Externe toegang naar Synology NAS - Opslag en back-up

woensdag 21 mei 2025 19:52

Acties:

0 Henk 'm!

Topicstarter

Hallo allemaal,

Ik heb na 12 jaar mijn DS213 vervangen door een DS224.
De oude heeft 12 jaar zonder problemen gedraaid. Nu wil ik graag jullie ervaring weten hoe jullie naar de NAS connecten van buitenaf.
Wat ik altijd deed: met het programma netdrive een WEBDAV verbinding maken. Als ik dan met mijn laptop buiten huis was had ik gewoon in mijn verkenner een 'H'-schijf (via webdav) die dan al mijn folders van mijn NAS had.

Mijn vraag is: is dit nu nog steeds de meest handige methode of kan dit tegenwoordig beter/veiliger/eenvoudiger?

Thanks voor jullie advies!

woensdag 21 mei 2025 20:05

Acties:

+1 Henk 'm!

Ramon

Dit is ook iets wat mij bezig houdt ivm de aanschaf van een NAS. Ik denk dat de veiligste manier een tailscale netwerk of ander vpn/wireguard alternatief is.

Je maakt dan een virtual LAN netwerk en alleen apparaten die daar op zitten kunnen bij je NAS. Daardoor hoef je niet je NAS op internet te ontsluiten maar kan je wel overal bij zolang je apparaat maar in het virtuele netwerk zit.

[ Voor 42% gewijzigd door Ramon op 21-05-2025 20:08 ]

Check mijn V&A ads: https://tweakers.net/aanbod/user/9258/

woensdag 21 mei 2025 20:10

Acties:

+1 Henk 'm!

luukske

Ik gebruik Quickconnect en Drive.

woensdag 21 mei 2025 20:21

Acties:

0 Henk 'm!

sOid

Ramon schreef op woensdag 21 mei 2025 @ 20:05:
Dit is ook iets wat mij bezig houdt ivm de aanschaf van een NAS. Ik denk dat de veiligste manier een tailscale netwerk of ander vpn/wireguard alternatief is.

Je maakt dan een virtual LAN netwerk en alleen apparaten die daar op zitten kunnen bij je NAS. Daardoor hoef je niet je NAS op internet te ontsluiten maar kan je wel overal bij zolang je apparaat maar in het virtuele netwerk zit.

Precies dit.

Kun je meteen op de gebruikelijke manier bij alle services die je eventueel hebt draaien op je NAS (web-interfaces van Docker containers bijvoorbeeld).

donderdag 22 mei 2025 11:41

Acties:

0 Henk 'm!

Ben(V)

De enige methode die veilig is en ook niets op de cloud achterlaat (dus ook geen passwords) is een VPN server op je Lan opzetten en vanaf het internet toegang krijgen via een VPN client die op je device draait.
Alle andere methoden zijn minder veilig en meer afhankelijk van derde partijen.

Je Nas kan prima als VPN server functioneren.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 23 mei 2025 14:48

Acties:

0 Henk 'm!

kuwerti

Topicstarter

Ben(V) schreef op donderdag 22 mei 2025 @ 11:41:
De enige methode die veilig is en ook niets op de cloud achterlaat (dus ook geen passwords) is een VPN server op je Lan opzetten en vanaf het internet toegang krijgen via een VPN client die op je device draait.
Alle andere methoden zijn minder veilig en meer afhankelijk van derde partijen.

Je Nas kan prima als VPN server functioneren.

Dit klinkt goed. ik ga mij daar eens even in verdiepen. welke vpn client wordt aangeraden trouwens?

vrijdag 23 mei 2025 15:13

Acties:

0 Henk 'm!

FrankHe

Het verkeer van Synology Drive is standaard versleuteld via TCP poort 6690 waardoor daarvoor in beginsel geen aanvullende beveiligingsmaatregelen nodig zijn.

Wel heb ik als eerste regel in mijn firewall een "Deny" gezet waarin ik enkele schurkenstaten buitensluit op basis van "Location", denk bijvoorbeeld aan CN, IR, KP, RU en SA.

Bij "Account Protection" moeten de instellingen goed staan om veelvuldige logins buiten de deur te houden.

Gebruikers als Admin en Guest staan uiteraard uitgeschakeld en je gebruikt natuurlijk "veilige" wachtwoorden.

Zoals anderen al aangeven gebruik je een VPN voor de meeste andere services zoals bijvoorbeeld SMB. SMB wil je niet publiekelijk toegankelijk hebben. WebDav kan dan weer wel publiekelijk benaderbaar zijn. Het kan zeker geen kwaad om die achter de VPN te zetten als is dat niet direct noodzakelijk.

Zelf heb ik onlangs een MikroTik router tussen m'n internetaansluiting en m'n NAS gezet waarmee ik van afstand met een WireGuard VPN verbinding maak met de router. Hierdoor heeft de NAS een kleiner aanvalsoppervlak gekregen. Deze opstelling geeft een iets meer gelaagde beveiliging. Het is overigens af te raden om een VPN binnen een VPN te gebruiken. Technisch werkt het wel maar het is nergens voor nodig.

Verder heb ik voor het bestuur van een stichting en een vereniging een gedeelde map ingericht met Synology Drive, die mensen verbinden direct via Drive zonder tussenkomst van een VPN. Dit werkt allemaal naar wens.

vrijdag 23 mei 2025 15:25

Acties:

0 Henk 'm!

FrankHe

kuwerti schreef op vrijdag 23 mei 2025 @ 14:48:
[...]

Dit klinkt goed. ik ga mij daar eens even in verdiepen. welke vpn client wordt aangeraden trouwens?

Zelf ben ik bijzonder te spreken over WireGuard. Het vergt eenmalig iets meer configuratie maar zodra het eenmaal is ingesteld heb je er geen omkijken meer naar. Persoonlijk vind ik het voordeel van WireGuard dat je het volledig zelf in de hand hebt en geen afhankelijkheden hebt van diensten van derden.

Tailscale is en configuratielaag die over WireGuard heen ligt. Dat is leuk voor wanneer je een onderneming hebt met 250 medewerkers en twintig vestigingen waarbij je genoodzaakt bent om het beheer op een centrale plek onder te brengen. In alle andere gevallen zou ik aanraden om de configuratie van de WireGuard server en de clients even handmatig te doen. Dan begrijp je ook meteen hoe het werkt en heb je geen externe afhankelijkheden.

vrijdag 23 mei 2025 16:45

Acties:

+2 Henk 'm!

Ben(V)

kuwerti schreef op vrijdag 23 mei 2025 @ 14:48:
[...]

Dit klinkt goed. ik ga mij daar eens even in verdiepen. welke vpn client wordt aangeraden trouwens?

Gebruik OpenVpn, dat is als gratis standaard package beschikbaar voor Synology en wireguard is dat niet.

[ Voor 15% gewijzigd door Ben(V) op 25-05-2025 09:39 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 26 mei 2025 10:05

Acties:

0 Henk 'm!

FrankHe

Ben(V) schreef op vrijdag 23 mei 2025 @ 16:45:
[...]

Gebruik OpenVpn, dat is als gratis standaard package beschikbaar voor Synology en wireguard is dat niet.

Ik ben helaas van OpenVPN afgestapt omdat het in de praktijk niet altijd even stabiel bleek. Dit is één van de redenen dat ik de (keine) MikroTik router voor m'n NAS heb gezet en daar nu WireGuard VPN op gebruik.

Het probleem wat ik ondervond met OpenVPN heeft wellicht te maken met de manier waarop certificaten worden beheerd. De NAS wisselt iedere 61 dagen van Lets Encrypt certificaat en dat zou in beginsel geen invloed moeten hebben op OpenVPN maar op één of andere manier functioneerde het niet helemaal lekker. Vaak klachten van mensen dat OpenVPN weer niet wilde verbinden. Nu met WireGuard werkt alles zeer betrouwbaar en ook aanzienlijk sneller. Sindsdien heb ik geen enkele klacht meer ontvangen.

maandag 26 mei 2025 10:58

Acties:

0 Henk 'm!

Ben(V)

Ik zie niet wat Lets Encrypt ermee te maken zou kunnen hebben.
Heb nog nooit problemen met OpenVpn connectie gehad.

En wireguard wordt niet door Synology ondersteund dus heb je daar iets van een docker container voor nodig en niet iedere Nas heeft mogelijkheden tot docker gebruik.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 27 mei 2025 21:56

Acties:

+1 Henk 'm!

FrankHe

Ben(V) schreef op maandag 26 mei 2025 @ 10:58:
Ik zie niet wat Lets Encrypt ermee te maken zou kunnen hebben.
Heb nog nooit problemen met OpenVpn connectie gehad.

En wireguard wordt niet door Synology ondersteund dus heb je daar iets van een docker container voor nodig en niet iedere Nas heeft mogelijkheden tot docker gebruik.

Wil je een iets betere beveiliging, een kleiner aanvalsoppervlak, dan is het een goed idee om de VPN op externe hardware te draaien.

dinsdag 27 mei 2025 22:00

Acties:

0 Henk 'm!

rally

Deyterra Consultancy

Nog veiliger is een Zero Trust oplossing bijv. Cloudflared of TailScale.

Geen gedoe met poorten open zetten en DynamicDNS en niet te vinden met een DNS Crawler.

http://www.deyterra.com

woensdag 28 mei 2025 08:36

Acties:

+1 Henk 'm!

Ben(V)

Een derde partij gebruiken zou veiliger zijn?

Makkelijker is zelden veiliger.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 28 mei 2025 10:59

Acties:

+2 Henk 'm!

FrankHe

@rally @Ben(V)
Ik houd zaken liever volledig in eigen hand in plaats van afhankelijk te zijn van een derde partij. Over zero trust gesproken.

Waarom wil iedereen altijd tech van het Amerikaanse continent in huis halen? We zien ondertussen toch allemaal welke ontwikkelingen er plaatsvinden aan de andere kant van de plas? Ik zou er maar werk van maken om snel, en gedegen, los te komen van die technologie en over te stappen op oplossingen die in Europa zijn gevestigd. Maak de overstap voordat je echt vast zit!

Nu is Synology natuurlijk niet Europees maar Taiwanees, het is tenminste niet Amerikaans. Ik heb geen moeite met Amerikanen, ik heb moeite met de huidige politieke situatie aldaar.

Dus als veiligheid je lief is dan is het aan te bevelen om naar een meerlaagse strategie te gaan en te kiezen voor Europese oplossingen. Dit is althans mijn mening hierover.

woensdag 28 mei 2025 11:31

Acties:

0 Henk 'm!

Ben(V)

@FrankHe
Ben het met je eens en als je dan moet kiezen is een oplossing in eigen hand houden in mijn ogen altijd het beste.

Zonder hardware en software uit discutabele landen gaat weinig meer werken, maar continue afhankelijk zijn van bedrijven is voor mij een No-Go.
Dus geen cloud en services van derde partijen voor mij.

Een eigen VPN server van Synology gebruiken is dus prima maar afhankelijk zijn van Synology servers door middel van Quick-Connect doe ik dus niet.

[ Voor 18% gewijzigd door Ben(V) op 28-05-2025 11:33 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 28 mei 2025 11:42

Acties:

0 Henk 'm!

FrankHe

Voor mij is Quick-Connect inderdaad ook geen acceptabele oplossing. Nu wil ik best geloven dat ze bij Synology heel erg hun best doen om alles zeer veilig te houden maar feit blijft dat het een zeer groot aanvalsoppervlak heeft. Grote centrale systemen zijn een interessante prooi voor criminelen en statelijke actoren met kwade bedoelingen.

Het is maar net hoeveel veiligheid je wenst, zelf ben ik hierin de laatste tijd een stuk strikter aan het worden. Je wilt de externe toegang uiteraard gemakkelijk maken maar deze moet wel voldoende veilig zijn. Wat 'voldoende' is voor de één is wellicht 'onvoldoende' voor de ander.

dinsdag 29 juli 2025 16:35

Acties:

0 Henk 'm!

kuwerti

Topicstarter

sorry dat ik laat reageer (vakantie)

Nu sta ik toch te twijfelen: ik heb op mijn router (een USG-PRO-4) ook de mogelijkheid tot het configureren van een VPN-server.
Mijn gevoel zegt dat dat beter is dan om de VPN-server van de NAS te gebruiken.

klopt dat?

Afbeeldingslocatie: https://tweakers.net/i/DG4xfE1Kv25hlNPHjwKaylbHLRU=/800x/filters:strip_exif()/f/image/zRgBnqmroTpLFGeE5xUGuXXm.png?f=fotoalbum_large

dinsdag 29 juli 2025 16:50

Acties:

+1 Henk 'm!

NeFoRcE

Hallo? Bent u daar?

OpenVPN. Werkt als een trein. Heb ook foldersync in gebruik op m'n telefoon om foto's naar de NAS te syncen. Met Tasker ingesteld; niet op thuis WIFI? Dan VPN aan. En dan synct ie dus 24/7 gewoon m'n foto's naar Immich. Niks Google Photos nodig

Professioneel Heftruck Syndroom

dinsdag 29 juli 2025 16:52

Acties:

+1 Henk 'm!

Ben(V)

@kuwerti
Beveiliging technische gezien is er geen verschil, maar die USG heeft waarschijnlijk te weinig cpu power om een VPN Server lekker te laten draaien.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 1 augustus 2025 23:23

Acties:

0 Henk 'm!

FrankHe

In beginsel is meer lagen van beveiliging een goed uitgangspunt. Maar er is helemaal niets mis met bijvoorbeeld OpenVPN op een Synology NAS. Recentelijk ben ik zelf overgeschakeld naar WireGuard servers op MikroTik routers en dat bevalt prima. Er zijn meerdere wegen die naar Rome leiden.

donderdag 7 augustus 2025 07:33

Acties:

0 Henk 'm!

kuwerti

Topicstarter

Nogmaals bedankt allemaal voor de reacties. ik heb open-vpn nu gebruikt icm de vpn-server op de NAS. de USG laat ik ff met rust. Het werkt prima. webdav eraf gegooid :-)

Pagina: 1

Reageer