Aktuell überlege ich mein Heimnetz umzustrukturieren um es sicherer zu machen. Mit sicherer meine ich, dass ich mein NAS vom Internet aus unzugänglich machen möchte; jedoch weiterhin dieses NAS im Hinblick auf Softwareupdates und Online-Backups nutzen möchte. (Geht das überhaupt...?)
Stichwort hier also DMZ. Dazu habe ich hier eine Anleitung gefunden. Allerdings frage ich mich ob es sich bei dieser Beschreibung tatsächlich um eine echte DMZ handelt ?

mfg chuby

Du kannst Die Updates ja mit einem anderen Rechner downloaden und dann mit dem File manuell ein Update machen. Das Abkoppeln eines NAS vom Internet ist dann sehr einfach

Chuby
Eine echte DMZ brauchst Du, wenn vom Internet auf das NAS zugegriffen werden können soll. Dann kommt das NAS in die DMZ. Vom NAS aus geht dann kein Zugriff Richtung internes Netzwerk, aber von und zum Internet.
Vom internen Netz aus hast Du Zugriff auf das NAS, aber wie gesagt, nicht umgekehrt.

Wenn Du Dein NAS NICHT vom Internet aus zugänglich haben willst: Einfach keine Portweiterleitung in der Fritz!Box zum NAS einrichten. Dann kommt von außen auch keiner drauf.

@udabro
Danke für Deine Antwort...habe aber noch zwei Verständnisfragen:
1) Komme ich denn aus dem internen Netz dann noch ins Internet ?
2) Beschreibt der Artikel den ich verlinkt habe tatsächlich die Erstellung einer echten DMZ ?

Danke und Gruß Chuby

Chuby
Ja, Du kommst aus dem internen Netz ins Internet. Ich habe jetzt gerade keine Zeit, den von Dir verlinkten Artikel in Ruhe zu lesen. Aber vielleicht hilft Dir die Info hier weiter, um den Artikel selbst beurteilen zu können: (Elektronik Kompendium)

Warum nicht VPN statt DMZ?
Ich hab‘ hier drei DiskStations laufen und kann per VPN von außen problemlos an alle ran. Mein Router ist ansonsten komplett dicht, antwortet nicht Mal auf Pings.

Danke an alle die geantwortet habe. Die VPN Lösung würde mir am besten gefallen; scheitert aber leider daran, dass ich es nicht schaffe mein Vaultwarden (in Docker auf meiner Synology) lokal ans Laufen bekommen. Von aussen -mit DynDNS und einem Let´s Encrypt Zertifikat- kein Problem. Mit einer 192.168.X.X und einem freigegebenen Port in der Synology klappt es aber nicht. Zwar kann ich die Login-Seite mit http://192.x.x.x:port aufrufen aber beim Login kommt die Fehlermeldung das dies nur mit HTTPS geht. Und mit HTTPS komme ich nicht mal auf die Login-Seite.

Danke für eure Mühe und Gruß
chuby

Ich möchte mich auch nochmal DEUTLICH für den VPN-Zugang aussprechen. DMZ ist mit vielen Sicherheitsrisiken verbunden, da das NAS dann plötzlich komplett im Internet erreichbar ist – samt allen möglichen Lücken. Wenn du dort auf dem NAS mit Docker-Images usw. rumhantierst, kannst du davon ausgehen, dass das NAS über viele Schwachstellen verfügt.

Ist das NAS nur hinter einem VPN-Router erreichbar, muss ein Angreifer zuerst den VPN-Zugang kompromittieren, bevor er überhaupt an das NAS rankommt.

Da bin ich ja auch völlig bei Dir. DMZ werde ich jetzt deshalb auch nicht machen. Bleibt aber noch mein Problem mit meiner Vaultwarden Anwendung. Solange ich die nicht mit einer lokalen IP ans Laufen bekomme muss ich erst einmal weiter fahren bisher. D.h. DynDNS mit Portweiterleitung in der FB zum Reverse Proxy meiner Synology.

Wäre allerdings schön wenn jemand einen Tip hätte um dieses Problem zu lösen...

Danke und Gruüp
chuby

Was meinst du mit "interner IP"?

Wenn du deinen VPN-Dienst erreichen möchtest, um das VPN aufzubauen, brauchst du eine externe IP, die du über ein Port-Forwarding von Router zum Vaultwarden-Dienst durchschleifst.
https musst du aber in Vaultwarden aktivieren. Ein interner Test ist ziemlich wenig aussagekräftig, da du ja alles in deinem Netz, was benötigt wird ohnehin siehst.

Oder verstehe ich was nicht?

logo
Ich glaube da verstehst du was nicht. Wenn ein Mac oder PC mit einem VPN verbunden ist, ist er (vereinfacht gesagt) Teil des lokalen Netzwerkes und kann mit IPs im selben Subnet (das meinte Chubb mit Interner IP) reden. Nix da mit externer IP oder Port-Durchgeschleife

Chuby
Ich habe leider keinen Schimmer von Vaultwarden. Du brauchst denke ich entweder ein Zertifikat für den internen Dienst (hier wurde das diskutiert ) ODER du deaktivierst die Zertifikats-/HTTPS-Überprüfung von Vaultwarden (mit den damit verbundenen Gefahren im internen Netzwerk).

Chuby
Hast du bei Systemsteuerung/Anmeldeportal/DSM das hier aktiviert: "HTTP-Verbindung für DSM-Desktop automatisch zu HTTPS umleiten" oder auf derselben Seite HSTS aktiviert?

Entschuldigung wenn ich mich vielleicht etwas missverständlich ausgedrückt habe....
Nach den hier erhaltenen Hinweisen zum Thema DMZ möchte ich Vaultwarden lieber über VPN nutzen um z.B. auch auf mein selbst gehostetes Vaultwarden zugreifen zu können.
ISTZUSTAND: Vaultwarden läuft bei mir in Docker auf einem Synology NAS. Auf dem NAS selbst ist ein Let´s Encrypt Zertifikat für z.B. die Domain meinvaultwarden.dynv6.net installiert. Von dynv6 auf meine externe IP umgeleitete Anfragen werden in der FB mit HTTPS Portfreigabe auf 4711 zur Syno weitergeleitet. Der Reverse Proxy der Syno biegt den HTTPS Port 4711 auf z.B. HTTP 0815 mit HSTS um. So funktioniert das Ganze jetzt schon seit langer Zeit ohne Probleme...

SOLLZUSTAND: Ich möchte Vaultwarden einfach "von draussen" über VPN in meinem Heimnetz nutzen bzw synchronisieren in dem ich (bei bestehender VPN-Verbindung) z.B. einfach http://192.xxx.xxx.xxx:0815 aufrufe.
(0815 habe ich in der Syno Firewall freigeschaltet).

Genau das aber funktioniert nicht. Mit dem Aufruf http://192.xxx.xxx.xxx:0815/admin komme ich zwar auf die Admin-Seite von Vaultwarden und kann mich dort auch einloggen und das Setup verändern; gebe ich aber dann http://192.xxx.xxx.xxx:0815/# ein komme ich auch noch auf die Login-Seite und kann dort meine Login-Daten eingeben. Nach ENTER kommt dann jedoch die Vaultwarden-Meldung:

This browser requires HTTPS to use the web vault
Check the Vaultwarden wiki for details on how to enable it

Und spätestens jetzt bin ich mit meinem Latein am Ende. Die Fehlermeldung kommt sowohl unter Firefox als auch unter Safari.

Eine Möglichkeit die Zertifikatsprüfung auf der Admin-Seite auszuschalten habe ich nicht finden können.

Googelt man die o.g. Fehlermeldung kommt man zu einem Thread in dem jemand dann erklärt das Vaultwarden web vault ohne ein (auch selbst erstelltes) Zertifikat nicht funktioniert.

Noch jemand eine Idee ?

Danke und Gruß
chuby

Das habe ich schon verstanden. Aber Bitwarden funktioniert nur mit http. Mit dem Reserve Proxy leitest du https von außen auf http intern um. Wenn Du aber https erzwingst, kann im Heimnetz Bitwarden nicht per http angesprochen werden. Also muss (wenn ich richtig liege) der https-Zwang weg (bzw. hsts)
Wenn du extern den Port 443 nimmst, kannst du dir übrigens die Portangabe sparen. Dann kommst du mit bitwarden.meinedomain.de direkt auf Bitwarden. Ich nutze allerdings für VPN auch den Port 443.

marm
Also ich hab jetzt alle Variationen durch -mit/ohne https-Zwang- sowie -mit/ohne HSTS. Die Fehlermeldung bleibt immer gleich beim Versuch mich mit einzuloggen.
Einzig die aktuelle Lösung mit bitwarden.meinedomain.de mit https-Zwang und aktiviertem HSZS auf der Syno sowie dem Reverse Proxy funktioniert ohne murren..

Ich versuchs mal mit einem selbst erstellten Zertifikat.

Danke an alle die mir geholfen haben !

Gruß chuby