Hallo zusammen,
Nachdem meine Eltern nun schone eine Weile eine NAS im Einsatz haben, überlege ich auch mir eine NAS anzuschaffen.

Da ich aktuell viel unterwegs bin, möchte ich neben dem Zugriff aus dem heimischen Netzwerk auch von unterwegs problemlos auf die Daten zugreifen können.

Meine Hardware: MacPro, MacBookPro, iPad, iPhone, FritzBox

Hat jemand in dieser Richtung schon Erfahrungen sammeln können?

Ist für den Zugriff über die Dateien App BTW den Finder eine feste IP Adresse nötig?
Oder bekommt man das auch über DynDNS hin?
Ich möchte nicht nurnüber die Weboberfläche zugreifen können.

Bisher habe ich mich (auch wegen des Systems meiner Eltern) nur etwas mit Synology auseinandergesetzt. Gibt es da Pros oder cons zu anderen Anbietern?

Vielleicht hat ja jemand sogar passende Blogs oder Tutorials zur Unterstützung parat?

Danke und noch einen schönen Sonntag

…da warte ich auch dankend auf gute Tipp‘s.

Mit freundlichen Grüßen
Hepschbua

Du brauchst keine feste IP.
Bei einer Synology kannst du zu Anfang als Quick and Dirty-Lösung QuickConnect aktivieren und so von extern zugreifen.
Wenn später eine der beiden folgenden Alternativen läuft, schaltest du das wieder ab.
1. VPN im NAS einrichten und von außerhalb auf das NAS zugreifen, wie im eigenen Netzwerk.
2. DynDNS einrichten mit einer Domain von Synology* und per https auf die Dienste des NAS zugreifen. Am besten im NAS ein Reverse Proxy einrichten. Die Adresse https://pi.matus.myds.me:443 wird dann beispielsweise intern auf http://192.168.1.2:8080 (intere Adresse eines pi-hole) umgeleitet. So muss nur der Port 443 im Router offen bleiben.
Ein sehr große Sammlung von Anleitungen in kleinen, schnell umsetzbaren Portionen findet sich bei mariushosting
* im Gegensatz zur eigenen Domain kann das Zertifikat auch für alle Subdomains eingerichtet werden

Allerdings würde ich mir vorher grundsätzlich überlegen, welche Vorteile Du dir von einem NAS versprichst. Vielleicht reicht auch eine Nextcloud?

marm
Die 3. Alternative die ich bevorzugen würde ist, das VPN direkt auf dem Router zu konfigurieren so der das kann. Die FRITZ!Boxen können es alle, die Telekomrouter wohl inzwischen auch (zumindest manche).
Schwierig wird es erst dann, wenn der eigene Provider kein vollwertiges IPv4 anbietet. Das werden demnächst die FRITZ!Boxen (zumindest mit Wireguard) dann aber auch endlich in den Griff kriegen

Das geht mit jeder Synology, du benötigst eine dynamische IP-Adresse, die du über die Synology konfigurieren kannst. Dann hast du Zugriff über die Dateien-App vom iPad, iPhone etc.

Schau mal bei iDomiX - der hat zig Tutorials bei YouTube zu den Synology-Geräten und -konfigurationen.

Ein NAS würde ich nie ins Netz lassen. Das sind so komplexe Systeme, dass etwa bei QNAP regelmäßig kritische Sicherheitsupdates installiert werden wollen. Externen Zugriff würde ich nur über VPN machen, wie MikeMuc das schon erwähnt hat.

Kannst du das bitte erklären? Mir ist die Begründung zu pauschal.

In einem Fall (MikeMuc-Alternative) greife ich bei mir per VPN über den Port 443 SSL-verschlüsselt auf den Router (Synology-Router) zu. Dann habe ich Zugriff auf das NAS.
Im anderen Fall habe ich eine https-Verbindung (also SSL-verschlüsselt) auf den Port 443 des Routers und dieser wird durchgeleitet auf den Port 443 des NAS und dort als interne IP interpretiert.
In beiden Fällen sind die Firewalls des Routers und des NAS so eingestellt, dass nur der besagte Port für externe IPs (inkl. Geoblocking) offen ist.

Wenn Du die Sicherheitslücken für so bedenklich hältst, dann solltest Du auch auf den VPN-Zugriff auf das NAS verzichten. Auch bei VPN bleibt ein Port offen.

Hier mal was zum Gruseln: Ein Website mit Auflistung von 2,3 Mio. Synology. Wenn man einen Eintrag anklickt, sind die offenen Ports zu sehen, welche Services dahinter liegen, manchmal auch die potenziellen Angriffsstellen.

Wenn man nur die richtigen Ports am Router freigibt und auf das NAS weiterleitet, sowie wenn der NAS OS-mäßig gepflegt ist (wie z.B. bei Synology), ist das kein wirkliches Problem. Das Gleiche kannst Du problemlos bei den allermeisten PCs und Macs herausfinden. Man kann es mit der Paranoia auch übertreiben.

Ich nutze meinen Synology-NAS seit etlichen Jahren via Quickconnect problemlos und ohne Stress. Außerdem habe ich ja auch noch eine Sicherung ohne Internet-Zugriff (USB-SSD).

@piik
Wenn, genau das ist ja das Problem. Viele Anwender sind total unbedarft und haben keinerlei Ahnung von Netzwerken und Sicherheit. Das zeigt sich schon im Text "eine NAS" . Daher auch die Empfehlung ein VPN möglichst über den eigenen Router zu realisieren und damit fährt man als Endanwender schon um einiges sicherer als die sonst angebotenen Lösungen. Ich halte persönlich nicht viel davon, das meine Geräte irgendwo in einer Datenbank beim Hersteller stehen. Das ist ein idealer Angriffsvector, wäre ja nicht der erste Anbieter von dem Kundendaten plötzlich im Netz auftauchen. Suchmaschinen wie Shodan tragen auch noch dazu bei das solche Geräte einfacher gefunden werden.

Nein. Man kann allenfalls abwägen, welche Gefahr sich mit dem angestrebten Nutzen vereinbaren lässt.

Auch wenn Du prinzipiell recht hast (wenn man ganz auf Nummer Sicher gehen will, muß man halt alles vom Netz abklemmen - aber dann funktioniert auch nichts mehr, ist also keine praktikable Lösung) muß ich Dir da widersprechen: Paranoia in Fragen der Netzwerksicherheit kann man eigentlich nie genug haben. Man darf sich nur nicht davon an allem hindern lassen.

Das Problem bei der Netzwerksicherheit ist, vereinfacht gesagt, daß der "Verteidiger" idealerweise immer alle möglichen Einfallstore abdichten muß, der "Angreifer" muß nur einmal eines finden. Diese Asymmetrie macht es etwas schwierig.

Ein ziemlich guter Ansatz, die Wahrscheinlichkeit einer ungepatchten Sicherheitslücke deutlich zu reduzieren, sind immer zwei (oder, bei entsprechend ausgeprägter Paranoia, mehr) Sicherheitsschichten hintereinander. Das ist ziemlich genau das, was man mit einem VPN und entsprechenden Firewall-Regeln bekommt - das darf dafür aber nicht auf dem eigentlich zu schützenden Gerät laufen.

Im Beispiel: Das NAS hört auf Port 443 (und nur auf den), beschränkt Zugriffe aber auf interne und VPN-Adressen und ist außerdem nicht direkt aus dem Internet sichtbar. Der VPN-Server (kann auch der Router sein, aber besser ist eine separate Instanz, z.B. ein Raspberry Pi) wiederum hört Internet-seitig ausschließlich auf VPN-Verbindungen.

Um jetzt das NAS aus dem Internet anzugreifen, braucht es schon zwei Sicherheitslücken: Eine in der VPN-Software, eine auf dem NAS. Das kann man durch regelmäßiges Patchen, sichere Authentifizierung, Verschlüsselung etc. schon einigermaßen beherrschen.

"Ist mir noch nie passiert" ist kein Argument: Den meisten Firmen ist es auch noch nicht passiert. Wenn es aber passiert, kann der Schaden so groß sein, daß sie sich nicht davon erholen. Und bei Privatleuten kommt es auch meist nicht so gut an, wenn alle Familienbilder der letzten 20 Jahre verschlüsselt und verloren sind ...

@Peter Eckel
Wer ein NAS ohne Backup betreibt dem ist sowieso nicht mehr zu helfen. Eine vernünftige Backup Strategie schützt vor Datenverlust bei Ransomware

Das kommt noch dazu, klar. Wer irgendetwas ohne (offline!) Backup wichtiger Daten betreibt, hat kein Mitleid verdient.

Aber Hand auf's Herz: Wie groß schätzt Du den Prozentsatz der Leute ein, die das wirklich machen? Und dann noch das Backup so lagern, daß es auch im Fall eines größeren Eigentumsschadens noch verfügbar ist?

Und in jedem Fall ist das Neuaufsetzen der Systeme und das Einspielen eines Backups mit Zeit- und Produktivitätsverlust und einer Menge Ärger und Arbeit verbunden. Gut, wenn es geht, besser, wenn man es nicht braucht. Weswegen das Absichern der offensichtlichen Zugangswege auch mit Backup nicht vernachlässigt werden darf.

Und nein, die "Cloud" ist kein Offline-Backup ... nur falls irgendjemand jetzt damit kommt.