Sicherer Fernzugriff auf NAS?

    Hallo zusammen


    Nach längerer Zeit will ich mich nun intensiv mit dem Thema Fernzugriff auf das NAS auseinandersetzen.
    Der Hintergrund ist, dass ich für mich und meine Familie den Zugriff untereinander ermöglichen, aber auch unterwegs auf meine Daten zugreifen möchte.

    Es geht dabei um folgende Geräte:
    - NAS TVS-472XT

    - NAS HS-453DX
    - Diverse Clients wie Windows PC/Notebooks, Android Tablets und Smartphones


    In Wohnung 1 befindet sich das "TVS-472XT" und der Netzwerkdrucker und in Wohnung 2 das "HS-463DX".

    In Wohnung 1 nutze ich ferner eine FRITZ!Box 6890 LTE. In der Wohnung 2 wird demnächst der Router ersetzt (da der aktuelle Router weder Gigabit fähig ist, noch irgendeine Form von VPN oder Portweiterleitung beherrscht), vermutlich auch durch eine Fritzbox oder etwas anderes, je nachdem was sich hier so ergibt :handbuch:

    Wie man sich denken kann, geht es konkret darum, dass ich jeweils auf die Dienste vom anderen NAS zugreifen möchte, also z.B. von einem Client aus der Wohnung 2 heraus auf das NAS "TVS-472XT" in der Wohnung 1.
    Aber ich möchte auch gerne unterwegs von meinem Tablet/Notebook/Smartphone auf meine NAS-Server zugreifen.


    Wenn man nach "VPN und QNAP" googelt oder auch hier im Forum sucht, gibt es sehr viele Vorschläge, unter anderem myQNAPCloud/-Link mit dazugehöriger App, oder auch VPN auf der Fritzbox einzurichten.

    Gerade die aktuellen Fritzbox beherrschen Technologien wie IPSec oder Wireguard, was auf den ersten Blick ganz cool aussieht.


    Aber geht das mit Wireguard wirklich so gut, gerade auch unterwegs vom Smartphone/Tablet/Notebook, oder wäre doch eine Direktverbindung aufs NAS via myQNAPCloud oder ähnlichem besser geeignet?
    Die Vorstellung mein NAS direkt ins Internet zu stellen verursacht jedoch einiges Unbehagen, muss ich zugeben... :/



    Was nutzt ihr so 2023/2024 und was könnt ihr mir empfehlen? :)

    IPSec von der Fritte, klappt super, nur nicht so schnell. Wireguard komtm als nächstes.

    myQNAPCloud vergiss gaaanz schnell.

    Ich kann Wireguard nur empfehlen, ist auch in der Geschwindigkeit ganz ordentlich und des gibt Clients für den Zugriff von Unterwegs genauso wie man die Fritten so konfigurieren kann, dass sie die Netzwerke miteinander verbinden.

    Bauchschmerzen braucht man dann nicht zu haben.

    Wireguard oder IPsec.

    Auf gar keinen Fall myqnapcloud. Allenfalls myqnapcloudlink, aber auch das würde ich nicht empfehlen.


    Gruss

    Wireguard und Fritte - läuft bei mir auch problemlos. Früher habe ich mich mit IPsec auf der Fritte herumgequält, aber das muss jetzt nicht mehr sein ...

    Schade das Wireguard nicht weiter entwickelt. Besser wäre zusätzliche Schutz Passwort für Wireguard. Denn jeder kann Laptop Datei klauen zugriff....

    Ich habe mir mal genauer angeschaut, was der Terrapin-Angriff bedeutet. MMn. kann man die Schwachstelle als Privatanwender idR. ignorieren.


    1.

    Der Angreifer muss eine "Man-in-the-Middle"-Attacke ausführen, und dazu muss er sämtlichen Netzverkehr zum Angriffsziel kontrollieren (lesen und manipulieren). Im offenen Internet ist dies schwer möglich, da Nachrichten immer wieder auf anderen Wegen geleitet werden. Anders sieht das in Firmen-LANs aus, da gibt es eher Möglichkeiten (Raspi zwischen Server und Switch gehängt).


    2.

    Der Angreifer kann die Authentifizierung nicht brechen, sondern nur abschwächen. So kann er z. B. von der Authentifizierung über ssh-Keys zu der weniger sicheren Authentifizierung per Passwort umschalten (wobei ich mich Frage, wie das ist, wenn man Anmeldung per Passwort abgeschaltet hat) oder er kann die Keystroke-Obfuscation außer Betrieb setzen. Er kann sich aber nicht ohne ssh-Key oder Passwort anmelden und genauso wenig kann er damit ein sicheres Passwort knacken.


    Es ist zwar nett, wenn die Terrapin-Entdecker ein Progrämmchen zum Testen der Anfälligkeit eines Systems mitliefern, aber hier macht es unnötig Panik. In den wenigsten Fällen werden dadurch praktische Angriffe möglich. Wenn man aber in einem großen Firmennetzwerk alle Accounts mit Trivialpasswörtern belegt hat, weil man sich ohnehin nur per ssh-Key anmeldet, dann sollte man die Lücke ernst nehmen.

    Hi Leute, ich bin neu in der NAS Welt uns suche vergebens nach einem Tutorial wie ich mein NAS von Extern über VPN mit Wireguard erreichen kann. Vor dem NAS hängt eine Fritzbox.

    Moin,


    dann bist Du eigentlich auf der AVM Homepage gut aufgehoben, die haben afaik gute Anleitungen dafür.

    Ich kenne mich mit AVM leider nicht aus...

    Zitat von MikelTheSayan

    aktuellen Fritzbox beherrschen Technologien wie IPSec oder Wireguard

    Wireguard auf zwei Fritzboxen von VPN ü. IPsec umgestellt. Bei Anmeldung der FB bei myfritz und 2FA Authentifizierung kann man die Bestätigung ohne physische Anwesenheit an der FB durchführen.

    Für mobiles Zugreifen mit dem iPhone ist noch parallel VPN mit IPsec eingerichtet und funktioniert parallel.

    Mod: Unnötiges Volltextzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Die Fritten mit der neueren FW lassen sich sehr leicht mittels Wireguard anbinden. Das ist nahezu id...sicher. IPsec geht parallel dazu auch, ist/war aber etwas aufwendiger von der Einrichtung - aber ist auf den AVM-Seiten auch Schritt für Schritt erklärt... kann also nicht so recht nachvollziehen, dass du keine Tutorials im WWW findest....

    Ein Quentchen Eigeninitiative darf sein :)

    Und das ist völlig unabhängig vom QNAP-NAS: du bist dann via VPN in deinem home-Netz und sprichst dann jegliche Geräte in deinem home-Netz wie von zu Hause gewohnt, z.B. via IP an.

    Danke für eure Antworten. Habe es hinbekommen. Habe einen Wireguard Server über QVPN Service erstellt und lediglich den Port bei der Fritzbox freigeschaltet. :)

    ?

    Ist doch vollkommen überflüssig. Der VPN Endpunkt sollte die Fritzbox sein, nicht das NAS mit dem QVPN.

    Zumal QVPN in der Vergangenheit schon einige Macken hatte.


    Da QNAP mit seinen Produkten nicht gerade durch Sicherheit glänzt, würde ich das gaaanz schnell ändern.


    Gruss

    Vor allem wo Wireguard auf einer AVM Box bedeutet:

    Ok der default IP Bereich von AVM sollte zuvor geändert werden, auf was anderes als 192.168.178.0/24.

    Dann jedoch:

    MyFritz einrichten, VPN klicken, QR Code Scannen oder Profil export, Import am Win/Linux Client, verbinden.