ComputerBase Menü
Aktuelles

Outdoor IP-Kamera für Synology NAS (zur Vogelbeobachtung)

jensxp schrieb:
Also wenn ich von außen auf mein NAS will, z.B. DS Photo, dann mache ich das über DynDNS.
Zum Vergrößern anklicken....

jensxp schrieb:
Ich habe eine 6660 und die notwneigen Portweiterleitungen eingerichtet. Mit VPN habe ich mich nie beschäftigt.
Zum Vergrößern anklicken....

Solltest du aber. Portweiterleitungen gehen direkt auf das Endgerät. Dabei musst du dich zwangsläufig darauf verlassen, dass eben dieses Gerät bzw. der jeweilige Dienst auch adäquat abgesichert ist. In vielen Fällen ist das nicht der Fall bzw. bei fehlenden / nicht durchgeführten Updates nach Bekanntwerden einer Sicherheitslücke steht das System offen wie ein Scheunentor - und damit dein gesamtes Netzwerk.
Hinzu kommt, dass bestimmte Dienste explizit NICHT für das Internet gedacht sind und somit durch Portweiterleitungen ein immenses Angriffspotenzial bieten.

VPNs sind virtuelle und vor allem verschlüsselte Netzwerkverbindungen, die man gefahrlos durch fremde Netzwerke wie das Internet hindurchleiten kann. Mit einem VPN schleppst du gewissermaßen den ganzen Tag eine fiktive Kabeltrommel mit einem Netzwerkkabel zu dir nach Hause mit dir herum. Andere können mit diesem Kabel aber nix anfangen, da verschlüsselt.
Eine Portweiterleitung wäre analog dazu etwas wie eine Katzenklappe in deiner Haustür - nur dass diese Klappe womöglich groß genug für einen Einbrecher ist....


Synology bietet eine integrierte VPN-Funktion, zu der es haufenweise Anleitungen gibt. Darüber kannst du von unterwegs gefahrlos deine Kameras anschauen - so als wärst du daheim auf der Couch.
 
  • Gefällt mir
Reaktionen: Blende Up
Raijin schrieb:
Synology bietet eine integrierte VPN-Funktion,
Zum Vergrößern anklicken....
Wenn die aber ohne Portweiterleitung auskommt, wie läuft denn das?
Hält die permanent eine Verbindung zu einem synology serverdienst, der darüber dem NAS mitteilt, dass ein Endgerät eine VPN Verbindung eröffnen will? oder läuft gleich der ganze Traffic über diesen Server?

Deshalb würde ich immer zu einem Router VPN raten, da kommt man dann auch mit einer VPN Software aus... Und ausser einem Dyndns ist auch kein anderer Server notwendig.
 
Das funktioniert alles über den syno Server. Natürlich müssen 1 oder zwei Ports offen sein, damit die syno überhaupt von aussen erreichbar ist. Natürlich ist die Kommunikation verschlüsselt vom syno bis zum händy (vorausgesetzt man nutzt deren App)
Und als Highlight: es funktioniert sogar mit einem ds-lite/cgn Provider
 
@Blende Up : Jein. Natürlich benötigt ein VPN-Server hinter dem Router eine Portweiterleitung für das VPN an sich. VPNs sind aber explizit für die sichere Kommunikation konzipiert und deswegen ist solch eine Portweiterleitung auch als weitestgehend unkritisch anzusehen.

Das Problem an Portweiterleitungen auf x-beliebige Endgeräte mit x-beliebigen Diensten kommt durch die schiere Masse und die unbekannten Sicherheitsvorkehrungen des Geräts bzw. Dienstes. 3 Kameras, 3 Weiterleitungen, vielleicht sogar über nacktes http ohne Login. Dann hat man ja noch einen MedienServer und die smarte Heizung möchte man ja auch aus der Ferne steuern. Am Ende sind es dann schnell ein halbes Dutzend Portweiterleitungen oder mehr. Und dann kommt der Anwender noch auf die Idee, zum Beispiel die SMB-Ports an das NAS weiterzuleiten, weil man ja von unterwegs auch gerne auf die Netzlaufwerke zugreifen möchte. Ach, und von unterwegs auf dem Drucker daheim drucken wäre ja auch cool, also auch noch TCP 9100 weiterleiten.

Am Ende hat man nicht nur einen verschlossenen Zugang zur heimischen Wohnung, sondern ein Dutzend potentiell komplett unverschlossener Zugänge.

Eine Portweiterleitung auf einen VPN-Server ist daher unkritisch, speziell im privaten Umfeld.


Blende Up schrieb:
Deshalb würde ich immer zu einem Router VPN raten, da kommt man dann auch mit einer VPN Software aus... Und ausser einem Dyndns ist auch kein anderer Server notwendig.
Zum Vergrößern anklicken....
Warum sollte man bei einem NAS-VPN nicht mit einer VPN-Software auskommen :confused_alt:
Einen DynDNS-Client bringen die NAS, die u.a. VPN anbieten, ebenfalls mit.

Hinzu kommt, dass Router in den meisten Fällen deutlich schwächere CPUs haben als ein NAS, welches eben noch für viele andere Dinge Leistung in der Hinterhand haben muss. Router-VPNs von Consumer-Routern sind daher in den meisten Fällen alles andere als performant - neue Modelle mit ggfs WireGuard mal ein wenig ausgenommen.
 
okay, ggf bessere Leistung wegen CPU ist n Punkt. Aber um eine IP-Cam mit max 8Mb/s Anzeigen zu lassen, war mein FB VPN immer schnell genug. Aber ich Lade da auch keine (großen) Dateien hin und her.... Insofern halte ich das mit einem generellen, statt jeweils dedizierten VPN Zugang schon für praktischer
Raijin schrieb:
Warum sollte man bei einem NAS-VPN nicht mit einer VPN-Software auskommen :confused_alt:
Zum Vergrößern anklicken....
Das "einer" bezog sich auf für alle Geräte. Denn die VPN SW für mein Synology NAS muß ja nicht unbedingt für mein Netgear NAS, oder meinen Drucker funktionieren, oder ist das sichergestellt?
 
Blende Up schrieb:
Das "einer" bezog sich auf für alle Geräte. Denn die VPN SW für mein Synology NAS muß ja nicht unbedingt für mein Netgear NAS, oder meinen Drucker funktionieren, oder ist das sichergestellt?
Zum Vergrößern anklicken....
Hä?

So wie du für die vom Router eingesetzte VPN-Technologie einen passenden VPN-Client benötigst, gilt dasselbe für ein x-beliebiges NAS mit VPN-Funktion.

Es gibt unterm Strich drei häufig genutzte VPN-Technologien:

OpenVPN
IPsec
WireGuard

Setzt der Router oder das NAS OpenVPN ein, braucht man am Remote-Gerät einen OpenVPN-Client.
Setzt der Router oder das NAS IPsec ein, braucht man am Remote-Gerät einen IPsec-Client.
Setzt der Router oder das NAS WireGuard ein, braucht man am Remote-Gerät einen WireGuard-Client.


Einige Hersteller liefern der Einfachheit halber eigene VPN-Client-Software mit, die bereits alle Einstellungen beinhaltet (zB Verschlüsselungsmodus, etc) und lediglich mit dem Profil versorgt werden muss, welches man vom Router/NAS für den Client herunterlädt. Das ändert aber nichts daran, dass unter der Haube zB ein Standard-OpenVPN-Server läuft, den man auch mit einem unabhängigen OpenVPN-Client verbinden könnte - korrekte Konfiguration vorausgesetzt.


Was die Verbindung zu Geräten im Heimnetzwerk jenseits des NAS betrifft (zB der heimsiche Drucker), ist es in der Regel nur ein simpler Haken bei der Einstellung "Heimnetzwerk über VPN freigeben" (o.ä.). Mit dem Haken leitet das NAS Anfragen aus dem VPN ins heimische Netzwerk weiter, ohne den Haken kann man via VPN nur auf das NAS selbst zugreifen. Möchte man beispielsweise nur auf die Surveillance Station eines Synology-NAS zugreifen, reicht die VPN-Verbindung auf das NAS ohne diesen Haken, weil die Kameras ja nicht direkt angesteuert werden, sondern von der Surveillance Station.
 
Ah, super, wieder was gelernt, wusste ich nicht. Ich dachte, da kocht jeder sein eigenes Süppchen.
Danke für die ausführliche Erklärung.

okay, meine FB hat dann IPSec "IPSec" oder "IPSec Xauth PSK" und für das Synology NAS gibt es ein OpenVPN Paket. Und ich könnte auf mein Handy (was von Android her wohl nur IPSec kann) dann eine OpenVPN App instalieren um dann (wenn ich z.B. mehr Bandbreite bräuchte als die FB bietet) über das NAS gehen zu können.

Mein Netgear RN104 bietet ein Paket an, das sich "SoftEther" nennt, okay, scheint IPSEC zu sein
"SoftEther VPN supports also L2TP/IPsec".

Edit: ah, der Synology kann sowohl OpenVPN, als auch IPSec, und PPTP??. Ich glaub, ich geh mal was lesen auf Wikipedia ;-)
 
  • Gefällt mir
Reaktionen: Raijin
Okay, auch wenn wir nun von meinem Vogelhaus und den (inzwischen ausgezogenen) Meisen weit entfernt sind: So ganz habe ich das noch nicht verstanden.
Per DynDNS lande ich auf meinem Router zuhause - klar soweit. Jetzt will, bzw. meine Apps die DS Photo ja aber nicht auf meiner Fritzbox anmelden, sondern auf meinem NAS. Hierzu habe ich - notgedrungen - die notwendigen Ports für die IP-Adresse meines NAS weitergeleitet.
Ja, ich lande "direkt" auf meinem NAS, habe ich verstanden. Die Verbindung zur FB per VPN ändern daran ... was?

Konkret: Aktuell gebe ich für den DS Photo-Zugriff ein
Adresse: tollername.selfhost.eu
Konto: tolleruser
Pwd: sicherespwd

Das würde sich doch per VPN nicht ändern, oder? Oder würde ich dann angeben

Adresse: 192.168.x.y
Konto: tolleruser
Pwd: sicherespwd

?
 
Zuletzt bearbeitet:
jensxp schrieb:
Verbindung zur FB per VPN ändern daran ... was?
Zum Vergrößern anklicken....
Das Du keine Ports an der FB öffnen und zum NAS weiterleiten musst, und damit Dein NAS nicht im Internet auftaucht. Sondern, dass Du einen verschlüsselten Tunnel von der FB zu Deinem Handy aufbaust, der dafür sorgt, dass Dein Handy in Deinem Heimnetz ist, und somit auch auf die Surveilance Station, die ja im Heimnetzwerk erreichbar ist, zugreifen kann.
Ergänzung ()

jensxp schrieb:
Konkret: Aktuell gebe ich für den DS Photo-Zugriff ein
Zum Vergrößern anklicken....
Doch, Du würdest es genau so aufrufen, wie auch aus dem Heimnetz wenn Du zu Hause bist....
Ergänzung ()

jensxp schrieb:
Adresse: 192.168.x.y
Zum Vergrößern anklicken....
jepp, genauso, bzw der Name des NAS
 
Hmm, jetzt hast du mich angefixt.
 
Okay soweit. Frage: Wenn ich nun unterwegs bin, bin ich dann permanent per VPN mit meiner Box verbunden und der komplette traffic geht vom Handy auf meine Box, dort dann ins WWW, und dann wieder zurück auf mein Handy? Und wenn ich wo im wlan bin (was weiß ich im Edeka oder Lidl beim Einkaufen) auch?
 
Nachtrag: Das Einrichten war grundsätzlich kein Problem. Jedoch muss ich die VPN-Verbindung jedesmal neu herstellen wenn ich vom WLAN uns mobile Netz gehe. "VPN immer eingeschaltet" geht nicht, weil nur numerische DNS-Serveradressen verwendet werden können.
Für meinen Fall ist also VPN mal nix.
 
jensxp schrieb:
bin ich dann permanent per VPN
Zum Vergrößern anklicken....
Solange Du im VPN bist, sozusagen ja, vom handy über lte ins INet, da zur Box, zum VPN, und, dann in dein Netz, und im Falle dass Du darüber surfst, dann wieder raus ins Inet, und wieder zurück.
Hat aber zusätzlich den Charme, dass heimische Filterdienste, wie z.B. ein piHole, aktiv sein können, und dir z.b. die werbung rausfiltern.
jensxp schrieb:
jedesmal neu herstellen wenn ich vom WLAN uns mobile Netz gehe
Zum Vergrößern anklicken....
Das wäre denkbar.
macht aber auch wenig Sinn aus dem eigenen WLan ein VPN ins eigene Netzwerk aufzubauen....
 
Nein, was ich meine ist: ich habe eine VPN-Verbindung, komme heim, WLAN springt an, läuft. Ich gehe weg, Handy wechselt ins Mobilnetz, aber NICHT von alleine ins VPN. Das muss ich wieder von Hand machen!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Backup für Synology Nas
Antworten
5
Aufrufe
801
marcel.
M
x-traxion
Browser für Synology NAS
Antworten
9
Aufrufe
19.699
TechX
T
M
Waterfox blockiert Port 5000 für Synology-NAS
Antworten
5
Aufrufe
2.383
mischaef
M
M
Plex Alternative für Synology NAS
Antworten
3
Aufrufe
3.805
Mirk0
M
N
Outdoor IP-Kamera
Antworten
6
Aufrufe
1.598
natrius
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz