Probleme bei Syno DHCP und DNS

25/tcp SMTP
80/tcp HTTP (auch benötigt für Lets Encrypt)
443/tcp HTTPS
587/tcp Mailversand (TLS)
993/tcp IMAP/S
995/tcp POP3/S

So sollte es aussehen... Port25 nur bei "direktem" Mail-Empfang, sofern Mails nicht via POP3 extern abgerufen werden (falls POP3-Abruf, Port 25 zu machen). Quickconnect kannst Du theoretisch komplett deaktivieren, wenn Du den DSM-Port (verschlüsselt 5001) freigegeben hast (oder diesen Port umgebogen hast auf irgendeinen anderen).
 
Btw und schwärz mal überall in Deinen Anhängen/Posts die "öffentlichen" Teile (öffentliche IP/Domain), ansonsten hat man ggf. leichtes Spiel bei Dir falls mal irgendwo ein entsprechender Exploit auftaucht ☺️
 
blurrrr schrieb:
25/tcp SMTP
80/tcp HTTP (auch benötigt für Lets Encrypt)
443/tcp HTTPS
587/tcp Mailversand (TLS)
993/tcp IMAP/S
995/tcp POP3/S

So sollte es aussehen... Port25 nur bei "direktem" Mail-Empfang, sofern Mails nicht via POP3 extern abgerufen werden (falls POP3-Abruf, Port 25 zu machen). Quickconnect kannst Du theoretisch komplett deaktivieren, wenn Du den DSM-Port (verschlüsselt 5001) freigegeben hast (oder diesen Port umgebogen hast auf irgendeinen anderen).
Zum Vergrößern anklicken....

ich brauche halt teilweise den Quickconnect kram, da einige User vor allem aus der Familie die Storage nutzen.
Ich selbst benutze das webdav zeug wegen caldav nextcloud und etc. Ist das so kritisch?
was spricht gegen den vpn? kann ich von aussen auf mein LAN zugreifen und hab zugriff auf meine Geräte, für meine btc node ist z.B sehr sinnvoll
bin gerade dabei auszumisten.. :D
 
Moinsen,
gegen VPN? Gar nix. Im Gegenteil...(y)
Webdav wegen calDAV und Nextcloud...würde ich wenn nur hinter bzw. durch den VPN Tunnel machen.

;)
 
wario schrieb:
ich brauche halt teilweise den Quickconnect kram, da einige User vor allem aus der Familie die Storage nutzen.
Zum Vergrößern anklicken....
Die Aussage ist so schon mal nicht richtig 🙃 Frage wäre "wie" sie darauf zugreifen. Wenn es z.B. um Nextcloud geht -> Reverse-Proxy der Syno und jut. Alternativ - je nach Konfiguration - den Port ggf. umbiegen und den Zugriff darauf schon mal via Firewall einschränken. Alternativ halt nur via VPN, aber fehlen mir bei der Syno die Steuerungsmöglichkeiten (im Gegensatz zu einer richtigen Firewall mit unterschiedlichen VPN-Profilen (und somit entsprechenden Beschränkungen)).
 
ja ziel ist es nextcloud zum laufen zu bringen, wenn ich mir da aber verschiedene how to's anschauen qualmt mir jetzt schon der Kopp xD
Ziel ist auf jedenfall nextcloud, aber warum nextcloud nur über den tunnel? (aussage von the other )

bis dahin ist leider erstma nur mit quickconnect zu arbeiten, ich hab die ds erst seit 3 wochen und bin eigentlich stolz genug was ich zusammenkonfiguriert habe als absoluter Netzwerkneuling :ROFLMAO:
 
Moinsen,
weil du ja direkt dazu fragst: wie alles im Leben - deine Entscheidung, da dein setting und dein Netzwerk. Also: nix muss... ;)
Ich selber halte es hier so:
Heimnetzwerk mit Router, dahinter Firewall, dahinter das eigentliche Heimnetz. Ich gebe keine Dienste nach außen frei außer VPN. Wenn jemand aus der Familie da rein will von extern (sind hier eher überschaubare Köpfe), dann per VPN. Egal ob Kalender, Adressbuch oder Daten. Hier ist keiner so wichtig, dass er von unterwegs drölfzehn mal pro Stunde zugreifen müsste. :)

Die Idee mit dem Reverse Proxy wäre dann eben auch was: nur wenige Ports nach "draußen" offen, denn der Proxy verteilt dann die Anfragen.

Was ich niemals nicht machen würde: das NAS aus dem eigenen LAN direkt per https oder sonstwas im Netz anbieten. Sowas nur in deiner DMZ (aber auch das ist für "daheim" eigentlich etwas irre).

Wie du siehst: der Schieberegler zwischen den Polen "Sicherheit" und "Usability" steht bei mir eher deutlich auf der Seite Sicherheit...
Muss aber ein jedes Menschenkind für sich selber entscheiden.
;)

edit: das soll nicht zu kurz kommen...als "Neuling" nach 3 Wochen, wow, steile Lernkurve...(y)
 
the other schrieb:
Was ich niemals nicht machen würde: das NAS aus dem eigenen LAN direkt per https oder sonstwas im Netz anbieten. Sowas nur in deiner DMZ (aber auch das ist für "daheim" eigentlich etwas irre.
Zum Vergrößern anklicken....
du meinst zb beispiel den login von quickconnect über https nicht gut? Wo könnten da probleme entstehen. Meine Mitnutzer müssen pw mit mindestlänge 12 Buchstaben inkl Gross und ein Sonderzeichen erstellen.
 
the other schrieb:
edit: das soll nicht zu kurz kommen...als "Neuling" nach 3 Wochen, wow, steile Lernkurve...(y)
Zum Vergrößern anklicken....
hey danke ja etwas stolz auf mich bin ich :D Mailserver einrichtet, VPN tunnel konfiguiert. Webstation und Wordpress installiert (aber nicht via DSM) sondern manuel mit eigenen unabhängigen Datenbanken) erstellt welche ebenso läuft. Webdav eingerichtet.
der kopf qualmt ultra, und nebenbei hat mir noch Blur erklärt wie das mit Hypervisoren läuft und ich in zukunft am besten damit die clients laufen lasse. SSDs für den Hypervisor sind da und XCP-ng ist auch schon drauf xD
 
Moinsen,
naja, Quickconnect...da stört mich bei, dass es immer über den qc Server läuft. Sonst soll es ja relativ (tja) sicher sein (bis dann doch wer nen Exploit findet)...
Und wenn die Mitnutzer eh manuell QC starten müssen, dann PW eingeben....dann sehe ich den Vorteil zu VPN für den Enduser nicht so richtig.
Ich bin von google contacts und Kalender weg. Der Passwortmanager ist ebenfalls hier lokal vorgehalten. Alles was über die Server anderer Firmen geht, will ich nicht wenn vermeidbar, daher auch NAS.
Wenn ich wirklich all meinen buckeligen Verwandten Zugang zu ausgewählten Fotos (zB) geben wollen würde, dann wäre das ggf. ein Setting für einen Clouddienst.
Wenn es nur 5 Menschen sind, dann per VPN. Damit bestimme ich, wer zugreift, dass es verschlüsselt passiert, was an Zugriff erlaubt ist.
Via VPN kann (warum auch immer) unterwegs das zentral auf dem NAS gelagerte Adressbuch bearbeitet werden, der Kalender aktualsiert werden, auf Dateien zugegriffen werden...auf die Passwortdatenebank eben auch.
Ansonsten wird das eben abends im eigenen WLAN alles aktualisiert und gesynct. Reicht mir.
;)
 
ah gut, ich dachte schon dass du sagst es sei nicht sicher oder gut angreifbar. aber in diesemfall siehts diesbzgl gut aus, aber ja du hast recht bzw ich bin deiner Meinung.
ziel ist bei mir eben auch von google und co wegzukommen. Syno scheint ja auch schön rumzuschnüffleln und hat sich dur AGB Anpassungen ja bereits einen beinahe Freischein auf die Daten gegeben. Die zukunft sieht nicht so dolle was das anbelangt und deshalb mache ich das auch alles gerade.
Bin in einer gemeinschaft die ähnlich bzw die selben Interessen vertritt, und den wollte ich eigentlich den Zugang über die Cloud anbieten. Viele sind da noch sehr sehr neu bzw anfänger was IT anbelangt, und deshalb wollte ich es anfänglich auch etwas einfacher. Aber Ziel ist auch hier, Stück für Stück dann auch weg von den SynoApps. Das dauert aber sicherlich noch etwas, und will es nun auch nicht überstürzen. War da anfänglich noch etwas übermütig, gell Blurrr :ROFLMAO:
 
Moinsen,
btw: solch Dienste wie Mail und eigene Internetseite oder wordpress für die Öffentlichkeit wäre mit immer ein paar Euro für einen Hoster wert.
Und bei Mails...war mir immer zu friemelig, einen eigenen Mailserver zu betreiben. Viel zu viele kleine Fallstricke, alles mögliche steht offen...nö, das soll mal ruhig der Dienstleister selber managen. Ich klick einfach in Thunderbird auf Abrufen, setze Filter und filtere mit Blocklisten in der Firewall und gut is...hab ja auch noch ein Leben jenseits der Hobbykeller IT und gehöre eher zu den faulen Naturen.
:)
 
Naja, wenn sowieso schon eine Website läuft, macht es auch keinen großen Unterschied mehr, ob sich noch eine Nextcloud dazu gesellt. Wenn alles hinter einem Reverse-Proxy läuft, ist das grundsätzlich schon mal nicht verkehrt.

Prinzipiell kann man es halten wie man möchte, aber Fakt ist, dass "theoretisch" jeder - von aussen erreichbare - Dienst ein "potentielles" Sicherheitsrisiko darstellt. Dagegen steht erstmal die Tatsache, dass - bei so einer Denkweise - eigentlich "nichts" mehr im Internet erreichbar wäre. Es ist und bleibt - unter'm Strich - eine Nutzen-/Risiko-Abwägung. Zuhause habe ich nur VPN-Ports freigegeben, im Büro doch einiges mehr (da laufen mitunter auch Teststellungen für div. Dinge) und anderorts laufen die Dinge sowieso nochmal ganz anders.

Die Frage ist auch immer "Was wäre wenn...?". Wird das NAS übernommen, kann man sich entweder von den Daten verabschieden, oder davon ausgehen, dass irgendwer die privaten Inhalte einsehen kann. Vom NAS aus "kann" (nicht muss, aber unwahrscheinlich ist es eher nicht) es dann auch noch weiter ins Netzwerk gehen.

Ein mögliches Szenario wäre die Trennung via VLANs (benötigt "zwingend" entsprechend VLAN-fähige Hardware/Software (Router/Firewall + Switch). Ein kleines Konstrukt mit physikalischer Trennung der Daten (privat vs öffentlich) könnte z.B. so aussehen:

1663862142041.png

Da könnte man das Regelset so aufbauen, dass Du von ausserhalb nur via VPN in Dein "LAN" (grün, VLAN 10) kommst und sich öffentlich angebotene Dienste nur im VLAN 20 tummeln (z.B. auf einem extra NAS). Dazu kommt, dass Du aus Deinem LAN "überall" hin darfst (also auch ins VLAN 20), Teilnehmer des VLAN 20 aber nur ins Internet dürfen (nicht ins VLAN 10). Somit hast Du eine kleine Trennung der Netze geschaffen und kannst die Regeln für den Datenverkehr zusätzlich noch granular bestimmen (Quelle, Ziel, Prokolle, etc.). Für VLAN 20 mit den öffentlich erreichbaren Diensten, kannst Du dann entsprechende Portfreigaben und Regeln erstellen, dass diese Dienste von extern zugänglich sind.
 
Moinsen,
die Syno Apps sind gar nicht sooo verkehrt zum Teil: Calendar und Contacts sowie NoteStation laufen hier problemlos und für meine Ansprüche völlig ausreichend.
Gibt demnächst hier unter https://www.heimnetz.de/anleitungen/ auch ein paar Anleitungen zu (Weg von Google, eigener Kalender- und Kontakteserver per Synology NAS)...
Das obige Setting von @blurrrr mit Aufteilung des großen LANs in diverse VLANs mit Firewall gesteuerten Regeln dazwischen läuft hier plus eben von extern nur mit VPN, Radius-Auth und 2fa. Und dabei biete ich wie gesagt außer meinem VPN nüscht nach außen an.
Ich mag eben die modernen Zugbrücken, Wassergräben mit Krokodilen und böseblickenden Wächtern. 🤪
 
Damit habe ich mich auch schin beschäftigt (vlan) das steht auf der to do liste, aber noch ganz weit weg :ROFLMAO: ich muss erstma die Basis und dass Grundwissen ordentlich festigen. VLAN braucht ja auch die entsprechende Hardware die ich bis jetzt noch nicht habe.
 
Ist ja bald Weihnachten... Die Geschenke, die man sich selbst macht, sind doch noch immer die besten 🤣
 
Moinsen,
einerseits richtig. Andererseits: wenn du absehbar deine Netzwerktopologie neu aufstellen willst, dann musst du all deine Netzwerkbezogene Konfiguration wieder ändern. Am Ende mal wieder (sorry) deine Entscheidung.
Hier war es Anfangs auch so: ne Fritzbox, dahinter das Gelöt. Dann eine pfsense reingenommen, Netzwerk völlig neu strukturiert...und dann noch alle möglichen Konfig Files neu an die IPs anpassen müssen.
Ist eben immer ne Frage, von welcher Richtung das Pferd gestriegelt werden soll...
:)
Und die arme Wirtschaft braucht dein Geld! Wenn du also 2025 planst mit switch und firewall zu arbeiten, dann besser gestern bestellt haben...bei den Lieferketten derzeit. :cry:
:ROFLMAO:
 
also wenn ihr auch mal n tutorial erstellt wie man so ein VLAN erstellt mit verschiedenen Abschnitten für Privat und öffentlich, inkl firewallkonfig und etc, ich würde es auf jedenfall lesen :giggle: bis dahin muss ich dass wie gesagt alles noch mal einüben. Am besten alles löschen und nochma machen damit die routine kommt.

Werde mich mit hardwarefragen dazu demnächst siche auch mal noch hier melden :p
 
Moinsen,
offtopic
ach wie schön:
weil es gerade rein passt in den Abstecher "Sicherheit und wie viele Ports für welche Dienste direkt freigeben"...
https://www.heise.de/news/Python-15...ifft-potenziell-350-000-Projekte-7272186.html
Da siehste wieder: irgendwelche "normalen" Dienste direkt via NAS im Internet freigeben kann dann auch mal aus ganz anderen Ecken für böse Überraschungen sorgen.
Deswegen meine Burg ums Heimnetz. Was weiß denn ich, was heute als "kannste machen" und morgen als "ne doch nicht, völlig irre das zu machen" gilt nur weil da irgendwer seine Hausaufgaben nicht macht...

Hardwarefragen und andere Fragen sind hier immer gerne gesehen! Also, einfach melden, irgendwas ergibt sich immer...
Wenn du das VLAN Konzept erst verstanden hast, ist es nicht weiter schwer, es auf welchen Geräten auch immer zu etablieren. Also gemach gemach, defintiv nix für mal eben aus der Hüfte geschossen...und erstmal in Ruhe auf dem NAS ankommen, musst ja nicht gleich alles nutzen was angeboten wird! Schon gar nicht für Zugriff von außen.
:)
 
wario schrieb:
also wenn ihr auch mal n tutorial erstellt wie man so ein VLAN erstellt mit verschiedenen Abschnitten für Privat und öffentlich, ich würde es auf jedenfall lesen :giggle:
Zum Vergrößern anklicken....
Das bringt so erstmal nichts, man muss das Prinzip dahinter schon verstehen, ist aber leichter als man denkt (wenn man es erstmal verstanden hat) 🙃

wario schrieb:
Am besten alles löschen und nochma machen damit die routine kommt.
Zum Vergrößern anklicken....
Übung macht den Meister 😁

Alles neu machen, muss man sicherlich nicht (das aktuelle Syno-Konstrukt (DHCP/DNS) kann z.B. so bestehen bleiben). Du musst nur quasi Dein aktuelles LAN auf z.B. VLAN10 abbilden (also Firewall-LAN-Interface kriegt dann die 192.168.0.1, WAN-Interface der Firewall und Router nutzen dann einfach ein anderes Netz, wie z.B. 192.168.255.0/30 (.1 Router + .2 Firewall).
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 145 (Mitglieder: 4, Gäste: 141)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.917
Beiträge
57.777
Mitglieder
5.878
Neuestes Mitglied
Otto-2

Teilen

Zurück
Oben