Dateizugriff von außen einrichten FTP, sFTP ??

[Pichu]

Hallo miteinander,

Nun ist ja einige Zeit ins Land gegangen und ich bin mit dem Eigenbau NAS und der Verwendung im Internen Netzwerk sehr zufrieden.

Mein Bruder wohnt etwas entfernt und da dachte ich, ich könnte ihm doch einfach mal easy Daten Freigeben. Also hab ich für die HDD die ich dafür Nutzen will mal ein Dataset angelegt, Berechtigungen eingerichtet, FTP eingerichtet und mal den Zugriff aus dem Internen Lan versucht über Benutzername und Passwortabfrage. Klappt soweit einwandfrei.

Nun meinte heute ein bekannter ich soll mit FTP ein wenig vorsichtig sein, sftp wäre da wohl sicherer?

einen externen DynDNS dienst werde ich da mit Sicherheit brauchen oder? Reicht ja wenn mein Bruder zugriff auf die Daten hat.

Nur komme ich da bei der Einrichtung jetzt leider nicht wirklich weiter und hoffe ein wenig auf eure Hilfe ^^ . Die bequemste Variante wäre natürlich wenn er die Daten per Browseraufruf erreicht.

Musik, Videostreaming etc ist nicht vorgesehen. Sicherheit da private Daten wäre da eher wichtig.

Grüße schon mal ^^

 

[Patrick M. Hausen]

SFTP ist SSH und das ist in der Tat relativ sicher. Du musst ihm also einen User anlegen, der sich per SSH anmelden darf. Am besten die Authentifizierung per public/private Key. Im Browser geht sowas nicht, aber es gibt Filezilla oder WinSCP als mögliche Explorer-artige Frontends für deinen Bruder.

Und ja, wenn du keine feste IP-Adresse hast, brauchst du zusätzlich DynDNS.

Und dein Router muss einen Port (für SFTP Port 22) an das TrueNAS weiterleiten können.

 

[Pichu]

Das sollte mit der FritzBox 7590 möglich sein. Also lasse ich FTP aus unter Dienste und aktiviere nur SSH. Aber eig ist es ja egal was ich mache. DynDns brauch ich wenn mein Bruder Zugriff haben will eigentlich immer oder?

 

[Patrick M. Hausen]

Ja, wobei das einfachste vielleicht "myfritz" ist. Benutze das nicht, aber AVM hat da wohl einen eigenen Dienst am Start.

 

[ChrisRJ]

Mit persoenlich waere es ohne ordentliches VPN zu riskant. Ist aber auch nicht mein Spezialgebiet und deswegen gehe ich lieber auf Nummer doppelsicher.

 

[Pichu]

Die Fritzbox mag ich nicht benutzen für die NAS funktion. Das hat im Ernstfall leider mal nicht funktioniert.

 

[Patrick M. Hausen]

@ChrisRJ SSH strikt mit public key authentication ist keinen Deut unsicherer als eine VPN-Verbindung, wieso auch? Crypto ist Crypto.
@Pichu MyFritz nur für den DynDNS-Teil, nicht für das Filesharing. Das wie vorgeschlagen per SFTP.

 

[Pichu]

Also eine Kombination. In TrueNas SFTP einrichten und in der FritzBox den Dienst scharf stellen. Das hört sich sehr gut an. Hätte immer gedacht die Fritzbox lässt das nur mit ihrer eigenen NAS Funktion zu.

 

[Patrick M. Hausen]

MyFritz ist zuallererst mal eine Art DynDNS. Für jemanden ohne große Netzwerk-Erfahrung ist die Fritzbox immer noch der Einäugige unter Blinden. Das passt schon, was AVM da macht. Überleg mal, wieviele Milionen Kunden die haben, und was bei einem harten "breach" los wäre.

Wichtig be deiner Freigabe ist, dass du im TrueNAS die Passwort-Authentifizierung und den Root-Login bei SSH ausschaltest. Dann public/private Key und dann passt das schon.

 

[Pichu]

ich habe mich heute mal ein wenig an die Einrichtung gemacht. Funktioniert soweit. Benutzer und Public Key eingerichtet und ich bekomme im Lokalen Netzwerk mit WinSCP eine Verbindung. Über den root kommt man nicht mehr drauf von außerhalb das hat hingehauen. Nur noch der User selbst. public Key und alles hat im WinSCP auch geklappt. Wenn ich allerdings unter SSH Passwort-Authentifizierung ausschalte bekomme ich mit WinSCP keine Verbindung mehr. Ist das Sicherheitsrelevant tragisch oder kann ich den Haken auch drin lassen?

Spricht etwas dagegen dein eigenen DynDNS Dienst von TrueNAS zu verwenden?

Ich habe mich jetzt mal etwas durchgesucht, auch in der FritzBox aber ich scheine mich immer bei einem DynDNS anbieter Melden zu müssen ist das richtig?

Mir ist gerade aufgefallen: Wenn ich auf die Anmeldeseite von TrueNas komme, wo man sich ganz normal als root anmeldet steht in der Adresszeile im Broweser immer::: Nicht sicher. Also muss da noch etwas gemacht werden oder ist das uninteressant?

Entschuldige bitte, aber Anfänger haben halt immer viele Fragen ^^

Grüße schon mal ^^

 

[bic]

Spricht etwas dagegen dein eigenen DynDNS Dienst von TrueNAS zu verwenden?

Nicht böse gemeint - ist Dir eigentlich der Sinn und Zweck eines DynDNS geläufig? Daher die Sicherstellung der Erreichbarkeit eines Hosts mit wechselnder IP über einen statischen FQDN? Nichts anderes ist dies nämlich. Du kannst darauf verzichten, wenn du eine fixe öffentliche IP besitzt oder Dein Bruder vor jedem Verbindungsversuch bei Dir anruft um die gerade aktuelle IP abzufragen

An sonst - Truenas betreibt sicher keinen eigenen DynDNS. Was Du meinst ist der Dienst in Truenas, welcher einem beliebigen DynDNS im I-Net die jeweils aktuelle öffentlich IP Deines Netzwerks melden soll, falls der Dienst diese überhaupt kennt. I.d.R. lässt man das daher vom FW-Router an der Netzwerkkante erledigen, denn der kennt seine aktuelle öffentliche IP auf jeden Fall und genau bei diesem sollen dann ja auch die Anfragen aus dem I-Net ankommen. Selbstverständlich muss der FW-Router dann die SSH-Anfragen noch an die Truenas durchreichen.

 

[Pichu]

@bic ja. Ich habe jetzt einen Dienst bei No-Ip in Anspruch genommen. Was ich meinte war das MyFritz ja einen eigenen Dienst hat den man wohl nicht alle 30 Tage bestätigen muss. Die Variante mit No-Ip ging jetzt grad schneller. Hab soweit alles eingetragen und es funktioniert auch. Nur bei der Portweiterleitung war die Fritzbox extremst zicken. Nun hab ichs aber hinbekommen. Habe nach außen hin den Port 80 freigegeben und zum TrueNas nur Port 22. Ich hatte davor die ganze Zeit das Problem das ich mit der Eingabe meiner IP von No-Ip auf der Loginseite meines TrueNas gelandet bin.

Das war genau das was ich nicht brauchen konnte. Der Zugriff von außen klappt jetzt über SFTP mit WinSCP. Gebe ich die IP zu erreichen des NAS jedoch im Browser ein kommt dort:

400 Bad Request​

The plain HTTP request was sent to HTTPS port

also geh ich jetzt mal davon aus das ich es soweit richtig gemacht habe?

Grüße

 

[Patrick M. Hausen]

Warum nach außen Port 80?

 

[Pichu]

Hab da einen Hund drin gehabt. Aber ich habs jetzt geschafft. Habe jetzt Final ipv4 mit Port22 nach außen am laufen mit SSH. Die Antwort im Browser läuft ins Leere. Scheinbar gibt die Fritzbox für das DynDNS den Port80 selber frei. Ich hätte gedacht das muss ich noch machen

 

[Patrick M. Hausen]

Für DynDNS braucht es keine EINGEHENDE Verbindung auf Port 80. Wozu denn? Die Fritzbox oder ein anderer DynDNS-Client intern steuert den DynDNS-Provider über eine AUSGEHENDE Verbindung. Die sind bei einer Fritzbox per Default immer erlaubt.

 

[Pichu]

vielleicht eine kleine Frage noch ^^ . Es läuft nun soweit gut. Der Datenaustausch klappt. Allerdings bietet meine DSL Leitung 40mbit im Upstream. Effektiv hab ich 700kbps-1,4mbps . Speedtest hab ich schon gemacht. Da ist noch gut Luft nach oben. Es ist nicht mehr sonderlich viel Arbeitsspeicher auf dem NAS verfügbar. Kann das damit zusammen hängen? Wenn ich Daten vom oder aufs NAS kopiere geht das rasend schnell. 95-120mb/s.

Oder muss ich bestimmte Einstellungen kontrollieren? Wenn das Thema auch noch hin haut bin ich vollends glücklich ^^

 

[micneu]

1. was für bandbreite und provider genau setzt du auf der TrueNAS seite ein
2. was für bandbreite und provider genau setzt du auf der gegenstelle vom truenas?
3. welche fritzbox genau, z. b. die 7490 ist langsamer als eine 7590
4. da du nichts zu deiner truenas hardware geschrieben hast kann ich nichts sagen ob es der flaschenhals ist, ich habe bei mir an meinem truenas core keine bandbreiten probleme (einfach in den footer schauen da kannst du mein setup sehen)

 

[Patrick M. Hausen]

Eine komfortablere Möglichkeit, Dateien sicher für jemanden außerhalb deines Netzes zur Verfügung zu stellen, ist natürlich Nextcloud. Der Aufwand zur Installation und zum Betrieb derselben ist aber eine ganze Größenordnung höher als SFTP.

 

[Pichu]

Hallo ^^. Ja die Infos sind etwas dürftig das sollte ich mal ergänzen. Auch wenn hier gleich einige den Kopf schütteln werden *duckundweg*

@micneu

1. Telekom VDSL 100. Das NAS sitzt hinter einem Gigabit (unmanaged) Switch von D-Link. Dann kommt die Fritzbox
2. Telekom VDSL 100. Derjenige kann aber z.B mit 2,5mb/s Speichern. Also etwas schneller wie mein Upload aus dem NAS mit 700kbps-1,5MB
3. Es ist die Fritzbox 7590. Aktuellste Updates sind drauf

Es kommt noch ein FM2+ Mainboard mit einer AMD A6 CPU mit integrierter Grafikeinheit zum Einsatz. Es sind 3 Platten drin. Eine für die Freigabe und die zwei anderen Bilden die Sicherung des anderen NAS meiner WD Mycloud Ex2.
Die CPU hat Auslastungen zwischen 0-15% .
Der Arbeitsspeicher ist aber tatsächlich mit seinen 4GB (lalala) fast voll (300MB noch frei). Ein 8GB Kit wäre noch da. Ich wollte es jetzt aber nicht gleich auseinander reißen, da die sonstigen Transferraten ja völlig im grünen Bereich sind

DSL Speed wird beim Speedcheck 108.000 erreicht. Uplaod 41.000 und der Ping liegt bei 17ms. Gemessen mit einem PC der auch an dem D-Link Switch hängt. Also völlig im grünen Bereich was seitens der Telekom versprochen wird.


@Patrick I

Ich werde mich mal ein wenig zur Nextcloud informieren. Derzeit handhabe ich es so das die Freigabe HDD mit meinem Windows PC als Netzlaufwerk verbunden ist. Dort schiebe ich sofern ich was bereitstellen will die Daten einfach drauf und schalte meinen PC nach fertig getaner Arbeit aus. Schreibzugriff von außen her ist ohnehin Blockiert.

 

[bic]

DSL Speed wird beim Speedcheck 108.000 erreicht. Uplaod 41.000 und der Ping liegt bei 17ms.

Tja, das ist dann aber unverschlüsselter Traffic. Die per SFTP zu übertragenden Daten müssen aber ja ver- und entschlüsselt werden und hierzu ist erhebliche Rechenleistung erforderlich. Hilfreich ist es hier, wenn die beteiligten Hosts einen Prozessor mit AES-Befehlssatzerweiterung haben und die jeweilige Software diesen auch unterstützt. Wenn nicht, wird die Ver-/Entschlüsselung in Software erledigt und halt langsam.