OMV sicher ins Internet bringen

  • Hardware: Asrock H97 Performance, Intel I3 4160, 2x G.Skill F3-1600C11S-8GNT (16gb Ram), be quiet Pure Power L8 300W, Thermalright LeGrande Macho,
    Nanoxia Deep Silence 5 Rev.b, Kingston SSDNow V300 2,5" SSD 120 GB, Western Digital Red 3x4tb,1x4tb HGST Deskstar Nas


    Software: Openmediavault 3.0.99 Erasmus, 4.9.0-0.bpo.6-amd64, Snapraid mit mergerfs Pool, Minidlna, Plex, MySql, ClaimAV, Powertop und Sonstiges

  • Hey Joogie,


    Es gibt natürlich verschiedene Möglichkeiten, den Verkehr zu verschlüsseln / abzusichern.


    - an oberster Stelle ist natürlich VPN, wichtig ist, das man weiss, welches der Tunnelendrouter ist.
    - "Cloud" muss man erstmal definieren ;)


    Eine echte Cloud (das hatten wir schon behandelt) ist natürlich erstmal ein abgeschlossener (Speicher-) Bereich auf deinem NAS, quais ein eigener Container.


    Hier mal die Szenarien, welche ich mir vorstellen könnte:


    Szenario VPN (1):
    - Tunnelendrouter ist dein Router (z.b. Fritz!Box)
    - Verbindung via VPN-Client (gibt's für alle Plattformen) zum Router, dann wird der Client (Familie) sozusagen Teil deines LAN's und kann dann erstmal auch alles im LAN nutzen (falls du noch mehr Sachen machen möchtest)
    -> dieses Szenario ist das Sicherste und vor Allem auch WoL-Fähig ;)


    Szenario VPN (2):
    - Tunnelendrouter auf dem NAS
    - erhöhter Rechenaufwand für's NAS
    - Router muss den VPN-Port forwarden ...
    -> Zwitterlösung, mit erheblichen Nachteilen ... WoL ggf. über Router möglich *)


    Szenario: Portforwarding
    - OwnCloud-Instanz (interne IP-Adresse vom NAS, Quellport intern) <-> Router <-> externe IP, externer Port
    - dieses Szenario erfordert natürlich einen Router, welcher Portforwarding mir Port-Rewrite beherrscht (sollte jeder mittlerweile können)
    - OwnCloud sollte dann selber a) nur verschlüsselte Verbindungen zulassen und b) nur starke Algorithmen zulassen (alles Andere ablehnen)
    - zusätzliche Absicherung über Fail2Ban angeraten
    -> direkte Lösung, allerdings auch hier WoL ggf. über Router möglich *)
    -> und nur per Dienst einrichtbar (ein Dienst pro Port, intern wie extern)
    (OwnCloud steht hier stellvertretend für einen beliebigen Dienst, denn ihr nach außen freigenben/bzw. von außen drauf zugreifen wollt)


    *) bei Fritz!Boxen gibt es die Option "Computer starten, wenn aus dem Internet darauf zugegriffen wird", das sollte das WoL-Thema lösen


    Sc0rp

  • Hallo zusammen,
    kleine Anmerkung zu dem Beitrag:

    *) bei Fritz!Boxen gibt es die Option "Computer starten, wenn aus dem Internet darauf zugegriffen wird", das sollte das WoL-Thema lösen

    Wenn kleine Script-Kiddies die Ports scannen reicht es teilweise aus, dass die Systeme aufwachen.
    Da man nicht sagen kann bei welchem Port das WoL statt findet, sondern bei allen geforwardeten Ports, sind die Ports 21 / 22 auch gerne (je nach persönlicher Freigabe natürlich) betroffen.
    Sprich: Wenn man Pech hat, werden die Systeme dauernd geweckt.


    PS: Die Funktion "Computer starten" geht nur, wenn das System am LAN Port der [definition=42,0]Fritzbox[/definition] sitzt. Via Wlan zum Repeater und dann zum System geht nicht. Ich hatte da schon kontakt zu AVM aufgenommen.


    Grüße
    Karva

  • Ok falsch ausgedrückt.
    Es wird keine vorgefertigte Cloudlösung sein, es soll vielmehr nur die Ordnerfreigabe für jeden Benutzer seperat zu sehen sein, der classische FTP Baum wäre mir am liebsten.
    Rein als Dateiablage, keine kontakte z.b.


    Owncloud mag ich aus dem Grund schon nicht, da das plugin den spindown der Platten verhindert.


    Per VPN wäre glaub ich die einfachste und sicherste Lösung, da muß ich mich die tage noch ein bisschen einlesen.

    Hardware: Asrock H97 Performance, Intel I3 4160, 2x G.Skill F3-1600C11S-8GNT (16gb Ram), be quiet Pure Power L8 300W, Thermalright LeGrande Macho,
    Nanoxia Deep Silence 5 Rev.b, Kingston SSDNow V300 2,5" SSD 120 GB, Western Digital Red 3x4tb,1x4tb HGST Deskstar Nas


    Software: Openmediavault 3.0.99 Erasmus, 4.9.0-0.bpo.6-amd64, Snapraid mit mergerfs Pool, Minidlna, Plex, MySql, ClaimAV, Powertop und Sonstiges

  • Morschen,

    Owncloud mag ich aus dem Grund schon nicht, da das plugin den spindown der Platten verhindert.

    Das kann man doch ändern ;)


    Es wird keine vorgefertigte Cloudlösung sein, es soll vielmehr nur die Ordnerfreigabe für jeden Benutzer seperat zu sehen sein, der classische FTP Baum wäre mir am liebsten.
    Rein als Dateiablage, keine kontakte z.b.

    Auch hier gilt mein Beitrag von oben in wesentlichen Teilen, ob der Dienst "OwnCloud" oder "FTP" heisst ist erstmal egal.
    VPN ist die sicherste Verbindungslösung und eben universell zu nutzen, erfordert halt ein wenig Konfigurationsaufwand sowohl am Router, am NAS als auch auf allen Client-Geräten.


    Vorteil am VPN bei "einfachem Dateiservice" ist - du kannst die Samba-Freigaben dafür (weiter) benutzen, müsstest also keinen zusätzlichen Dienst aktivieren (FTP).


    Wenn du "nur" einen FTP-Service anbieten möchtest, könntest du auch SFTP nehmen - läuft auch innerhalb des SSH-Servers (der ja eh bei dir läuft). Das passende Windows-Programm heisst dann WinSCP. Hier eben Portforwarding einrichten und Fail2Ban auf SSH ansetzen.


    Sc0rp

  • Ein altes Thema, aber vielleicht darf ich es mal aufgreifen.


    Ich habe den VPN-Tunnel stehen, kann auch auf das Web_GUI über 192.XXX.XXX.XX zugreifen (mit [definition=40,0]Windows[/definition] 7 bzw. auch 10).
    Ich kann allerdings nicht auf die Festplatte bzw. freigegebenen Ordner über 192.XXX.XXX.XX/Freigabe zugreifen.


    Irgendetwas fehlt da wohl noch, da ich die Fehlermeldung
    Error 404
    Sorry, the page you requested was not found.



    bekomme.


    Was mich wundert ist, dass ich mit meinem Android-Handy mithilfe des ES Datei-Explorers vollen Zugriff habe.


    Hat jemand eine Idee, was ich falsch mache oder was noch nicht richtig eingestellt ist?

  • Vielen Dank!!!


    Es hat geklappt:-)
    Mein Fehler war, dass ich im Tunnel das Netzwerklaufwerk unter [definition=40,0]Windows[/definition] nicht erneut eingebunden habe,
    sondern in der Browserzeile den Namen des Freigabeordners eingegeben habe.


    Jetzt habe ich das Laufwerk zweimal eingebunden: einmal im Heimnetz und einmal im Tunnel.


    Funktioniert einwandfrei.


    Herzlichen Dank für Deine Hilfe, Sc0rp!!!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!