ComputerBase Menü
Aktuelles

NAS lässt sich nicht Automatisch mounten mit Firewall

tobi1111

tobi1111

Lt. Junior Grade
Registriert
Feb. 2008
Beiträge
347
Hallo,

Ich habe seit einiger Zeit eine Synology DS213J NAS mit den aktuellsten Updates.
Ich nutze die NAS nur im Heimnetzwerk als Datenspeicher und WLAN access point, ein Zugriff von außen ist nicht eingerichtet und auch nicht vorgesehen.
Ich habe der NAS eine Private 192..... IP-Addresse zugewiesen und diese bisher immer über eine im Autostart befindende exe gemountet.

Ich habe mich die Tage nochmal etwas damit beschäftigt und entschieden die Firewall in der NAS zu Aktivieren und gewisse regeln festgelegt.Der DoS Schutz wurde auch noch Aktiviert.
Details zu den Einstellungen sehen Sie auf den Bildern im Anhang.
Habe schon einiges Ausprobiert aber anscheinend übersehe ich irgendeine Fehleinstellungen
Nr. 5 u. 4 sind es nicht.

Zur exe.
Die Batchdatei habe ich selbst geschrieben und mit Bat to Exe Converter (neueste Version) in eine exe umgewandelt.
Batch-Datei:

@echo off

echo Netzfreigaben werden getrennt

net use z: /delete /yes >nul

cls

:NAS
ping 192.168.1.9 -n 20 >nul
if errorlevel 1 goto :NAS

net use z: \\192.168.1.9\Medien ??? /user:Tobias /PERSISTENT:NO >nul

:exit
exit

Die exe läuft wunderbar solange die Firewall der NAS ausgeschaltet ist.

Nun zu meinen Fragen:)
Welche Einstellungen verhindern das mounten der NAS ?
Macht es überhaupt sinn die Firewall zu Aktivieren ?
 

Anhänge

  • NAS-Einstellungen.jpg
    NAS-Einstellungen.jpg
    787,7 KB · Aufrufe: 179
Zuletzt bearbeitet:
Für was braucht das NAS ein DDoS Schutz im LAN, zur Absicherung sollte der Router zuständig sein der LAN vom WAN trennt. Es macht also kein Sinn ausser Du hast im LAN unsichere Clients bzw fremde Clients auf denen nicht genau bekannt ist was drauf läuft.
 
Wieso brauchst du eine Batch Datei? Windows kann das automatisch selber im Explorer.

Was genau passiert denn? Welche Fehlermeldung, welche Ausgaben?
 
Sorry das habe ich vergessen zu erwähnen im Netz befinden sich immer mal wieder Notebooks und ander Mobilegeräte, von Freunden und Familienmitgliedern und man weiß ja nie genau was dort alles so läuft :)

Das über Windows habe ich schon sehr oft versucht das scheitert immer mit der Meldung Verbindung mit Netzlaufwerk kann nicht hergestellt werden.
Diese Meldung kommt auch wenn ich die Firewall der NAS Aktiviere.
 
Du möchtest ja offenbar über das SMB/CIFS-protokoll mounten. Das Firewallregelwerk müsste so konfiguriert sein, dass es den Port TCP 445 von deinem Rechner aus zulässt. Du kannst auch generell die IP-Adresse deines Rechners in der NAS-Firewall für alle Dienste freigeben, falls dir das sinnvoll erscheint.

Der DDoS-Schutz mag vielleicht nicht notwendig sein, die Firewall ist aber schon sinnvoll, vor allem wenn mal eben uPnP-Dienste Ports auf dem Router freigeben und diese dann Anfragen von außen an dein NAS weiter reicht.

Leider sieht man in deinem Screenshot nicht, wem im Regelwerk die von dir ausgewählten Dienste zugelassen wurden.
 
Zuletzt bearbeitet:
Nein eine Firewall ist nicht sinnvoll, vor allem wenn man nur einfach wie hier anscheinend Ports sperrt. Das ist keine Firewall.
Ein Port von dem man nicht will daß er offen ist hat einfach nicht offen zu sein, d.h. das Programm dahinter hat den Port nicht zu öffnen.
Und was hat UPNP damit zu tun? Das ist Sache des Routers, nicht der NAS. Port 445 kann man ja sowieso nicht sperren, also würde z.B. ein CIFS Zugriff von der "Firewall" des NAS sowieso nicht geblockt.
 
Die Ausgewählten Dienste sind bisher für alle zugelassen.
Wie gesagt habe die NAS bisher ohne Firewall betrieben weil ich mir nichts dabei gedacht habe und ja einen Router habe der das eigentlich übernimmt.
Habe mir dann aber gedacht warum kein Fass mit doppeltem Boden machen. (wenn ich schon die möglichkeit habe)
 
Wie Lawnmower schon sagt, sollte eigentlich der Router in erster Linie ungewollte Verbindungen aus dem Internet blockieren. Das heißt, dass ein Angreifer vorerst überhaupt nicht zum NAS vordringen kann. Erst dann, wenn im Router eine Portweiterleitung eingerichtet ist, ist das NAS auch tatsächlich auf diesem Port von außen erreichbar und auch potentiell verwundbar.

Rein von den Ausnahmen der Firewall selbst (3), kann ich aus dem Stegreif allerdings keinen Fehler entdecken.. Soweit ich das sehe sind alle nötigen Ports für Freigaben zugelassen.

Was genau kommt denn für eine Fehlermeldung, wenn du das Laufwerk verbindest?
 
@Raijin
Das Laufwerk wird garnicht mehr gemountet (nur manuell)
Die Meldung: Verbindung mit Netzlaufwerk kann nicht hergestellt werden
erscheint unten rechts im Bildschirm
 
Quell-IP = "ALLE" is im übrigen nicht so schön. Das sollte nur aktiv sein, wenn das ein Dienst ist, der auch von "überall" aus zugreifbar sein soll - eben auch aus dem Internet. Ansonsten stellt man das lieber auf "Region" und hinterlegt dort das eigene Subnetz (192.168.1.0/24). Dann lässt die Firewall beispielsweise Zugriff auf die Freigaben nur von innerhalb des LANs zu, ungeachtet etwaiger Portfreigaben, Logins oder sowas.. Anfrage von fremder IP = sofort in den Müll.

*edit
Gib in der Eingabeaufforderung bitte mal einzeln den net use Befehl ein (ohne >nul). Lass deine exe außen vor, die Automatisierung ist erstmal Nebensache, erst muss das Verbinden generell klappen.

net use z: \\192.168.1.9\Medien ??? /user:Tobias /PERSISTENT:NO
 
Zuletzt bearbeitet:
Wenn die Diskstation keine Zugang nach außen (außerhalb des Netzwerkes hat), benötigst du keine Firewall und die ganzen anderen Einstellungen. DoS Schutz ist ebenfalls nicht nötig. Der ganze Punkt Sicherheit ist nur interessant wenn du von "außen" auf die Diskstation zugreifen möchtest.
Grundsätzlich hat niemand Zugriff auf die Ordner der Diskstation (sofern der guest-User abgeschaltet ist) auch im eigenen Netzwerk. Ordner mußt du freigeben für den entsprechenden Nutzer und dieser sollte sich mit Benutzername und Paßwort anmelden. Die Diskstation verhält sich wie alle Datei-Server was nicht expliziert erlaubt ist grundsätzlich verboten. Sprich wenn du keine Freigabe für einen Ordner erstellt hast, besteht auch keine Zugriffsmöglichkeit (außer für Admin-Konten). Daher sollten keine Benutzer ohne Paßwort auf Daten der Diskstation zugreifen können (außer du hast die Ordner für "jeden" zugänglich gemacht).

Edit:
1. Das Problem mit dem "nicht verbindenden Netzlaufwerk" beim Start von Windows habe ich auch. Das finde ich aber nicht wirklich schlimm. Denn so wie ich darauf klicke, verbindet es sich der Netzwerkordner sofort mit dem NAS.
2. Ein Zugriff für "Jeden" auf alles ist keine gute Idee! Sofern du keine Berechtigungen für den Ordner setzen willst, könntest du den Zugriff per "Firewall" mittels IP einschränken. Ich gehe davon aus, das dein PC immer die gleiche IP hat - sonst geht das in die Hose. In der Firewall einfach für deinen PC (IP) den Zugriff erlauben - ruhig für alle Ports. Aber Vorsicht somit sperrst du alle anderen Geräte im Netzwerk aus und hast nur von deinem PC Zugriff. Jedoch halte ich diese Idee für unsinnig. Die bessere Variante wäre Zugriffsrechte für Ordner zu setzen - glaube mir, das macht das Leben leichter.
 
Zuletzt bearbeitet: (Edit)
HominiLupus schrieb:
Nein eine Firewall ist nicht sinnvoll, vor allem wenn man nur einfach wie hier anscheinend Ports sperrt. Das ist keine Firewall.
Ein Port von dem man nicht will daß er offen ist hat einfach nicht offen zu sein, d.h. das Programm dahinter hat den Port nicht zu öffnen.
Und was hat UPNP damit zu tun? Das ist Sache des Routers, nicht der NAS. Port 445 kann man ja sowieso nicht sperren, also würde z.B. ein CIFS Zugriff von der "Firewall" des NAS sowieso nicht geblockt.
Zum Vergrößern anklicken....
Natürlich ist das hier eine Software-Firewall die Verbindungen in Abhängigkeit von IP-Adresse und Port sperrt oder zulässt. Es ist eine Softwarefirewall bis Layer 4, da du von der Quell-IP abhängig machen kannst, ob du auf bestimmte Destination-Ports zugreifen kannst oder nicht. Schau dir die Firewallkonfiguration auf den Dingern mal an, das ist mehr als nur "Port ausschalten", auch wenn der TE hier offenbar nur mit Ports arbeitet und als Quell-IP Any angegeben hat. Er hat in seinen Screenshots keine weiteren Regeln angelegt, im Hintergrund sieht man nur die eine und als Entscheidung, falls keine der Regeln zutrifft ist unten "Zugriff verweigern" eingestellt.

Ein NAT-Router ist keine Firewall, das ist richtig.

Was UPNP damit zu tun hat? Über uPNP kann das NAS oder auch jemand von der WAN-Seite Weiterleitungen auf dem Router veranlassen, weswegen man dem Router sagen soll, wie er mit UPNP zu verfahren hat (auf der WAN-Seite abschalten) oder es generell abschalten. Gute Routerhersteller ignorieren uPNP-Anfragen von der WAN-Seite.
 
Zuletzt bearbeitet:
Atkatla schrieb:
Gute Routerhersteller ignorieren uPNP-Anfragen von der WAN-Seite.
Zum Vergrößern anklicken....
"Gute Routerhersteller" liegt im Auge des Betrachters:

Betroffen sind laut der Sicherheitsfirma Geräte von über 1500 Herstellern darunter D-Link, Fujitsu, Huawei, Logitech, Netgear, Siemens, Sony, TP-Link und Zyxel.
Zum Vergrößern anklicken....
(Quelle: Heise)

Da sind schon einige Größen im Netzwerkbereich dabei, denen ich solche extremen Patzer eigentlich nicht zugetraut hätte. So komfortabel UPnP auch sein mag, ich finde es verdammt gefährlich, wenn vollkommen automatisch ohne jedwede Benachrichtigung (abgesehen von sporadischen Log-Meldungen) munter Ports im Router weitergeleitet werden.....

Ich gebe dir aber bezüglich Firewall insofern Recht, als dass es nicht schaden kann, gewisse Basisregeln zu definieren. Dazu gehört zB auch, dass Dienste, die explizit nur im LAN genutzt werden (sollen), auch nur von dort aus genutzt werden können (zB anhand der Quell-IP).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Cr4y
Fedora 41 KDE: Zusätzliche Festplatten automatisch mounten verhindert Booten
2
Antworten
35
Aufrufe
974
Cr4y
Cr4y
Hayda Ministral
Debian: HowTo? USB-Stick automatisch mounten und ein Script starten
Antworten
3
Aufrufe
2.506
Hayda Ministral
Hayda Ministral
Hoerli
LVM automatisch mounten
Antworten
6
Aufrufe
2.587
snaxilian
S
L
SD-Card als virtuelle Festplatte für Dropbox | automatisch mounten?
Antworten
5
Aufrufe
2.979
leftside
L
eXactA!m
Netzlaufwerk automatisch mounten und in die Favoriten
Antworten
3
Aufrufe
4.611
Toby-ch
Toby-ch
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz