Synology NAS: Getrennter Zugriff möglich?

[Holgip]

Hi liebes Forum,

mein Bekannter hat eine DS218 mit 2 HDDs, die als einzelne Laufwerke konfiguriert sind. Jetzt will er nur auf eine der HDDs via Internet zugreifen können, die Andere soll nicht von außen erreichbar sein.
Ist das überhaupt möglich, oder gibt das die Synologysoftware nicht her?

Gruß
Holgip

 

[kaka11]

Das geht problemlos. Um übers Netzwerk (und damit auch Internet) auf die Festplatten zuzugreifen muss zuerst eine Freigabe erstellt werden. Diese Freigabe kann problemlos lediglich auf einem Datenträger (oder Partition) liegen.

 

[Olunixus]

Um von außen auf solche Freigaben zuzugreifen bietet sich die Nutzung eines VPNs an.

 

[Holgip]

@kaka11 Danke für die Antwort. Über das LAN sollte die Freigabe aber schon erreichbar sein.
@Olunixus Auch dir danke, das hatte ich bisher noch nicht auf dem Schirm.

 

[Raijin]

Ich frage mal andersherum:

Warum soll nur eine Freigabe über das Internet erreichbar sein, lokal aber schon?

Freigaben laufen über SMB-Ports. Dabei wird portmäßig nicht zwischen den Freigaben unterschieden, weil das lediglich das Protokoll für die Datenübertragung ist. Zugriffskontrolle realisiert man darüber hinaus mit Benutzerrechten. Mir wäre kein Weg bekannt wie man dem SMB-Port sagen sollte, dass er für eine Freigabe nur Anfragen aus dem LAN und für eine andere Freigabe Anfragen von überall annehmen sollte. Ich lerne aber gern dazu, wenn jemand weiß wie das geht


Wie @Olunixus schon sagte sollte man SMB-Freigaben sowieso nur via VPN aus dem Internet erreichbar machen. Streng genommen sind sie dann ja gar nicht öffentlich erreichbar, sondern man verbindet sich via VPN mit der Diskstation und ist dann quasi "im lokalen VPN" und kann die Freigabe nutzen als säße man daheim auf der Couch. Das gilt dann aber für alle Freigaben. Möchte man nun, dass der Nutzer am anderen Ende des VPN nur Zugriff auf eine Freigabe hat, sollte sein Benutzer auch nur Zugriffsrechte für eben diese Freigabe haben.

Was wiederum Freigaben via WebDAV oder was Synology sonst noch so bietet, kann ich wenig dazu sagen. Es mag sein, dass man via https auch an die Daten rankommt und diese dann explizit selektieren kann, auch welches Laufwerk darüber erreichbar ist und welches nicht. Da müsste aber ein Synology-Fachmann ran, davon habe ich keinen Schimmer

 

[Olunixus]

Habe bei mir in der Synology einige Freigaben eingerichtet - da kann man viel machen. Mach ein ordentliches Rechtemanagement für die Benutzer und Verzeichnisse, und dann klappt das.

Aber am besten fängst du nochmal am Anfang an und sagst uns was du eigentlich vor hast. Das hört sich irgendwie nach einem XY-Problem an (Link bzgl "was das ist" steht bei @Raijin in der Signatur )

 

[Holgip]

Gut: Er hat eine kleine Firma und speichert die Firmen- und die Privatdaten auf dem NAS. Auf die Privatdaten möchte er von außen zugreifen können, die Firmendaten sollen sicher vor Zugriffen aus dem Internet sein. Im internen Netzwerk will er natürlich auch auf die Firmendaten zugreifen können.
So wie ich das sehe, ist es am sichersten mit 2 NAS, eine für die Privat- und die andere für die Firmendaten zu realisieren. Den Zugriff auf die einzelnen Geräte kann er ja dann in der Fritzbox sperren oder zulassen.

 

[Olunixus]

Den Zugriff auf die einzelnen Geräte kann er ja dann in der Fritzbox sperren oder zulassen.

ähm nein!?

wie ist es denn bisher eingerichtet? Ein Benutzer (am besten den admin? ) und dann einen "gemeinsamen Ordner" erstellt und da alles rein gepackt? <<-- so bitte nicht!

Ich würde folgendes vorschlagen: In die DS 2 gleich große Platten einbauen und einen SHR draus machen (falls das noch nicht so sein sollte) und ein großes Volume erstellen. Dann sind die Daten im Falle eines Festplattenausfalls noch verfügbar und er kann weiterarbeiten bis der Ersatz eintrifft (SHR bzw. RAID ersetzt kein ordentliches Backup!). Neben dem Adminkonto 2 weitere Konten anlegen. Eins für privat und eins für arbeit. Einen eigenen gemeinsamen Ordner für die geschäftlichen Sachen erstellen und die Benutzerberechtigungen so einstellen dass nur das Arbeitskonto Zugriff hat. Für den Privatkram ähnlich vorgehen. Ggf. legen Photo/Audio/Video-Station eigene gemeinsame Ordner an. Hier auch entsprechend die Berechtigungen setzen. Für den täglichen Zugriff dann nur die 2 Konten für Privat / Geschäft nutzen und diesen so wenig Rechte wie möglich, aber so viel wie nötig geben. Das Adminkonto dient nur zum administrieren / verwalten.

Auf die gemeinsamen Ordner kann man dann vom Windows-PC ganz normal über die Netzwerkfreigabe zugreifen und ggf. ein Netzlaufwerk erstellen. Dann mit dem entsprechenden Nutzer anmelden.

Auf der Synology via Paketverwaltung den VPN Server installieren. OpenVPN nach Synology-Anleitung einrichten. Entweder nochmal ein neues Benutzerkonto für den VPN-Zugang anlegen oder dem privaten Konto erlauben VPN-Verbindungen aufzubauen und dieses nutzen. In der Fritzbox muss dann genau eine Portfreigabe eingerichtet werden: Standard für OpenVPN ist UDP1194 - das wars.

Von welchem Anbieter / mit welcher Technik kommt das Internet ins Haus? Wenn es sich um keinen echten IPv4-Anschluss handelt muss man für den Zugriff von extern ggf. noch ein bisschen Hand anlegen.

##############
So wie ich das mal eben beschrieben habe sollte es aus technischer Sicht grundsätzlich klappen. Da es sich hierbei aber um eine Firma handelt hier wie immer der Hinweis: Evtl. ist für eine Firma ein Systemhaus mit Support die bessere Wahl. Insbesondere Datenschutz/Datensicherheit (DSGVO lässt grüßen) sollte man als Unternehmer besonders im Auge behalten.