Webdav en https ssl

[AngelusHD]

Goede morgen forumleden,

Beveiliging speelt steeds meer een rol vandaar dat ik me erg hier op in verdiep. Omdat ik toch graag mijn NAS van buitenaf wil bereiken heb ik het volgende gedaan.

Firewall synology,ddos,20+Variant wachtwoorden,diverse users met restricties, kortom het hele veiligheids tutorial pakket van de synology website.

Https,DDNS,Lets encrypt is allemaal al geregeld en werkt.

Het benaderen van buiten af van de DMS gaat via Https.

[Media content benader ik nu via infuse op mijn ios device via webDAV https en dit werkt allemaal vlekkenloos.]

Hier heb ik 2 vragen over:
Vraag 1, is de https verbinding van het opvragen van de content ook versleuteld?, (dus de onderlinge verbinding na de autorisatie)
Vraag 2, kan ik de client device niet voorzien van de (https certificaat) en dat alleen apparaten die deze hebben toegang kunnen krijgen tot de webdav https?

Om vraag 2 een beter antwoord te krijgen, hierbij de volgende informatie: mobile iOS en macOS thuis en buiten huis.

[Buiten dit topic maar zeker niet onbelangerijk.]

OpenVPN speelt zeker in mijn gedachte mee, dit omdat het toch vaak als veiliger wordt gezien.

Vraag 1, Is er een goede tutorial om OpenVPN in de docker te draaien

Vraag 2, kan je dan veiliger je nas bereiken met macOS via finder?

Vraag 3, is je NAS dan met Infuse via SMB benaderbaar of gewoon webdav https via een OpenVPN verbinding benaderbaar.

Alvast bedankt.

 

[Briolet]

Op 2: Dat kan niet. WebDav ondersteunt niet het inloggen met certificaat i.p.v. een wachtwoord.

[aliazzz]

HTTPS altijd toepassen, juist lokaal in je eigen LAN (intern).
Zowiezo geld de voorkeur voor TLS boven SSL. SSL moet als niet secure worden gezien (ssl is kwetsbaar).

Het benaderen van buiten af van de DMS gaat via Https => Voor externe benadering is een VPN vele malen geschikter, maar dat heb je inmiddels al aangevoeld anders zou je deze vragen niet stellen.

Vraag: Waarom zou je openvpn in docker willen draaien? Dat is prima mogelijk, maar wat is je achterliggende gedachte om dit te vragen? Het VPN server package van Synology voldoet prima en er is een handige tuturial voor in dit forum.

[Ben(V)]

Hm...  wat is de logica om https binnen je lan te willen gebruiken?
Wat voegt dat toe?

[aliazzz]

Niet omdat het moet, maar omdat het kan. Het kost je niets en levert extra laagje security.

[Ben(V)]

Het voegt encrypt/decrypt overhead toe en echt geen extra security.

[AngelusHD]

Antwoord: voornamelijk zodat deze ongehinderd zal blijven door draaien indien er wat wijzigt met bijvoorbeeld een software update van de DSM. Ook wil ik mij systeem zo kaal en onaangetast mogelijk laten.

Ik zal de tutorial van de synology openvpn ff bekijken, hoewel dit niet direct mijn voorkeur heeft is er inderdaad niets fout aan.

Verder blijft vraag 1 en 3 van de openvpn nog van kracht, hoewel ik daar zelf ook wel achterkom tijdens het testen van de OpenVPN. Iemand nog een mooie link betreft openvpn in docker?

[aliazzz]

Tsja, ik begrijp je redenering mbt updaten van DSM of packages. Hou er dan ook rekening mee dat je het probleem niet "oplost" maar verplaatst binnen het Docker package. Het synology docker package is zeker niet de standaard distributie van Docker. Tevens dien je zelf de containers up-to-date te houden. Voordeel aan deze oplossing is natuurlijk wel een zekere mate van eigen vrijheid. Alhoewel je natuurlijk niet verplicht bent tot updaten is het altijd aan te raden.

Maar wellicht kan bijvoorbeeld een Virtual DSM ook iets voor je zijn? Tevens is er nog een optie om op andere wijze te virtualiseren, het VMM package. Dit kunnen wellicht interessante alternatieven zijn, met uiteraard specifieke voor en nadelen en  eisen aan de NAS hardware.

Veel succes met je keuze

[Ben(V)]

Heb het nut van docker nooit zo goed begrepen.
Het zou bedoelt zijn voor het gemak, je neemt een docker, zet het op je NAs en alles werkt.

Oeps dat is ongeveer hetzelfde als een package.

Het grote nadeel hiervan is dat je nu DSM moet onderhouden, docker zelf moet onderhouden, de docker moet onderhouden en het package dat binnen die docker draait.
Kans op problemen wordt alleen maar groter.

De dogreden dat je dan geen last van updates heb is natuurlijk onzin, voor elk package kun je zelf bepalen of je wel of niet een update draait.

[AngelusHD]

Ok, ik ben het daar niet mee eens. Er waren diverse apps waaronder nzbget wel op DSM 5 werkte maar niet meer op DSM 6.

Er waren wel omzeil methodes doormiddel van code/scripts aan te passen, maar wachten op een update duurde mij nog veelste lang. Is dit inmiddels opgelost?

Kortom, docker is zeker een uitkomst in dit soort gevallen en eigenlijk bevalt dit mij prima, geen kop zorgen, maar soms ff update.

Openvpn is van synology zelf en zal daardoor sneller worden voorzien van updates ook met een nieuw DSM. Ik snap het, hier is geen goed of fout. Beide hebben zijn voor en nadelen. Maar 3th party apps op de nas ben ik iets huiveriger voor.

[Pippin]

Openvpn is van synology zelf en zal daardoor sneller worden voorzien van updates ook met een nieuw DSM

Je moest eens weten...