NAS im LAN Binden Sie den Speicher intelligent ins Heimnetz ein
Wir zeigen verschiedene Möglichkeiten, Tricks und Tools, mit denen Sie von verschiedenen Clients auf Ihre NAS im Heimnetz zugreifen oder als BackupSpeicher nutzen können.
Leistungsfähige 2-Bay-NAS-Geräte mit der Option zur Datenspiegelung (RAID 1) sind als Leergehäuse bereits für deutlich unter 200 Euro zu haben. Viele dieser Modelle glänzen mit einer erstaunlich großen Funktionalität, die früher meist nur in deutlich teureren Business-Modellen enthalten waren. Das ist zum Teil auch auf die komfortablen Erweiterungsmöglichkeiten der NAS-Geräte durch sogenannte NASApps zurückzuführen. NAS-Geräte ohne diese praktische Erweiterungsmöglichkeit werden zu Recht immer seltener. Besteht die Möglichkeit, auch vom Internet aus auf die NAS und deren Inhalte zuzugreifen, kann der heimische Datenspeicher als echte Alternative zur Google-, Microsoft- oder Apple-Cloud genutzt werden. Denn wer sich allein auf die „kostenlosen“Cloud-Dienste verlässt, die in ihren AGBs keinerlei Garantien auf mögliche Datenverluste geben, lebt gefährlich. Sie müssen immer damit rechnen, dass private Fotos und andere wichtige Dokumente durch Updates, Um- und Einstellungen von Diensten, Hacks oder einen „dummen Fehler“plötzlich aus der Cloud verschwinden. Wer wirklich sichergehen möchte, sollte zusätzlich auf den eigenen Netzwerkspeicher im Heimnetz setzen. Der folgende Artikel gibt Ihnen einen Überblick über die mannigfaltigen Möglichkeiten, Ihre NAS im Heimnetz einzusetzen.
NAS mit wechselnder IP-Adresse
Der Zugriff auf die Weboberfläche der NAS wird grundsätzlich über den Browser durch Eingabe der NAS-IP-Adresse realisiert. Ihre IP-Adresse erhält die NAS in der Regel beim erstmaligen Hochfahren im LAN vom DHCP-Server des Routers. Alternativ kann beim Setup der NAS auch eine feste IP-Adresse vergeben werden, wobei auf die korrekten Netzwerkeinstellungen zu achten ist. Die feste IP-Adresse sollte zudem außerhalb des vom DHCP-Server im Router verwendeten Adressraumes liegen. Eine per DHCP vergebene NAS-IP sollte man hingegen im Router fest für die NAS reservieren. Nur so ist sichergestellt, dass die NAS ihre ursprüngliche IP-Adresse auch behält und nicht an ein anderes Heimnetzgerät verliert. Dies kann passieren, wenn Ihre NAS längere Zeit nicht mit dem Heimnetz verbunden oder ausgeschaltet war (Ruhezustand). Hier kommt die DHCP-Lease-Zeit Ihres Routers ins Spiel. Sie bestimmt, wie lange der Router eine einmal per DHCP zugewiesene IP-Adresse einem bestimmten Gerät beziehungsweise dessen MACAdresse zuordnet oder leased. Ist dieses Gerät länger als die Lease-Zeit offline, so gibt der Router die IP-Adresse für andere Geräte frei. Eine feste DHCP-Adress-Reservierung im Router sorgt hingegen dafür, dass ein Gerät auch nach Ablauf der Lease-Zeit weiterhin dieselbe IP-Adresse zugewiesen bekommt. Im Webmenü einer Fritzbox lässt sich dies
unter Heimnetz/Netzwerk/Netzwerkverbindungen in den Einstellungen der gelisteten NAS tätigen, indem man die Option Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen aktiviert. Diese Einstellung ist besonders wichtig, wenn bestimmte Dienste auf Ihrer NAS von anderen Geräten aus genutzt werden, zum Beispiel rsync-Backups, oder wenn Portweiterleitung für den Zugriff aus dem Internet eingerichtet werden. Die voreingestellte Lease-Zeit von zehn Tagen lässt sich in einer Fritzbox übrigens unter Heimnetz/Netzwerk/Netzwerkeinstellungen ändern. Scrollen Sie dazu etwas weiter nach unten zur Schaltfläche IPv4-Adressen, hinter der sich unter anderem Einstellungen zum DHCP-Server und der Gültigkeit der vergebenen IP-Adressen (Lease-Zeit) finden.
Nach der NAS scannen
Hat man die IP-Adresse seiner NAS einmal vergessen oder noch keine DHCP-Reservierung vorgenommen, hilft die Client-Liste im Webmenü des Routers weiter. Wem der Aufruf des Routermenüs zu mühsam ist, findet auf der Heft-DVD entsprechende Scan-Tools, beispielsweise Softperfects Network Scanner 6.1.7. oder den Angry IP-Scanner, die alle im LAN befindlichen Geräte aufspüren und samt IP-Adresse auflisten. Darüber hinaus bieten beinahe alle NAS-Hersteller auch spezielle FindeTools an, mit denen man schnell ins Webmenü der entsprechenden NAS gelangt und oft auch Zugriff auf bereits angelegte Netzwerkfreigaben erhält. Manche RouterHersteller, zum Beispiel Synology, bieten einen Web-basierten Suchdienst an. Mit der Webadresse find.synology.com lässt sich eine Synology-NAS ebenfalls schnell ermitteln,
sofern Browser-Client und NAS Zugang zum Internet haben. Oder Sie verwenden eine entsprechende NAS-Zugriffs-App des jeweiligen Herstellers. Den Zugriff auf die Inhalte Ihrer NAS steuern Sie über die Benutzerverwaltung und die Ordnereinstellungen im Webmenü der NAS. Ganz gleich, von welchem Client Sie per SMB auf Ihre NAS zugreifen: Ohne die korrekten Benutzerangaben erhalten Sie keinen Zugriff. Tipp: Legen Sie sich ein NAS-Benutzerkonto mit ihren Windows-Zugangsdaten an, und erteilen Sie diesem Konto im Webmenü der NAS alle benötigten Zugriffsrechte. So erhalten Sie von ihrem Windows-Rechner aus automatisch Zugriff auf die zugewiesenen Laufwerke, ohne Zugangsdaten eintragen zu müssen. Als zusätzliche Sicherheitvorkehrung empfiehlt es sich außerdem, dass Sie auf Ihrer NAS in den Einstellungen zu den Dateidiensten den Zugriff über das veraltete, mit Sicherheitslücken gespickte SMB1-Protokoll deaktivieren. Erlauben Sie nur den Zugriff über SMB2 und SMB3.
HTTP oder HTTPS?
Wenn Sie die Weboberfläche Ihrer NAS über das HTTP-Protokoll aufrufen, werden Ihre NAS-Zugangsdaten unverschlüsselt im Heimnetz übertragen. Das ist zunächst
kein Problem, könnte aber durch eine Kompromittierung Ihres Heimnetzes durch Eindringlinge oder gehackte Geräte zu einem Problem werden. Wer hier wirklich sichergehen möchte, sollte in seiner NAS das HTTPS-Protokoll für den Webzugriff aktivieren. Trotz der im Browser angezeigten Zertifikatswarnung (ungültiges SSLZertifikat in der NAS) wird die Übertragung zwischen Ihrem Browser und der NAS nun verschlüsselt und kann nicht ohne Weiteres mitgelesen werden. Wen diese Zertifikatswarnung stört, kann sich für sein NAS-Gerät auch ein gültiges SSL-Zertifikat von Let‘s encrypt besorgen. Dies ist unserer Ansicht nach aber nur dann sinnvoll, wenn Sie auf Ihrer NAS eine eigene Website mit Domain betreiben, für die Sie sowieso eine Weiterleitung im Router für die Ports 80 und 443 auf Ihren NAS-Webserver eingerichtet haben. Denn über diese beiden Ports prüft Let‘s encrypt regelmäßig die Erreichbarkeit der mit dem Zertifikat verknüpften Domain. Wer die beiden meistfrequentierten Ports des Internets jedoch allein für die Domain-Prüfung von Let‘s encrypt im Router ständig offenhält, schafft sich damit ein ungleich größeres Sicherheitsloch, das auch durch das gültige SSL-Zertifikat nicht gestopft wird.
VPN im Heimnetz
Alternativ lässt sich der Zugang zur NAS im Heimnetz auch über einen lokalen VPNTunnel absichern. Hierzu bieten viele NASModelle einen VPN-Server, der manchmal auch als NAS-App nachgerüstet werden kann. Im Gegensatz zum Fernzugriff über VPN sind bei der lokalen VPN-Verbindung keine zusätzlichen Einstellungen im Router (Portweiterleitungen etc.) erforderlich, und es spielt auch keine Rolle, wie Ihr Heimnetz mit dem Internet verbunden ist. Damit der VPN-Zugriff auch von verschiedenen Clients (Windows, Smartphone ...) aus möglichst reibungslos funktioniert, wählen Sie im NAS die VPN-Server-Variante L2TP/IPSec und MS-CHAP v2 als Authentifizierungsprotokoll. Außerdem vergeben Sie in den Einstellungen des VPN-Servers unter Authentifizierung einen (ausreichend langen) Schlüssel. Wichtig: Der Netzwerkbereich des VPN-Netzwerks (zum Beispiel 10.2.0.0/24 bei Synology) muss sich von dem Netzwerkbereich Ihres Heimnetzes unterscheiden. Nach der Aktivierung spannt der VPN-Server der NAS ein virtuelles Netzwerk über das bestehende Heimnetz-LAN auf, zu dem nur Geräte Zutritt haben, die am VPN-Server angemeldet sind. Für die Einrichtung einer VPN-Verbindung von einem Heimnetz-Client, beispielsweise in Windows 10 unter Netzwerk und Internet, geben Sie unter Servername die „normale“IP-Adresse Ihrer NAS im Heimnetz an, beispielsweise 192.168.178.5 oder ähnliches. Als VPN-Typ wählen Sie L2TP/IPSec mit vorinstalliertem Schlüssel, tragen den zuvor im NAS-Server vergebenenen Schlüssel ein und wählen die Benutzerkontenbezogene Anmeldung. Diese besagt, dass in der NAS ein entsprechendes Benutzerkonto mit VPN-Zugriffsberechtigung hinterlegt sein muss. Sobald ein Client per VPN mit der NAS verbunden ist, erreicht er diese nun auch unter ihrer „VPN-IP“(10.2.0.0 bei Synology). Der Clou: Alle Verbindungen zur NAS über die VPN-IP – egal ob http(s), smb oder ftp – laufen im verschlüsselten VPN-Tunnel und sind für andere Nicht-VPN-Clients im Heimnetz nicht sichtbar (siehe auch die Übersicht Zugriff mit und ohneVPN auf die NAS im LAN auf der vorherigen Seite oben). Dafür werden SMB-Transfers durch die VPN-Verschlüsselung oft spürbar verlangsamt. Für die Übertragung größerer Datenmengen auf die NAS oder von der NAS zum Client gehen die Datenraten im VPNTunnel deutlich nach unten, insbesondere bei NAS-Geräten mit einem etwas schwächeren Prozessor. Und Vorsicht: Die Verbindung zwischen VPN-Client und NAS über die normale NAS-IP wird nicht getunnelt.