Beiträge von Thofri

Haha jetzt habt ihr mich tatsächlich etwas abgehängt. mit dem Track Interface müsste ich mich erst noch befassen.

Was ist bei euch ne Sense? Kenne darunter nur das Erntegerät

Habe heute bei VF angerufen und der Kollege an der Hotline meinte, er beauftragt eine externe IPv4 für mich - für Montag. Ich bin mal gespannt, weil es hat sich für mich nicht so super klar angehört, dass er wüsste, was er tut. Jetzt mal abwarten, weil das wäre ja ein super Glück - was ich bisher gelesen habe, sind die Provider damit ja sehr geizig.

Ansonsten kann ich mal bei Gelegenheit noch ausprobieren, dem ecoDMS ne eigene IP zu vergeben.

Danke euch und noch ein schönes Wochenende!

Zitat von tiermutter

Eine Portfreigabe unter v4 geht auch an nur ein Gerät bzw. IP.

Sicherer ist da erstmal gar nichts, außer der Tatsache dass halt sehr viel mehr v6 Adressen gibt und die Chance geringer ist von irgendwelchen Bots oder sonstigem auserwählt zu werden. Dennoch klopft bei mir seit Monaten eine IP aus China täglich an mehreren Ports an.

Oh man, heftig. Ja genau deswegen will ich die Lösung eigentlich nicht.

Nur nochmal zum Mitschreiben des Sicherheitsrisikos: Wenn ein Angreifer meine IP hat und den offenen Port, kann er über den Port theoretisch über eine Lücke im QNAP OS (oder nur in dem Container?) eingreifen? Oder wo muss die Lücke sein?

Zitat von tiermutter

Wenn der QNAP schonmal eine v6 hat funktioniert die Delegation schonmal, wie sieht es mit deinem Container aus? Kenne mich mit Containern nicht aus, aber die werden ja sicherlich auch über eine IP verfügen... Der braucht demnach auch eine entsprechende global v6 und dahin muss dann auch die Freigabe erteilt werden. Außerdem muss der Dienst der erreicht werden soll auch auf v6 lauschen, wenn der nur v4 spricht geht das natürlich nicht.

Habe vorhin mal im lokalen Netz ausprobiert, über [ipv6]:Port komme ich auch auf den Webserver des ecoDMS.

Generell ist es (gemäß Anleitung) so konfiguriert, dass über NAT ein Portmapping ausgeführt wird und damit unter der NAS-IP mit dem entsprechenden Port der ecoDMS Server erreicht wird.

Kann aber auch im Container "Bridge" konfigurieren mit virtuellem Switch, so dass der Container eine v6 bekommen sollte.

Was wäre denn sonst noch ne Alternative?

Externe IPv4 vom Dienstanbieter zu bekommen und FritzVPN konfigurieren?

Und eine Portfreigabe plus Zugriff auf einen VPN-Server auf der NAS wäre genauso unsicher wie direkter Zugriff auf den ecoDMS Server per Portfreigabe?

Hi tiermutter !

zu 1.: Du hast Recht, Mist.

Zu 2:

Jup, meine QNAP hat neben der fe80 eine 2a02:.... IPv6 bekommen.

Ist denn diese Portfreigabe über eine MyFritzFreigabe irgendwie sicherer? Insofern, weil nur für genau eine IPv6 im Netzwerk anstatt für das ganze Netz?

Oder gibt es noch einen Zusammenhang mit dem dahinterliegenden DynDNS Service?

Hallo zusammen,

erstmal möchte ich mich bei der super Community hier bedanken, die mich schon mal auf den "richtigen" Weg gebracht haben (Letzter Thread).

Habe myQnapCloud deaktiviert, keine Ports freigegeben und mir eine FritzBox Cable 6660 zugelegt, damit man mal bissl mehr konfigurieren kann.

Eigentlich im Ansinnen, das VPN der FritzBox zu nutzen.

Mein primärer Usecase ist, auf meinen ecoDMS Server auf meiner QNAP im Docker von extern zuzugreifen.

Ist im Docker gemäß Anleitung konfiguriert, also mit Portmapping über die gleiche IP-Adresse

1. Idee: Fritzbox VPN

Hier habe ich jetzt rausgefunden, dass das leider nur mit externer IPv4 läuft.

Option: über feste-ip.net ein Mapping durchzuführen. Habe leider nicht rausgefunden, welche Ports ich dafür müsste (und es geht ja nur TCP und kein UDP).

2. Idee: MyFritzFreigabe auf die QNAP plus ecoDMS Webserver Port

Habe ich inkl. IPv6 konfiguriert, aber leider ohne Erfolg. Die Fritzbox zeigt die Freigabe als aktiv an. Wenn ich es vom Mobilfunknetz (Vodafone - hat offensichtlich IPv6) versuche, öffnen sich bei "Gerät darf Ports selbstständig öffnen" noch die 80, 8080, 443.

Aber der Webserver ist darüber nicht erreichbar.

3. Idee: Nativen Fernzugriff von ecoDMS nutzen

Funktioniert problemlos ohne eine einzige Portfreischaltung.

Hier schickt der ecoDMS wohl selbstständig Daten an einen ecoDMS Server, worüber die Kommunikation geschleust wird.

Nachteil: Theoretisch kann ecoDMS alles mithören.

Jetzt die Frage an euch:

A) Welche Vor- und Nachteile seht ihr bei den Lösungen? Welche würdet ihr präferieren?

B) Falls 1) oder 2), habt ihr noch Ansätze, wie ich dabei weiterkommen könnte?

Vielen Dank euch und ein schönes Wochenende!

Ok, danke euch für die Hinweise. Eine geschlossene Flanke muss natürlich nicht die letzte gewesen sein ... Habe den User-Blog Artikel"Security - Das NAS offen im Internet" gelesen.

Also das End vom Lied ist, ihr empfehlt keinerlei Zugriff von außen zu ermöglichen?

Für meinen konkreten Usecase mit Dateiaustausch mit mehreren Freunden würdet ihr dann über einen der größeren Cloud-Anbieter gehen, gehe ich von aus?

Dann bliebe dem NAS wirklich nur noch die lokale Aufgabe ... :-/

Habe das mal auf alle Fälle direkt umgesetzt.

Crazyhorse : Bist du da anderer Meinung? IPv6 Zugriff wäre dann über einen separaten Dyndns Service denkbar, oder? Braucht man dafür eine Fritzbox (meine Connectbox hat keine Einstellung, sowas zu konfigurieren) oder ginge das auch über die NAS direkt, dass sie ihre IPv6 an den Dyndns Dienst übermittelt?

Hi Dolbyman, ich habe aber doch bereits eine aktuellere Firmware als in dem heise-Artikel angegeben ist. Wo siehst du jetzt noch das große Risiko?

Hi Dennis, danke, das habe ich auch bereits nachgeschaut, habe einen DSLite Anschluss.

Funktioniert der myqnapcloud-Zugriff wohl nur über IPv4? Wie wäre denn alternativ bei einem DSLite Modell ein Zugriff von außen möglich?

Schönen Sonntag!

Hallo zusammen,

ich habe nach längerer Zeit wieder meine NAS ausgepackt und soweit funktioniert auch alles einwandfrei. Lediglich am NAS-Zugriff von extern über myqnapcloud scheitere ich

"Die Website ist nicht erreichbar. xxxx.myqnapcloud.com hat die Verbindung unerwartet geschlossen. ERR_CONNECTION_CLOSED"

Im Heimnetzwerk komme ich über xxx.myqnapcloud.com auf meine NAS (die Anmeldeseite).

Habe mich schon durch's Forum gekämpft, aber habe leider keinen ähnlichen Fall gesehen.

Warum Zugriff per myqnapcloud? => Einfache Dateifreigabe für Freunde

Dateifreigabe und Fernzugriff über smartshare/smarturl (qlink.to...) funktioniert komischerweise von extern.

- NAS: TS-251 mit aktuellster Firmware 4.4.2.1320

- Internetzugang: Unitymedia/Vodafone mit Connectbox

- NAS hängt über einen Ethernet-Switch am Router

- feste IPv4 vergeben; IPv6 stateless zugewiesen vom Router

- UPnP im Router freigegeben

- Automatische Router-Konfiguration meldet alle Ports als "OK", Webkonnektivität aber "rot" für alle Ports

- IPv6 Portforwarding in Connectbox eingestellt

Habt ihr Ideen, was ich jetzt tun oder prüfen könnte?

Danke vorab!