Möglichkeiten um seine NAS zu erreichen

[rednag]

Man kann seine NAS -egal welchernHerstellers- ja auf mehreren Wegen vom WAN erreichen.
Sei es durch DynDSN, Portfreigaben, Herstellerbezogenen Wegen, Weiterleitungen, VPN etc. Möglichkeiten gibt es ja wie Sand am Meer.
Sicherheit spielt hier nunmal eine beachtliche und zentrale Rolle.
Seit ein paar Tagen stelle ich mir die Frage ob man die Sicherheit durch einen Reverse Proxy erhöhen kann. Sei es durch einen Namens,- oder Portbasierten Eintrag. Hauptsache weg von den Standard-Ports. Würde das effektiv die Sicherheit erhöhen oder läuft das (wie von mir vermutet) unter Security by Obscurity?

 

[Barungar]

Ich sehe hier den Sicherheitsgewinn nicht. Über den Reverse Proxy greifst Du genauso auf die Weboberfläche zu, wie bei einer Portweiterleitung. Und auch bei der Portweiterleitung kannst Du schon die Ports verändern. So kannst Du Deinem Router z.B. sagen, er sollte den 34674 an den Port 8080 der IP Deines NAS "weiterleiten".

 

[the other]

Moinsen,
Ich bin da

Sicherheit spielt hier nunmal eine beachtliche und zentrale Rolle.

voll deiner Meinung.
Genau deswegen gibt es zumindest für mich persönlich nur den Zugang via VPN als Option. Abgesichert mit Zertifikat und passwort plus otp, Anmeldung durch radius. Dazu noch ein paar Regeln in der Firewall im Netzwerk wie auch auf dem NAS...
Ich bin aber auch in der entspannten Situation, dass ich nur selten von extern ins eigene Netz muss.
Kalendereinträge und frisch gemachte Fotos synce ich zu Hause, regelmäßigen oder dauerhaften Zugriff brauche ich nicht.
Ist schnell gemacht, auch für die 08/15 fritzbox. Und der kleine Mehraufwand bei der Einwahl stört mich nicht...

 

[tiermutter]

Für meine Anwendung ist VPN auch das Ein und Alles. Aufwand ist es für mich nicht, allerdings mache ich auch keinen großen Zauber drum... Starke Verschlüsselung und starkes Kennwort reicht mir. Ich bin dabei ständig mehrfach mit dem VPN verbunden, sprich mindestens mein Smartphone und mein Rechner auf der Arbeit. Über Alternativen habe ich mir nie Gedanken gemacht...

 

[rednag]

Wie ich bereits vermutet habe ist dies kein Sicherheitsgewinn.
VPN bleibt das Mittel der Wahl, aber bei vielen Usern welche Dienste/Services der NAS nutzen auch nicht immer praktikabel.
Gibt zwar so Dinger wie Always-VPN oder VPN on Demand, aber das betriift überwiegend Road Warrior und wird meist am Endgerät konfiguriert. Ich persönlich lege sehr viel Wert auf meine Kalender. Und CalDAV ist auf der Syno auch ohne VPN erreichbar. Ich will nicht erst VPN aktivieren um eine Synchronisation machen zu können. Und Abgleich nur im heimischen WLAN ist für mich auch nicht unbedingt geeignet. Ich vergesse hin und wieder das WLAN einzuschalten. Ja, auch das könnte man vermutlich automatisieren, aber will ich nicht.

 

[tiermutter]

Ich nutze dss VPN im Wesentlichen um meinen DNS Resolver und die Blocklisten zu verwenden, eine manuelle Einwahl wäre da echt Mist. Daher... Ja, auch das geht automatisch, wir haben für Android und wireguard sogar eine Anleitung dazu
Ein Problem habe ich damit nicht, mal abgesehen davon dass wireguard sowieso keine Passwortabfrage hat müsste man schon an die Daten kommen oder mir das Gerät klauen und damit hat man auch noch keinen Schaden anstellen können, bis das soweit ist, wurde dem Gerät der VPN Zugang schon entzogen...

 

[Netzi]

ich hänge mich hier mal dran - bei uns gibt es ein 'Hauptnetz' (was wir gerade erstellen) und ein kleines weit entfernt, wo derzeit noch meist gearbeitet wird.

'Hauptnetz' T-DSL 100er mit Fritz 7490, dort soll auch ein (kleines) NAS hin, und ein Scanner der in die Cloud scannt, bzw. auf's NAS. Es gibt zwar ein Büro, dieses wird aber selten genutzt (Elternhaus).
'Nebennetz' T-DSL 100er mit Fritz 7590, Wohnung und Homeoffice, kein Drucker, kein Scanner, nur 2x USB-C Dock (Laptops), 2x Tablet, 3-4x Mobile, alles Wlan. Ggf. zukünftig auch 'etwas' SmartHome...

Derzeit ist das ganze per Fritz-VPN verbunden, um zumindest die Fritzbox fernwarten zu können, ich würde gern beide Netze verbinden (interne IP-Bereiche sind schon getrennt - einmal 10.a.10.x und einmal 10.b.10.n), die Endgeräte sind logisch gleich nummeriert bzw. die mobilen Geräte, die in beiden Netzen verwendet werden, haben dieselben IP-Endnummern.

Sicher soll's natürlich auch sein - 'reicht' es da, das NAS im Hauptnetz via Fritz-VPN vom Nebennetz aus erreichbar zu haben, oder muss da was anderes ran? Oder macht eine externe Cloud mehr Sinn, zumal dann auch wirklich problemlos von *ueberall* drauf zugegriffen werden kann, und nicht nur von den beiden Standorten? Oder kann ich (speziell mobil) auch auf das Fritz-VPN zugreifen?