heißt also das Problem liegt bei meinem DynDNS Anbieter? Hab ich jetzt so verstanden weil der ja sozusagen der Host der Domain ist. Oder meinst du jetzt als Host mein Nas auf der anderen Seite? Ich hab mal die CPU Auslastung beim Upload beobachtet. Die macht praktisch kaum bis nichts. Also nehme ich an der DynDNS Anbieter? Falls ja hast du Alternativen?
-
Important Announcement for the TrueNAS Community.
The TrueNAS Community has now been moved. This forum has become READ-ONLY for historical purposes. Please feel free to join us on the new TrueNAS Community Forums
Dateizugriff von außen einrichten FTP, sFTP ??
- Thread starter Pichu
- Start date
- Joined
- Nov 25, 2013
- Messages
- 7,776
Der Traffic läuft nicht durch irgendein System des DynDNS-Anbieters. Der kümmert sich nur um die Zuordnung eines Namens, den du dir ausgesucht hast, zu deiner aktuellen IP-Adresse.
@bic meinte die beiden beteiligten Rechner, die die SSH-Verbindung miteinander haben, also dein TrueNAS und der PC am anderen Ende. Rechner und Host sind Synonyme. Seine Vermutung ist, dass möglicherweise die Verschlüsselung hier bremst.
@bic meinte die beiden beteiligten Rechner, die die SSH-Verbindung miteinander haben, also dein TrueNAS und der PC am anderen Ende. Rechner und Host sind Synonyme. Seine Vermutung ist, dass möglicherweise die Verschlüsselung hier bremst.
Verhältnismäßig wäre der A6 aus meinem Nas tatsächlich etwas schwach auf der Brust. Die Gegenseite hat einen Ryzen 5800X3D bzw Ryzen 3600 ( je nachdem an was für einen Rechner er geht) im Einsatz. Würde die CPU Auslastung ansteigen beim Upload hätte ich das ja noch verstanden. Gibt es Typische Funktionen die bei falscher Einstellung hier noch bremsen? Die Verschlüsselung selbst jetzt mal ausgenommen.
Da wäre noch eine Sache. Unter SSH soll man ja den root Login abschalten was ich auch schon hatte. Allerdings die Passwort Authentifizierung auch. Dann bekomme ich allerdings auch keine Verbindung mehr mit WinSCP. Könnte mir da jemand sagen wie da zu verfahren ist?
Und ist es sicherheitsrelevant arg schlimm wenn ich es an lasse?
Und ist es sicherheitsrelevant arg schlimm wenn ich es an lasse?
- Joined
- Nov 25, 2013
- Messages
- 7,776
Du hast die Authentifizierung für WinSCP nicht mit einem Schlüsselpaar eingerichtet sondern mit Passwort? Genau das haben wir ausdrücklich nicht empfohlen.
winscp.net
Set up SSH public key authentication :: WinSCP
WinSCP is a free file manager for Windows supporting FTP, SFTP, S3 and WebDAV.
- Joined
- Nov 25, 2013
- Messages
- 7,776
Du darfst nur den Public key bei dem User hinterlegen, den du für den Zugriff benutzt. Der Private Key darf deinen PC nicht verlassen. Deshalb heißen die Public und Private. Zum Generieren folgst du der Anleitung von WinSCP - keine Ahnung, hab kein Windows.
Dein Bruder generiert sich für WinSCP sein eigenes Schlüsselpaar. Und nur den Public Key hinterlegst du ebenfalls über das UI bei dem NAS User.
Dein Bruder generiert sich für WinSCP sein eigenes Schlüsselpaar. Und nur den Public Key hinterlegst du ebenfalls über das UI bei dem NAS User.
aaaaaaah jetzt. Weil ich hatte versucht gehabt ein im NAS hinterlegten Key in WinSCP zu hinterlegen. Dann war das der falsche Ansatz. Bin grad noch auf Arbeit aber werde das heute Abend gleich mal testen. Das NAS hab ich ohnehin grade runtergefahren. Möchte evtl noch einen anderen Port als den 22 wählen. Vermute Scanaktivitäten. Offen nach außen sind definitiv nur 80 für den DNS Anbieter und 22 fürs NAS. Danke schonmal. Wird sicher klappen.
- Joined
- Nov 25, 2013
- Messages
- 7,776
Wenn Passwort-Authentifizierung aus ist, können dir Scans egal sein. Deshalb benutzt man nur Public-Key-Authentifizierung.
- Joined
- Nov 25, 2013
- Messages
- 7,776
Nein, aber auf der Kommandozeile.
w
netstat -a
w
netstat -a
Die Verschlüsselte Verbindung ohne Passwort steht jetzt. das war ein ganz schönes gefrickel weil mich das NAS immer wieder raus geschmissen hat: Ich hatte es ja so laufen: Am Windows Pc User der auf die FreigabeHDD zugreift ich selbst. So hab ich am Windows PC immer Daten drauf geschoben. Die waren dann direkt auf dem NAS. Für den Zugriff außerhalb musste auch ein User her also hab ich den über ne Gruppe rein geholt wo halt nur er das einzige Mitglied ist. Hat wunderbar geklappt.
Mit der neuen Methode funktioniert das leider nicht mehr. Da muss zwangsweise der User von außerhalb selbst der Benutzer sein. Sobald man dann ne Gruppe aktiviert funktioniert der Zugriff von außen nicht mehr. Stand aber sogar auf der WinSCP Seite. Ich habe das Laufwerk aus der Windows SMB Freigabe raus und Schiebe die Daten jetzt am eigenen PC mit WinSCP aufs NAS. Leider etwas umständlich aber weiß mir grad nich anders zu helfen. Passwortauthentifizierung ist jetzt abgeschaltet. Das zusätzliche Wort für den Key via SCP hab ich auch gewählt. Glaub so sonderlich viel kann jetzt nicht mehr schief gehen ^^
Mit der neuen Methode funktioniert das leider nicht mehr. Da muss zwangsweise der User von außerhalb selbst der Benutzer sein. Sobald man dann ne Gruppe aktiviert funktioniert der Zugriff von außen nicht mehr. Stand aber sogar auf der WinSCP Seite. Ich habe das Laufwerk aus der Windows SMB Freigabe raus und Schiebe die Daten jetzt am eigenen PC mit WinSCP aufs NAS. Leider etwas umständlich aber weiß mir grad nich anders zu helfen. Passwortauthentifizierung ist jetzt abgeschaltet. Das zusätzliche Wort für den Key via SCP hab ich auch gewählt. Glaub so sonderlich viel kann jetzt nicht mehr schief gehen ^^
- Joined
- Nov 25, 2013
- Messages
- 7,776
Man kann für SMB auch den ganzen ACL-Kram deaktivieren und mit "force user" erzwingen, dass die Daten mit einem best. User geschrieben werden. Der muss dann nicht identisch sein, mit dem, der sich anmeldet.
Ich hab die Passwort Authentification ja aus. Schlüsselpaar generiert und ein Keyphrase dazu. Jedoch hab ich auf dem Monitor auf dem Truenas läuft ja immer den Log sozusagen. Habe da schon seit gut zwei Tagen permanent rum die Uhr Zugriffsversuche. Die Zugriffe scheitern mit: kex_exchange_identification: Connection closed by remote host oder fatal: Timeout before authentication for z.B 61.177.173.39. Die Adressen sind recht ähnlich. Mal ist es am Schluss nur 173 oder 172 die zwei immer wechselnd. Die letzten zwei ziffern am Ende auch immer wechselnd. Ports auch von 2000-6000 alles dabei. Mich beruhigt ja das derjenige wohl nicht rein kommt. Scheint aber vermutlich sofern es derselbe ist es schon lange zu probieren.
Ist ja fast wie wenn jemand die ganze Zeit ein Brecheisen an der Haustür ansetzt. Sollt ich den Standard Port mal ändern und hoffen das es dadurch weg ist? Oder ist es einfach ne Sache die ich halt so hinnehmen muss wenn das Ding Online ist?
Grüße
Ist ja fast wie wenn jemand die ganze Zeit ein Brecheisen an der Haustür ansetzt. Sollt ich den Standard Port mal ändern und hoffen das es dadurch weg ist? Oder ist es einfach ne Sache die ich halt so hinnehmen muss wenn das Ding Online ist?
Grüße
- Joined
- Nov 25, 2013
- Messages
- 7,776
Scans auf SSH sind normal. Die Source-Ports wechseln durch. Auch das "gehört so". Würdest du nach @micneu s Empfehlung ein VPN davor kleben, würden die Leute halt auf dem z.B. OpenVPN rumtrommeln, das loggt nur nicht so viel.
Also bei ausschließlicher Public Key Authentifizierung schlafe ich gut, egal was auf dem Port abgeht. Nimm einen anderen Port für den externen Zugriff und du hast weniger Lärm. Kann man machen.
Also bei ausschließlicher Public Key Authentifizierung schlafe ich gut, egal was auf dem Port abgeht. Nimm einen anderen Port für den externen Zugriff und du hast weniger Lärm. Kann man machen.
