Ich habe eine Frage. Ich möchte mir einen NAS Server zulegen und auch von außen darauf zugreifen. Dies ist ja entweder mit Portforwarding möglich oder mit P2P. Bei Portforwarding müssen ja Ports freigeschalten werden, damit es funktioniert, bei P2P nicht. An sich ist es immer ein Risiko, Ports zu öffnen. Aber ganz allgemein, ist es besser, P2P zu nutzen oder gibt es da mehr Nachteile?
Frage zu P2P
- Ersteller Tino
- Erstellt am
Das was du unter p2p verstehst, geht nur. Wenn du außerhalb deines netzwerks einen Server hast der deine Anfrage entgegen nimmt und dein Nas dort nachfragen kann ob sich jemand anmelden möchte. Das kann auch der Hersteller des Nas anbieten, diesem musst du dann Vertrauen.
Direkt vom Internet auf dein Nas ohne port weiterleiten funktioniert nicht insofern du wie 99,9% der Privatanwender über einen Router ins Internet gehst.
Direkt vom Internet auf dein Nas ohne port weiterleiten funktioniert nicht insofern du wie 99,9% der Privatanwender über einen Router ins Internet gehst.
Funktioniert aber auch nur ohne weiterleitung wenn dem Server auf dem Router mit läuft, sonst gibt es das gleiche "Problem".
Mit dem Unterschied, das wenn der von-Server eine sicherheitslücke hat, der Angreifer zu Hause im ganzen Netzwerk ist, beim Webserver bei richtiger Konfiguration erst einmal nur in einem Teilbereich des NAS. Gut auch innerhalb des eigenen Netzes sollte nichts ohne Authentifizierung erreichbar sein - aber zumindest so etwas wie DLNA geht halt trotzdem ohne.
Glaube das führt aber zu weit 🧐
Mit dem Unterschied, das wenn der von-Server eine sicherheitslücke hat, der Angreifer zu Hause im ganzen Netzwerk ist, beim Webserver bei richtiger Konfiguration erst einmal nur in einem Teilbereich des NAS. Gut auch innerhalb des eigenen Netzes sollte nichts ohne Authentifizierung erreichbar sein - aber zumindest so etwas wie DLNA geht halt trotzdem ohne.
Glaube das führt aber zu weit 🧐
- Thread Starter Thread Starter
- #7
Danke!! Aber das habe ich nun nicht ganz verstanden. Also das mit VPN, klar. Aber gabz allgemein, ist es nun besser, ein Gerät (NAS, Alarmanlage etc.) per P2P anzusteuern ODER ist es besser, die Geräte mit Portforwarding zu erreichen? Dazu müssten ja aber Ports geöffnet und an das Gerät weitergeleitet werden, was ja wieder ein gewisses Risiko birgt.
Machst per P2P
Weil mich interessiert wie du das dann umsetzt.
Oder anders geschrieben.
Was verstehst du unter p2p. Wo aktivierst du hier etwas oder wie geht der Zugriff auf dein NAS von statten.
Oder anders geschrieben.
Was verstehst du unter p2p. Wo aktivierst du hier etwas oder wie geht der Zugriff auf dein NAS von statten.
Zuletzt bearbeitet:
- Thread Starter Thread Starter
- #11
Also, Szenario 1:
Ich richte Portweiterleitungen ein um von außen mittels einer DynDNS Adresse auf den NAS zugreifen.
Szenario 2:
Ich lade die App vom NAS, z. B. Synology, scanne den QR Code, um mit P2P auf den NAS zugreifen zu können und richte KEINE Portweiterleitungen ein.
Frage: was ist besser?
Ich richte Portweiterleitungen ein um von außen mittels einer DynDNS Adresse auf den NAS zugreifen.
Szenario 2:
Ich lade die App vom NAS, z. B. Synology, scanne den QR Code, um mit P2P auf den NAS zugreifen zu können und richte KEINE Portweiterleitungen ein.
Frage: was ist besser?
Eigentlich eine ganz tolle idee die SMB Ports vom Nas über den Router nach außen zu Öffnen.
Dauer dann auch höchstens 10 Minuten und der Spaß geht los.
Szenario 2 ist dein Freund wenn du keine VPN Verbindung nutzen möchtest.
Dauer dann auch höchstens 10 Minuten und der Spaß geht los.
Szenario 2 ist dein Freund wenn du keine VPN Verbindung nutzen möchtest.
Wo hat der TS denn etwas von SMB geschrieben? Um genau zu sein hat er gar nicht geschrieben was er mit dem NAS vom Internet aus machen möchte...
Aber SMB wird wohl eher selten benötigt.
WAS man machen möchte ist aber in der Tat ein guter Punkt / Ist für die Antwort relevant.
Thema "p2p"
Ich habe oben geschrieben, das was du unter p2p verstehst benötigt eine 3. Partei außerhalb deines Netzwerks. Quickconnect von Synology arbeitet genau so.
Simpel beschrieben: Dein NAS baut eine Verbindung zu Synology auf. Der Aufrufende Client baut eine Verbindung zu Synology auf. Synology teilt beiden Seiten Information über die jeweils andere Anfrage mit. der Aufrufende Client redet direkt mit dem NAS als "Antwort" auf die Anfrage die das NAS ursprünglich an Synology gestellt hat. Dadurch benötigt man keine dauerhafte Port-Weiterleitung.
Vorteile:
- keine dauerhafte Portweiterleitung
- keine feste IP / DynDNS-Adresse notwendig
- Aufruf funktioniert von jedem beliebigen Endgerät das im Internet Surfen kann
Nachteile:
- Es funktionieren nur bestimmte Dienste (Vornehmlich alles was über https(s) erreichbar zu machen ist)
Thema VPN
Über eine VPN-Verbindung kann ein Gerät außerhalb des eigenen Netzwerks "in" das Netzwerk geholt werden - egal wo es sich befindet. Einen VPN-Server können viele Router, aber auch häufig das NAS (Synology und Qnap können das z.B.) Bei Verwendung eines VPN-Servers auf dem NAS muss eine passende Portweiterleitung auf das NAS eingerichtet werden. Auch die Fritzbox ist im Grunde ein Computer; hier sehe ich keinen zwingenden Vorteil den VPN-Server auf dem Router zu betreiben. Die Frage ist hier eher - wer liefert wie lange Sicherheitsupdates und wer reagiert bei Lücken schneller. Das NAS dürfte deutlich Leistungsfähiger sein als der Router. VPN-Verbindungen benötigen nicht unerheblich Prozessorleistung - hier kann das NAS mehrere Verbindungen gleichzeitig verarbeiten und zusätzlich gibt es im Zweifel unterschiedliche VPN-Server für ein NAS, bei der Fritzbox ist man festgelegt auf die mitgelieferte Funktion.
Vorteile:
- Bei Aktiver Verbindung voller Zugriff auf das NAS
Nachteile:
- Auf dem Zugreifenden Gerät muss ein VPN-Client installiert + konfiguriert sein
- Bei Sicherheitsproblemen mit dem VPN-Tunnel (Oder abfischen der Zugangsdaten am Endgerät) erfolgt voller Zugriff auf das Netzwerk, nicht nur auf das NAS
- Je nach VPN-Server und Anzahl der Clients Leistungseinbußen in der Geschwindigkeit beim Zugriff auf das NAS
Thema Portweiterleitung
Bei der Weiterleitung einzelner Ports auf das NAS kommen die Anfragen aus dem Internet direkt am NAS an. Insofern das Gerät aktuell gehalten wird ist das meiner Meinung nach nicht zwingend eine Schlechte Idee. Sonst müsste man mit dem Argument der Erreichbarkeit aus dem Internet alle Webseiten abschalten.
Hier ist ebenso eher die Frage
- Was wird öffentlich Verfügbar gemacht
- Steht das Gerät unter aktivem Herstellersupport
- Werden ausreichend sichere Passwörter / 2FA verwendet
- Kümmert sich der Betreiber aktiv darum, über ungepatchte Gefahren informiert zu sein und im Zweifel angemessen darauf zu reagieren
Ganz unabhängig davon wird bei der Verwendung von Portweiterleitungen noch eine feste IP oder ein Dienst für Dynamische DNS-Einträge (DynDNS) benötigt.
Vorteil hier ist, das ebenso Zugriff auf alle Dienste besteht. Nachteil ist, das, insofern mehrere Dienste verwendet werden - hier mehrere Ports geöffnet werden müssen und jeder einzelne Dienst anfällig für Lücken sein kann.
Insofern mehr als https(s) benötigt wird und die Installation des VPN-Clients kein Problem darstellt wäre dann VPN die bessere Wahl.
Aber SMB wird wohl eher selten benötigt.
WAS man machen möchte ist aber in der Tat ein guter Punkt / Ist für die Antwort relevant.
Thema "p2p"
Ich habe oben geschrieben, das was du unter p2p verstehst benötigt eine 3. Partei außerhalb deines Netzwerks. Quickconnect von Synology arbeitet genau so.
Simpel beschrieben: Dein NAS baut eine Verbindung zu Synology auf. Der Aufrufende Client baut eine Verbindung zu Synology auf. Synology teilt beiden Seiten Information über die jeweils andere Anfrage mit. der Aufrufende Client redet direkt mit dem NAS als "Antwort" auf die Anfrage die das NAS ursprünglich an Synology gestellt hat. Dadurch benötigt man keine dauerhafte Port-Weiterleitung.
Vorteile:
- keine dauerhafte Portweiterleitung
- keine feste IP / DynDNS-Adresse notwendig
- Aufruf funktioniert von jedem beliebigen Endgerät das im Internet Surfen kann
Nachteile:
- Es funktionieren nur bestimmte Dienste (Vornehmlich alles was über https(s) erreichbar zu machen ist)
Thema VPN
Über eine VPN-Verbindung kann ein Gerät außerhalb des eigenen Netzwerks "in" das Netzwerk geholt werden - egal wo es sich befindet. Einen VPN-Server können viele Router, aber auch häufig das NAS (Synology und Qnap können das z.B.) Bei Verwendung eines VPN-Servers auf dem NAS muss eine passende Portweiterleitung auf das NAS eingerichtet werden. Auch die Fritzbox ist im Grunde ein Computer; hier sehe ich keinen zwingenden Vorteil den VPN-Server auf dem Router zu betreiben. Die Frage ist hier eher - wer liefert wie lange Sicherheitsupdates und wer reagiert bei Lücken schneller. Das NAS dürfte deutlich Leistungsfähiger sein als der Router. VPN-Verbindungen benötigen nicht unerheblich Prozessorleistung - hier kann das NAS mehrere Verbindungen gleichzeitig verarbeiten und zusätzlich gibt es im Zweifel unterschiedliche VPN-Server für ein NAS, bei der Fritzbox ist man festgelegt auf die mitgelieferte Funktion.
Vorteile:
- Bei Aktiver Verbindung voller Zugriff auf das NAS
Nachteile:
- Auf dem Zugreifenden Gerät muss ein VPN-Client installiert + konfiguriert sein
- Bei Sicherheitsproblemen mit dem VPN-Tunnel (Oder abfischen der Zugangsdaten am Endgerät) erfolgt voller Zugriff auf das Netzwerk, nicht nur auf das NAS
- Je nach VPN-Server und Anzahl der Clients Leistungseinbußen in der Geschwindigkeit beim Zugriff auf das NAS
Thema Portweiterleitung
Bei der Weiterleitung einzelner Ports auf das NAS kommen die Anfragen aus dem Internet direkt am NAS an. Insofern das Gerät aktuell gehalten wird ist das meiner Meinung nach nicht zwingend eine Schlechte Idee. Sonst müsste man mit dem Argument der Erreichbarkeit aus dem Internet alle Webseiten abschalten.
Hier ist ebenso eher die Frage
- Was wird öffentlich Verfügbar gemacht
- Steht das Gerät unter aktivem Herstellersupport
- Werden ausreichend sichere Passwörter / 2FA verwendet
- Kümmert sich der Betreiber aktiv darum, über ungepatchte Gefahren informiert zu sein und im Zweifel angemessen darauf zu reagieren
Ganz unabhängig davon wird bei der Verwendung von Portweiterleitungen noch eine feste IP oder ein Dienst für Dynamische DNS-Einträge (DynDNS) benötigt.
Vorteil hier ist, das ebenso Zugriff auf alle Dienste besteht. Nachteil ist, das, insofern mehrere Dienste verwendet werden - hier mehrere Ports geöffnet werden müssen und jeder einzelne Dienst anfällig für Lücken sein kann.
Insofern mehr als https(s) benötigt wird und die Installation des VPN-Clients kein Problem darstellt wäre dann VPN die bessere Wahl.