Das NAS dient mir als zentrales Synchronisationswerkzeug für den PIM-Bereich (Personal Information Manager). Neben Termine, Aufgaben und Kontakten auch Notizen und archivierte E-Mails. Auf diese Informationen benötige ich jederzeit Zugriff, weshalb das NAS auch außerhalb des Heimnetzes erreichbar sein muss.
Eine Erreichbarkeit aus dem Netz ist immer ein Risiko. Man sollte hier also wirklich abwägen ob man das wirklich benötigt oder ob einem die Synchronisation im Heimnetz ausreicht. Ein Zwischenschritt wäre die Erreichbarkeit nur via VPN-Verbindung. Um die Cloud-Funktionalität von Synology Drive wirklich ausreizen zu können ist allerdings ein Zugriff aus dem Netz notwendig.
Synology bietet mit der Funktion QuickConnect an und die Möglichkeit in der Systemsteuerung unter Externer Zugriff den Router und die Portfreigaben automatisch zu konfigurieren – ein passendes Router-Modell vorausgesetzt. Dies habe ich nicht getestet, da mir diese automatischen Routinen nicht gefallen. Stattdessen nutze ich weiterhin meinen DDNS-Dienst und die manuelle Konfiguration meines Routers (siehe auch: Externer Zugriff auf den Server).
Um die Verbindung wenigstens zu verschlüsseln bietet Synology die einfache Einrichtung eines Let’s Encrypt Zertifikats an. Wichtig ist, dass Port 80 freigegeben ist und DDNS richtig konfiguriert wurde.
Anschließend beantragt man in der Systemsteuerung unter Sicherheit im Reiter Zertifikat ein neues Zertifikat.
Hier kann man im zweiten Schritt auswählen, ob man ein Zertifikat importieren, ein selbst signiertes verwenden oder ein neues Zertifikat bei Let’s Encrypt beantragen möchte. Letzteres ist hier uneingeschränkt zu empfehlen. Anschließend ist der DDNS Domainname einzutragen und eine Kontakt E-Mail Adresse hinterlegt werden. Die Beantragung und Einrichtung dauert dann ein wenig, davon sollte man sich nicht beunruhigen lassen.
Ist alles erfolgreich absolviert sollte man – die Freigabe von Port 5001 vorausgesetzt – via DDNS Domain eine HTTPS-Verbindung zur NAS-Oberfläche aufbauen können. Dies benötigt man aber nur wenn man die Webdienste von Drive oder Calender benötigt. Für die Synchronisation wie WebDAV, CalDAV, CardDAV oder mittels Drive Client ist keine Freigabe des Ports für die Oberfläche notwendig.
Hinter der Schaltfläche Konfigurieren verbirgt sich die Möglichkeit unterschiedliche Zertifikate für die verschiedenen Synology-Dienste zu wählen.
Es kann weiterhin sinnvoll sein, jeden HTTP-Zugriff auf eine sichere HTTPS-Verbindung umzuleiten. Dies lässt sich in der Systemsteuerung im Bereich Netzwerk im Reiter DSM-Einstellungen konfigurieren. Bei internen Zugriff über die IP löst man damit allerdings eine Sicherheitswarnung im Browser aus.
Sind alle Schritt absolviert lassen sich die verschiedenen Synology-Dienste über eine sichere HTTPS-Verbindung aufrufen. Die Daten sind damit – stand jetzt – auf dem Transportweg sicher.
Bilder:
Einleitungs- und Beitragsbild von kreatikar via pixabay