XT" und der Netzwerkdrucker und in Wohnung 2 das "HS-463DX".

    In Wohnung 1 nutze ich ferner eine FRITZ!Box 6890 LTE. In der Wohnung 2 wird demnächst der Router ersetzt (da der aktuelle Router weder Gigabit fähig ist, noch irgendeine Form von VPN oder Portweiterleitung beherrscht), vermutlich auch durch eine Fritzbox oder etwas anderes, je nachdem was sich hier so ergibt :handbuch:

    Wie man sich denken kann, geht es konkret darum, dass ich jeweils auf die Dienste vom anderen NAS zugreifen möchte, also z.B. von einem Client aus der Wohnung 2 heraus auf das NAS "TVS-472XT" in der Wohnung 1.
    Aber ich möchte auch gerne unterwegs von meinem Tablet/Notebook/Smartphone auf meine NAS-Server zugreifen.


    Wenn man nach "VPN und QNAP" googelt oder auch hier im Forum sucht, gibt es sehr viele Vorschläge, unter anderem myQNAPCloud/-Link mit dazugehöriger App, oder auch VPN auf der Fritzbox einzurichten.

    Gerade die aktuellen Fritzbox beherrschen Technologien wie IPSec oder Wireguard, was auf den ersten Blick ganz cool aussieht.


    Aber geht das mit Wireguard wirklich so gut, gerade auch unterwegs vom Smartphone/Tablet/Notebook, oder wäre doch eine Direktverbindung aufs NAS via myQNAPCloud oder ähnlichem besser geeignet?
    Die Vorstellung mein NAS direkt ins Internet zu stellen verursacht jedoch einiges Unbehagen, muss ich zugeben... :/



    Was nutzt ihr so 2023/2024 und was könnt ihr mir empfehlen? :)

    IPSec von der Fritte, klappt super, nur nicht so schnell. Wireguard komtm als nächstes.

    myQNAPCloud vergiss gaaanz schnell.

    Ich kann Wireguard nur empfehlen, ist auch in der Geschwindigkeit ganz ordentlich und des gibt Clients für den Zugriff von Unterwegs genauso wie man die Fritten so konfigurieren kann, dass sie die Netzwerke miteinander verbinden.

    Bauchschmerzen braucht man dann nicht zu haben.

    Wireguard oder IPsec.

    Auf gar keinen Fall myqnapcloud. Allenfalls myqnapcloudlink, aber auch das würde ich nicht empfehlen.


    Gruss

    Wireguard und Fritte - läuft bei mir auch problemlos. Früher habe ich mich mit IPsec auf der Fritte herumgequält, aber das muss jetzt nicht mehr sein ...

    Schade das Wireguard nicht weiter entwickelt. Besser wäre zusätzliche Schutz Passwort für Wireguard. Denn jeder kann Laptop Datei klauen zugriff....

    Ich habe mir mal genauer angeschaut, was der Terrapin-Angriff bedeutet. MMn. kann man die Schwachstelle als Privatanwender idR. ignorieren.


    1.

    Der Angreifer muss eine "Man-in-the-Middle"-Attacke ausführen, und dazu muss er sämtlichen Netzverkehr zum Angriffsziel kontrollieren (lesen und manipulieren). Im offenen Internet ist dies schwer möglich, da Nachrichten immer wieder auf anderen Wegen geleitet werden. Anders sieht das in Firmen-LANs aus, da gibt es eher Möglichkeiten (Raspi zwischen Server und Switch gehängt).


    2.

    Der Angreifer kann die Authentifizierung nicht brechen, sondern nur abschwächen. So kann er z. B. von der Authentifizierung über ssh-Keys zu der weniger sicheren Authentifizierung per Passwort umschalten (wobei ich mich Frage, wie das ist, wenn man Anmeldung per Passwort abgeschaltet hat) oder er kann die Keystroke-Obfuscation außer Betrieb setzen. Er kann sich aber nicht ohne ssh-Key oder Passwort anmelden und genauso wenig kann er damit ein sicheres Passwort knacken.


    Es ist zwar nett, wenn die Terrapin-Entdecker ein Progrämmchen zum Testen der Anfälligkeit eines Systems mitliefern, aber hier macht es unnötig Panik. In den wenigsten Fällen werden dadurch praktische Angriffe möglich. Wenn man aber in einem großen Firmennetzwerk alle Accounts mit Trivialpasswörtern belegt hat, weil man sich ohnehin nur per ssh-Key anmeldet, dann sollte man die Lücke ernst nehmen.