Beiträge von phoneo

    Wenn auf deiner Fritzbox keine Portfreigaben zu deiner NAS eingerichtet sind, wäre der logische Schluss, dass von deinem Samsung Phone aus eine ständige VPN-Verbindung ins Heimnetzwerk besteht. Bestehende Verbindungen werden in der Fritzbox angezeigt, unter Internet --> Freigaben --> VPN


    Ansonsten wird es mysteriös ...

    Ich habe UPnP deaktiviert. Dennoch ist ein Zugriff ohne VPN per Qfile möglich.

    Es reicht nicht alleine zu schauen ob UPnP deaktiviert ist. Du musst auch prüfen, welche Portfreigaben eingerichtet sind. Das kannst du beispielsweise in deiner Fritzbox unter Diagnose --> Sicherheit prüfen. Unter "Portfreigaben auf Heimnetzgeräte" sollte stehen "keine Freigaben".

    Hi,


    die Fritzbox bringt alles mit was du brauchst. Die Erreichbarkeit über das Internet kannst du über myfritz-Accounts, einem kostenlosen DDNS von AVM/Fritzbox, realisieren. Die beiden Fritzboxen können dann dauerhaft per VPN miteinander verbunden werden. Gute Anleitungen zur Vorgehensweise findest du ebenfalls bei AVM. Wichtig ist, dass an den Standorten die IP-Adressräume unterschiedlich sind. Beispielsweise Standort A: 192.168.1.X und Standort B: 192.168.2.X. Aber auch das ist in den Anleitungen beschrieben. Wenn die VPN-Verbindung steht, werden über rtrr oder rsync die NAS über die jeweilige interne IP adressiert.


    Beachte: Auch andere Dienste und Geräte sind über den VPN-Tunnel im jeweils anderen Netzwerk erreichbar. So wäre es z.B. möglich, auf einen Netzdrucker am anderen Standort zu drucken. Wenn man allerdings die NAS direkt an einen Port der Fritzbox anschließt, kann man den weiteren Zugang ins weitere Netzwerk und damit den Zugriff auf andere Geräte beschränken.


    Je nach Datenmenge ist es ggf. hilfreich, für die erste Synchronisierung die Geräte an einem Standort mit einander zu verbinden. Oder die Daten per USB-Festplatte zu übertragen. Das könnte für die erste Synchronisierung eine erhebliche Zeitersparnis ergeben.


    Gruß

    Die neue Nas erkennt nun die eine Festplatte, sie zeigt auch an das diese fast voll ist (also Daten scheinen noch drauf zu sein) allerdings werden mir in der File Station die Daten nicht angezeigt.

    Bevor du die Daten in der File Station zu sehen bekommst, musst du zuerst die Freigabeordner manuell wieder einbinden.

    Guckst du hier. Da findest du die grundlegenden Erklärungen. Es gibt aber auch noch andere Threads die sich mit dem Thema beschäftigen.


    Nachtrag:


    In den Beitrag wird das Software Repository ipkg erwähnt und ist heute durch das aktuelle Entware-ng (opkg statt ipkg Befehl) zu ersetzen.

    Gern geschehen!

    Ist aber schon seltsam/nicht nachvollziehbar warum empfohlen wird den Standard-Admin zu deaktivieren und der Ersatzadmin dann nicht die gleichen Rechte wie der Original-Admi hat !?

    Ja, das zählt so zu den Eigenheiten der QNAP-Firmware, an die man auch verzweifeln kann...


    Die Empfehlung den Standard-Admin zu deaktivieren, kann man in Erwägung ziehen, wenn man Services seines QNAPs im Internet freigibt. Grundsätzlich sollte man aber mit solchen Freigaben sehr sparsam sein oder besser VPN-Verbindungen nutzen. Die QNAP-NAS-Systeme waren in den letzten Monaten nämlich häufiger Angriffsziele von Krypto-Trojanern.

    Hi Paul,


    Entware-ng sollte über die Shell grundsätzlich aufrufbar sein.


    z.B. auch mit opkg update


    Dieser Befehl aktualisiert die Liste der verfügbaren Pakete. Wenn das schon nicht geht, hat man ein grundsätzliches Problem.


    Vielleicht dieses? Die Shell arbeitet per Administrator nur ordnungsgemäß, wenn man den Standard-Administrator admin nutzt. Zumindest war das bei älteren Firmware-Versionen so.


    Du hattest MC ja schon mal laufen. Deshalb sind die aktuellen Probleme etwas verwunderlich.

    Du musst dich in der Schell erst mit dem Benutzer "admin" und deinem zugehörigen Passwort einloggen. Dann den entsprechenden Befehl zur Installation von MC ausführen.


    Nachtrag:


    Ein Beitrag zu diesem Thema habe ich z.B. so interpretiert, dass opkg durch Entware-ng abgelöst wurde !?

    Richtig. Entware-ng muss im App-Center installiert bleiben. Aber du kannst den MC den du über das App-Center installiert hast wieder deinstallieren.



    Brauche ich opkg für den mc noch?

    OPKG wird durch Entware-ng abgelöst, aber das hatten wir ja schon. Über Entware-ng kann man sich verschiedene Programme/Tools auf sein NAS installieren.


    Der Befehl um etwas aus der Programmsammlung zu installieren lautet opkg install <Programmname> Dieser Befehl ist für Entware-ng als Nachfolger von OPKG der einfachheithalber gleich geblieben. MC musst du einmalig über die Schell (Putty) installieren. Um MC auch zukünftig nutzen zu können, musst du dann nur noch den Befehl MC in der Schell (Putty) eingeben.


    Allerdings ist die Nutzung vom MC mit Vorsicht geboten, da du hier in der komplette Linux-Dateistruktur kopieren/löschen kannst.

    Ob sich der Live-CD Aufwand lohnt? Ich denke nicht. Nehmen wir an, es gebe in der Linux-Distri oder in der Cloud Apllikation eine bekannte Sicherheitslücke, über die man den Mini-PC kapern könnte. Die Live-CD würde es nicht verhindern können. Der Angreifer hätte lediglich den Aufwand, das System alle 24h wieder neu kapern zu müssen. Ein großer Nachteil ist außerdem, dass du durch die Live-CD die Möglichkeit verlierst den Mini-PC bezüglich Betriebssystem und Applikationen aktuell zu halten.

    Grundsätzlich finde ich aber die Idee gut, die eigene Cloud auf ein anderes System zu verlagern. Eines, dass nicht so in der Schusslinie der Schurken steht wie das QTS von QNAP. Ob sich der USB-Mux Aufwand lohnt? ich würde darauf verzichten und zwischen beiden Systemen die Daten über eine SSH-Verbindung übertragen. Wenn du den Mini-PC in ein eigenes abgeschottetes Netzwerk-Segment stellst, könnte das als Sicherheitsbarriere ausreichen.

    Wenn du unbedingt an der (Own/Next-)Cloud-Lösung festhaltet möchtest, besteht auch die Möglichkeit einen professionellen Hoster dafür einzusetzen. Der Datenaustausch zwischen NAS und Hoster sollte sich auch sicher gestalten lassen.

    Hallo nnead,


    Grundsatzdiskussionen zu dem Thema findest du hier.

    Soweit ich VPN verstehe wäre meine NAS dann nur noch per VPN erreichbar, die Domain damit nicht mehr sinnvoll, oder?

    Es wäre das Ziel, das NAS nur noch über VPN erreichbar zu machen. Außer für die VPN-Verbindung existieren dann keine weitere Portfreigaben. Eine häufig hier von Usern genutze Lösung ist End-to-Side-VPN. Der VPN-Server wird dabei auf dem Router oder einer zusätzlichen/alternativen Firewall betrieben. Der Benutzer wählt sich dann von extern mithilfe eines VPN-Klienten ("End") über den VPN-Server ins heimische Netzwerk ("Side") ein. Ist die Verbindung erfolgreich zustande gekommen, ist das Endgerät des VPN-Klienten zum Teilnehmer des heimischen Netzwerkes geworden.

    Eine eigene Domain erleichtert normalerweise die Adressierbarkeit des heimischen Servers, weil diese besser zu merken ist, als beispielsweise die Zahlen-Buchstabenkolonne einer MyFritz-DDNS-Adresse. Die VPN-Klienten speichern in der Regel die Adresse mit ab, so dass man nicht in die Verlegenheit kommt, diese erneut eingeben zu müssen.



    Um das auch in Zukunft so gut wie möglich zu verhindern, überlege ich das NAS hinter eine NETGATE pfSense zu setzen, jedoch stellt sich mir aktuell die Frage ob diese einen Mehrwert bieten würde, da ich ja Ports freigeben muss (hebelt man hierdurch die pfSense als Firewall aus?)

    Portfreigaben hebeln immer die Sicherheit einer Firewall aus. Das Risiko kann man dadurch wieder minimieren, dass man sich zusätzliche Regeln definiert, die den Netzwerkverkehr über die freigeschalteten Ports einschränken. Ferner besteht die Möglichkeit den Netzwerkverkehr auf bestimmte Angriffsszenarien zu überwachen. Allerdings braucht man aber dann auch die Kompetenz, die entsprechenden Regeln erstellen zu können. Eine VPN-Lösung ist für Laien dann doch die einfacher zu einrichtende und zu pflegende Verbindung. Eine Netgate PfSense kann trotzdem empfehlenswert sein, wenn man darauf den VPN-Server betreibt, um im Vergleich zum Router die höheren Datendurchsätze erreichen zu können.


    Gruß

    A: die Malware auch mit rüber und würde so auch die externe Platte verseuchen und
    B: würde somit beim wieder zurückladen, das NAS gleich wieder erneut infizieren?

    Wahrscheinlich wird dir diese Fragen zu diesem Zeitpunkt noch niemand mit Sicherheit beantworten können. Vor allem, weil QSnatch so angelegt ist, dass es weitere Programmanteile nachladen kann. Die Dateien zu verseuchen oder zu verschlüsseln würde ich als mögliches (zukünftiges) Risiko betrachten. Falls du aber überhaupt kein Backup hast, wäre ein verseuchtes immer noch besser als keines. Um QSnatch die Möglichkeit zu nehmen mit der Außenwelt zu kommunizieren, solltest du im Router dem NAS den Zugang zum Internet verbieten. Das wäre das Erste was ich machen würde! Ggf. zeitgleich das Gerät in ein isoliertes Netzwerk stellen, dass keine Infektionen auf andere Geräte möglich wird.

    Entweder hast du meine Bemerkung nicht verstanden oder ich deinen Witz nicht, dr_mike .:P


    Nähern wir uns doch zuerst sachlich an:

    Ist es etwa so, dass QTS den Admin darauf aufmerksam macht, dass es gerade eine unverschlüsselte Verbindungsmöglichkeit ins Internet freischaltet?

    Wäre es der Sicherheit wegen nicht sinnvoll für Portfreigaben per UPnP generell nur Portfreigaben für verschlüsselte Verbindungen zuzulassen?

    Ich finde man kann dankbar sein, wenn der Internetprovider so freundlich ist und seine Kunden auf nicht- oder schlecht administrierte Server aufmerksam macht. Ehe man sich versieht, ist man sonst Teil einer Botfarm wie hier oder man darf sich damit auseinandersetzen, wie man seine Daten wieder entschlüsselt bekommt. Siehe hier. Beides aktuelle Themen...


    Nachtrag:

    Sollte es wirklich so sein, dass sich die QNAP Firmware für Dienste die der Admin freischaltet, per UPnP automastisch eine unverschlüsselte Verbindung aufbaut, dann wäre das auch eine zu bemängelnde Eigenschaft der Firmware. Diese Sicherheitsschwäche müsste schnellstmöglich beseitigt werden.

    Hallo Holger!

    Ich bekomme zwar per FlashFXP eine Verbindung zum TS-131P und einem anderen FTP-Server aber wenn ich vom entfernten FTP auf den TS-131P kopieren will, werden nur die Ordner ohne Inhalt erstellt.

    Möglicherweise eine Ordner/Datei-Rechteproblematik. Wobei ich beim Versuch FTP Verbindungen zwischen Fremdbetriebssystemen und QNAPs QTS auf andere Schwierigkeiten gestoßen bin. Es gibt wohl Unterschiede zwischen den FTP-Servern, bezüglich der Unterstützung von bestimmten FTP-Befehlen.


    Mit VSFTPD konnte ich unter Ubuntu keine funktionierende Verbindung aufbauen, da dieser Server die FTP-Befehle MDTM, MFTM nicht unterstützt, die aber auf QNAP-Seite wohl genutzt/erwartet werden. Abhilfe schuf hier ein Wechsel auf ProFTPD.

    Der externe FTP hat als Dateisystem ZFS und die Platte wird beim QNAP auch nicht als externes Laufwerk erkannt wenn ich die HDD direkt per USB anschliesse.

    QNAP kann ZFS nicht einbinden.


    Währe Freenas eine Option un dann per rsync ?

    Das wäre eine Option. Mit rsync habe ich erfolgreich eine Datensicherung eingerichtet, allerdings nur die Richtung QNAP --> FreeNAS genutzt. Klick hier! Entgegengesetzt sollte es aber auch funktionieren.

    In deinem Startbeitrag hast du geschrieben, dass der Port 8080 als Schwachstelle von der Telekom bemängelt wurde. Auf Port 8080 kommuniziert das NAS normalerweise per http, also per unverschlüsselter Verbindung. Das ist heute nicht mehr "Stand der Technik" und wahrscheinlich der Grund für die Email. Unabhängig davon welche Art von Schwachstelle die Telekom nun festgestellt haben will, eine Portumleitung löst nicht das Problem. Es bedeutet ja nur, dass die Schwachstelle von einem Port zu einem anderen wandert. Ein Beispiel aus dem realen Leben: Stell dir vor, dass das Schloss deiner Eingangstür defekt ist. Du gehst nach draußen, überklebst die Hausnummer mit einer anderen und glaubst daran, dass nun niemand mehr einbrechen kann?