ComputerBase Menü
Aktuelles

Synology DS224+ Firewall einrichten Probleme

C

Chris1277

Newbie
Registriert
Dez. 2020
Beiträge
7
Hallo Leute,

ich bräuchte mal Hilfe von euch um mein NAS bzw. die Firewall einzurichten.

Kurz zu mir:

Ich heiße Chris, bin mittlerweile 47 Jahre alt, baue alle meine PCs selber zusammen, habe beruflich nichts mit Computern zu tun und würde mich als fortgeschrittenen Laien bezeichnen.

Ich habe mir vor ein paar Tagen eine Synology DS224+ geholt, dazu 2 WD Red Plus 4TB und direkt auf insgesamt 18GB RAM aufgerüstet.

Ich habe alles verbaut und als SHR eingerichtet, es läuft auch alles aber ich habe gar keinen Plan von den ganzen Firewall-Einstellungen, deshalb ist das NAS bisher auch ausgeschaltet.

Einsatzzweck soll folgender sein:

  • 2 Windows 11 PC benutzen das NAS als zentrale Schnittstelle für Dateien, Fotos, Dokumente etc. und um dann per zb. einmal im Monat angeschlossener ext. Festplatte ein Backup von den gesammelten Daten zu machen.

  • Zugriff von außen ist nicht unbedingt nötig, wäre aber schön wenn es ohne große Abzüge bei der Sicherheit ginge, in dem Fall würden meine Frau und ich dann von Android Geräten zugreifen (S23 Ultra).

Habe ich dadurch eine deutliche schwächere Absicherung von außen, geht die Sicherheit vor und ich verzichte lieber auf externen Zugriff.

Beide PC und das NAS sind direkt per LAN Kabel an einem Speedport Smart 4 angeschlossen.

Leider habe ich mich vorab wohl nicht gut genug informiert und dachte alles wäre soweit vorkonfiguriert dass ich nur zusammenbauen muss und kurz einrichten und fertig, vielleicht noch etwas in Dialogfenstern freigeben, dem ist aber nicht so.

Ich habe viele YT Videos und Reddit Beiträge dazu angesehen, aber auf die Firewall wird immer nur sehr allgemein eingegangen ich bräuchte dabei aber schon konkrete Hilfestellung.

Was ich bisher gemacht habe:

  • Software aktualisiert ( DSM 7.2.2-72806)
  • Standard-Admin Kontodeaktiviert (war aber schon)
  • Standard-Admin Konto Passwort geändert
  • Standard-Guest Konto deaktiviert
  • Neues Admin Konto eingerichtet
  • Neues Nutzerkonto angelegt
  • 2 Faktor Authentifizierung aktiviert und von „Benutzer der Administratoren Gruppe > Alle Benutzer“ geändert.
  • Adaptive MFA aktiviert
  • Kontoschutz aktiviert und auf Login Versuche 5 innerhalb von 15 Minuten gestellt.
  • Kontoschutz aufheben nach 60 Minuten.
  • Die Firewall ist bis jetzt noch deaktiviert.

Was ich allen Tutorials bis jetzt entnehmen konnte war dass man Port 5000 und 5001, also DSM (HTTP und HTTPS) wohl als Regel erlauben soll weil man sich sonst selbst „aussperren“ könnte...

Aber da fängt es schon an.

Für wen erlauben? Für alle, oder nur für spezifische IP? Wenn nur für spezifische, für welche denn?

Dann geht es weiter mit den ganzen Anwendungen und ich habe keine Ahnung was wofür gebraucht wird zb rsync, Network MFP, NTP Dienst usw.

Wenn ich nicht weiß was das alles macht wie soll ich dann entscheiden was ich brauche oder nicht und was ich wann wo und wie erlaube?

Alles was ich machen möchte ist Daten an einem zentralen Ort abzulegen, wo auch der zweite PC seine Daten ablegen soll, evtl. mal vom Smartphone außerhalb des Netzwerks zugreifen, vielleicht noch weg von Google Fotos zu Synology Photos und gezielt mit der Synology Software nicht mehr von beiden PCs Backups machen zu müssen sondern nur noch von dem NAS.

Vielleicht beschäftige ich mich wenn das Ding erstmal gut läuft mal mit Docker und mit den ganzen Dingen die man sonst noch damit machen kann.

Ich würde das NAS gerne erstmal eingeschaltet haben, die Firewall möglichst zu und auf meinem PC erstmal den Netzwerkordner oder irgendein Programm einrichten, aber soweit bin ich ja noch nicht gekommen.

Vielleicht könnt Ihr mir dabei helfen, aber bitte nicht direkt sauer sein wenn ich was öfter nachfragen muss oder auch mal einen Tag nicht antworten kann.

Danke erstmal
 
Nach Datum sortieren Nach Stimmen sortieren
Die Firewall auf der Syno brauchst du für den Betrieb erstmal überhaupt. Vernachlässige den Zugriff von außen erstmal. Da kommen ganze viele Unwägbarkeiten auf dich zu.

Je nachdem, welche Apps du auf der Syno nutzen möchtest, reicht es evtl das Quick Connect bon Synology selbst zu nutzen.
 
  • Gefällt mir
Reaktionen: Chris1277
Positive Stimme 0 Negative Stimme
Nachdem ich gestern gelesen hab das ALLE Synology NAS ein Sicherheitsproblem haben, wurde meine ganz vom Internet, via Regel im Router, getrennt.

Edit meint: "Laut Synology wurde das anscheinend gepatched."

Ps: ich würde nur per VPN (Wireguard) von außen zugreifen wollen, alles andere wäre mir zu risky.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Chris1277
Positive Stimme 0 Negative Stimme
tollertyp schrieb:
@-=:Cpt.Nemo:=-: Man kann es auch übertreiben...
Ich nutze die Photos-App nicht, also gähne ich nur müde.

Zumal ich sie manuell installieren müsste (also selbst der verlinkte Artikel lügt da ein wenig...). Keine Ahnung also, was du mit "ALLE" meinst.
Zum Vergrößern anklicken....
Leider ist diese App vorinstalliert, also keine Übertreibung meinerseits. Selbst wenn du sie nicht nutzt, ist darüber die NAS angreifbar gewesen, wenn sie offen im Netz hing.
Ergänzung ()

Fard Dwalling schrieb:
@-=:Cpt.Nemo:=- Kann man machen. Warum nicht einfach die Updates installieren? Betroffen sei wohl nur Synology Photos. Die korrigierte Version ist bereits am 25.10.24 released worden.
Zum Vergrößern anklicken....
Weil ich das update nicht gleich angezeigt bekommen habe. Frag Synology warum, nicht mich.
 
Positive Stimme 0 Negative Stimme
Zum Thema:
Quickconnect ist noch relativ sicher, das kann man mMn riskieren. Idealerweise ist deine Quickconnect-ID nicht (leicht) erratbar, sodass es gar nicht erst zu Loginversuchen von irgendwem kommt. 2FA hast du ja zusätzlich bereits drin.
Nachteil ist halt, dass alles über Synology relay-Server geht, also die Performance ist eingeschränkt. Für ein Foto-Backup, Einkaufsliste öffnen o.ä. vom Smartphone reicht das aber. Im eigenen WLAN wird die "direkte" Route dann normalerweise auch erkannt und dort geht es automatisch wieder schnell.

Sonstige Möglichkeiten zum externen Zugriff werden technisch deutlich komplizierter, wenn es halbwegs sicher sein soll.
 
  • Gefällt mir
Reaktionen: Chris1277
Positive Stimme 0 Negative Stimme
Ok, danke erstmal.

Das mit der Sicherheitslücke klingt ja nicht so prickelnd, wenn die aber bereits behoben ist, ok.

Zur Synology Photos App, die war bei mir nicht vorinstalliert, ich konnte sie aber bei der Ersteinrichtung mit auswählen zur Installation, was ich auch gemacht habe.


Also um mal anzufangen..

Um erstmal Erfahrungen mit dem NAS zu sammeln ist es nun vielleicht doch das beste, das Ding erstmal nur im Heimnetzwerk zu benutzen und später dann über externen Zugriff nachzudenken, ich hab da zuviel Angst mir hier irgendwelche Sachen einzurichten und das Netzwerk versehentlich offen zu haben ohne es zu merken.

Wie ist das denn bis jetzt? Das NAS ist soweit eingerichtet und ich kann auf den Netzwerkordner zugreifen, die Firewall ist nach wie vor deaktiviert, aber habe ich da jetzt gerade ein offenes Scheunentor stehen bis die Firewall aktiv ist, oder ist das NAS noch gar nicht von außen auffindbar?

Ich habe dabei ein sehr mulmiges Gefühl und würde das Ding am liebsten komplett dichtmachen so dass nur ich und meine Frau über die PCs zugreifen können, aus dem Heimnetz.

Also Firewall aktivieren und was muss ich dann machen?

Sowie ich oben schon geschrieben habe, erstmal nur DSM als Regel einstellen, also Port 5000 und 5001 erlauben und wenn ja dann für wen, soll ich über ipconfig nur meine IP raussuchen und als Quell IP eintragen, oder als spezifische IP? Und da dann als was, als einzelner Host oder Subnetz?

Ich brauche anscheinend wirklich kleine Schritte um das zu verstehen und komme mir schon vor als hätte ich noch nie am PC gesessen, seid bitte gnädig, irgendwie hab ich eine Blockade im Kopf bei dem Thema.
 
Positive Stimme 0 Negative Stimme
Nein, Firewall brauchst du nicht. Du hast doch deinen Router. So lange du auf dem Router keine expliziten Freigaben einrichtest, ist sie von außen auch nicht auffindbar.

Die Firewall auf der Diskstation ist dazu da, um sie gegen dein eigenes internes Netz noch weiter abzuschotten, was eigentlich nur im Business Umfeld Sinn macht.
 
  • Gefällt mir
Reaktionen: Chris1277
Positive Stimme 0 Negative Stimme
tollertyp schrieb:
Bei mir war sie nie vorinstalliert. Also von "ALLE" kann keine Rede sein.
Wie soll mein NAS angreifbar sein, wenn diese App bei mir nicht installiert war?
Zum Vergrößern anklicken....
Tja, seltsam. Bei mir ist sie vorinstalliert gewesen, schon seit Jahren nie benutzt worden, war aber immer drauf. Ich vermute sie wurde damals mit dem Medienserver Paket mit installiert, kann das aber nach vielen Jahren nicht mehr nachvollziehen.
 
Positive Stimme 0 Negative Stimme
Ok, das mit der Routerfirewall war das was ich hören wollte.

Im Router selbst habe ich keine Freigaben eingerichtet, aber was ist wenn ich mir Schadsoftware auf den PC hole, oder meine Frau evtl. , dann ist das NAS doch ungeschützt und genauso betroffen wie die Laufwerke im PC oder?

Dann hab ich mal nachgesehen ob ich vom Smartphone aus dem heimischen WLAN drauf zugreifen kann und bei meinem S23U festgestellt das ich über Eigene Dateien -> Netzwerkspeicher das NAS finde und mich über Nutzername und Passwort anmelden kann und es dann als Netzlaufwerk (SMBv2/SMBv3) nutzen kann.

Wie sieht es dann dabei mit der Sicherheit aus?

Ich habe auf jeden Fall jetzt erstmal ein bisschen Vertrauen in das ganze und kann die nächsten Tage das Ding ausprobieren.
 
Positive Stimme 0 Negative Stimme
Benötigst du die Netzlaufwerke permanent eingehängt? Überlege dir das. Es erhöht deutlich die Sicherheit, wenn das nicht der Fall ist und du dich immer anmelden musst, auch von Windows aus (wie auf deinem Smartphone).
Speicherst du den Login, also hast das Mapping permanent, dann ja, haben Angreifer leichtes Spiel, die auf deinen PC gekommen sind.
Wenn du das permanent als Laufwerksmapping brauchst, überlege dir, ob der Zugriff auf sämtliche Daten sein muss. Wenn du bspw. einen User anlegst und dem nur ein Verzeichnis freigibst und den User dann für das Mapping verwendest, besteht auch nur Zugriff auf dieses eine Verzeichnis.

Wenn du normalerweise nur Backups machst, also Daten PC -> NAS fließen, dann kann man auch einfach die Drive-App installieren und die das erledigen lassen. Die funktioniert so wie andere "cloud drive" Apps, also du kannst z.B. lokale Ordner synchronisieren, oder nur hochladen zu Backupzwecken. Dann existiert gar kein direkter Dateizugriff aufs NAS, aber natürlich können z.B. verschlüsselte Dateien dann auch synchronisiert werden -> Backup vom NAS braucht es trotzdem.
Für andere "Dienste" gibt es ähnliche Wege. z.B. DLNA für Zugriff auf Videos vom Fernseher, oder direkt sowas wie Emby/Jellyfin (das wäre dann eine App, die auf dem NAS läuft und die Videos an die zugehörigen Client-Apps streamen kann).
"Direkte Vollzugriffe" immer soweit wie möglich vermeiden. Auch innerhalb der NAS: Usern nur so viel Rechte geben, wie sie wirklich brauchen.


Wegen externem Zugriff: QuickConnect ist extrem einfach einzurichten. Und wenn ich deine Posts lese, sollte das auch auf absehbare Zeit das einzige sein, was du in Betracht ziehen solltest. Ports auf dem Router freigeben ist kritisch, lass da erstmal die Finger von, bevor du genau weißt, was du tust.
 
Positive Stimme 0 Negative Stimme
Danke für eure ganzen Antworten.

Das Ding läuft jetzt erstmal und ich muss mich mal ein paar Tage damit befassen.

Um Backups vom NAS anzufertigen wollte ich eine externe Festplatte per USB dranhängen, die per Hue Plug einmal im Monat eingeschaltet wird und dann automatisch ein Backup erstellt. Ob sich das mit zb HyperBackup realisieren lässt weiß ich jetzt noch nicht, das Ding läuft ja gerade erst.

@Enurian ja auf Quickconnect wird es wohl früher oder später mal rauslaufen, alles andere würde ich mir auch erst zutrauen wenn ich mich in die ganze Materie reingearbeitet habe.

Das mit den Netzlaufwerken stimmt natürlich auch, lässt sich aber wohl nicht so ganz vermeiden wenn man das NAS als vollständiges Netzlaufwerk mitbenutzen möchte, so wie bei den internen Laufwerken im PC. Die Option sich erst anmelden zu müssen zb einmalig nach PC Start wäre eine Option, aber wie gesagt soweit drin bin ich noch nicht.

Ich bin jetzt erstmal in der Lage Dateien hin- und her zu schieben und das ganze Dateimanagement und Backup-Methoden usw. das ist der nächste Schritt.

Danke erstmal, aber ich habe bestimmt in nächster Zeit noch weitere Fragen zu dem NAS und werde wohl noch öfter mal nachhaken müssen :)

Wenn sich das Thema hier eher zur allgemeinen Hilfestellung entwickelt, im Titel steht ja Firewall Probleme, muss ich den anpassen oder kann das so bleiben? Ich weiß nicht wie da die Forenregeln sind.
 
Positive Stimme 0 Negative Stimme
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz