SMB über https?

Kuzorra

Kuzorra

Urgestein
Thread Starter
Mitglied seit
03.01.2009
Beiträge
4.815
Ort
ein unbeugsames Dorf im Rheinland
Tach,
eine Frage vom interessierten Netzwerk-Amateur:
Wie kann ich eine Samba-Freigabe übers Internet möglichst gut absichern?

Hintergrund:
Ich möchte mehr oder weniger regelmäßig Fotos und Videos vom frisch geschlüpften Nachwuchs für meine Eltern/Schwiegereltern freigeben. Die nutzen Windows 7 bzw. 10 und haben wenig Ahnung ;-)
Mein "hochprofessionelles" Heimnetz besteht aus zwei Raspberry Pis, ein ater Pi nur für OpenVPN und ein Pi² als Medienablage (via ssh, miniDLNA, samba) für zu Hause und gelegentlich unterwegs. Ich selbst nutze OpenVPN unter Android bzw. Xubuntu, um mich zertifikatsbasiert von extern nach Hause zu verbinden (via dyn. DNS und Portforwarding an der Fritzbox).
Eine VPN-Verbindung zu starten um Fotos anzugucken übersteigt hier aber den akzeptablen Aufwand bei der genannten Zielgruppe. Eine einfache smb-Freigabe könnte ich denen jeweils einmal mit gespeicherten Nutzer/Passwort-Zugang im Explorer als Netzlaufwerk "X:\" einrichten, dann brauchen die sich um nix zu kümmern und es ist eine Lösung, die sie handhaben können.

Verständlicherweise lese ich überall im Netz "smb auf keinen Fall ins Netz hängen außer über VPN" und "unverschlüsselter Login übers Netz"..... aber was gäbe es denn an Möglichkeiten, diese an sich doofe Idee so gut wie möglich umzusetzen?
Die Idee wäre einen 16 oder 32 GB Stick an den Pi² zu hängen, darauf nur die eine Freigabe für einen einzigen exklusiven, lesenden Samba-Nutzer einzurichten, der sonst nix kann und nirgends Zugriff hat. Das grenzt den möglichen Schaden doch schon mal ziemlich ein, oder was sollte da passieren können?
(Ich bzw. mein User am Raspi kann den Stick ja dann immer noch über ssh im Filemanager befüllen.)
Ist der Login über meine DynDNS-Seite mit erzwungenem https wirklich unverschlüsselt?
Wäre webDAV eine Alternative? Was müsste ich dafür einrichten/beachten?

Vielen Dank für jegliche Hinweise!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich denke einfacher waere es ne Owncloud Instanz bei Dir aufzusetzen.
Das ist relativ Idiotensicher und Safe.

Grueße
 
Ich würde da auch eher über andere Möglichkeiten nachdenken. Eine Einbindung über Samba oder WebDAV ist nicht benutzerfreundlich. Es entstehen auch gegebenenfalls ganz schöne Datenmengen.

Nach etwas Recherche bin ich damals zu dem Schluss gekommen, mir eine kleine Synology NAS hinzustellen. Dank PhotoStation kann jeder User exakt auf die für ihn freigegebenen Alben komfortabel und gegebenenfalls Bandbreite schonend zugreifen. Das befriedigt zwar nicht gerade Bastler Triebe, macht aber die Nutzer glücklicher.
 
Hm, schonmal danke für die Anregungen.

Eigentlich wollte ich nix extra neu kaufen, sondern meinen bestehenden Kram weiter nutzen.
Owncloud hatte ich mir mal für den Pi angesehen, war aber nicht so richtig meins. Gibt's das denn als Windows-Client? Oder wäre das dann eher eine Web-Freigabe mittels Link?
 
Ideen: raspi vor ort mit samba, und er sync über vpn mit dem pc bei dir daheim -> jede Datei wird nur 1x übertragen und die Zugriffszeiten sollte noch erträglich sein (rapsi lan hängt ja am usb....).
alternativ daheim nen miniwebserver, evtl mit htaccess davor und denen ne verknüpfung auf den desktop (kannst ja direkt auf die seite nur nicht nur den Browser machen), oder halt nen Lesezeichen im Browser (wenn das zumutbar ist xD).

ansonsten ist halt die Frage wieviel Upload deine Kiste daheim hat und wie groß die Fotos sind... bei der Webserver Sache sparst halt mit thumbnails gut traffic bei der Albenübersicht wenn es nicht nur 2 megapixel fotos sind.

@nas
gibt auch nen klon davon, sogar mit sammelpost hier im forum x pentology oder so ähnlich, ist afaik die software von dem nas system wo man nativ auf ner kiste installieren kann oder als vm.
 
Zuletzt bearbeitet:
Fuer Owncloud brauchst du nen Server.. Nen Client bringt dir da erstmal nix. Der Verbindet lediglich mit dem Server und automatisiert die Datensynchronisation...
 
@Iceman: Das klingt nicht schlecht, einen Pi hab ich sogar noch im Schrank und einen weiteren kriegt man ja für kleines Geld.
Der Traffic wäre bei 50 MBit Leitungen vermutlich nicht das Problem, auch bei DSLR-Bildern. Aber htacces schau ich mir mal an.

Die NAS-Software such ich später mal. Hatte auch schonmal openmediavault probiert, aber ich finde die Dateiverwaltung etwas übertrieben und die Einrichtung gefällt mir bei meinem jetzigen Setup besser. Ich kann auf dem headless Pi² per sftp alles im Filemanager handlen (oder halt ssh/Konsole), die Netzwerkfreigaben konfigurieren sich ja spielend und das läuft auch problemlos parallel mit miniDLNA auf den gleichen Ordner (für Streams zum TV oder via VLC auf ein altes Notebook). Das fand ich bei omv irgendwie doof, und als ich mir (wiederholt) die Configs manuell zerschossen habe, weil die Berechtigungen nicht so klappten wie sie sollten, war das Thema erledigt.


@p4n0:
Dat ist mir schon klar :d
Die Frage bezog sich eher darauf, wie die "Empfängerseite" auf meinen Owncloud-Server zugreifen kann/soll/muss. Gibt es einen (syncenden) Windows-Client dafür, oder ist es immer direkt via Link im Browser?!?
 
@ Kuzorra: Es geht sowohl per Browser ( Das ist praktisch mit Sofortansichten / Diashows etc.. ) oder halt ueber den Windows/Mac/Android/IOs Client direkt aufs Device zu syncen.

Grueße
 
Hm....wenn ich etwas mehr Zeit finde werde ich wohl Owncloud nochmal eine Chance geben, scheint ja viele Befürworter zu geben. Kann ich das parallel über den gleich Pi² laufen lassen, der bisher nur sporadisch für ssh, smb und DLNA genutzt wird, oder zwingt den das in die Knie? ....oder noch schlimmer: vertragen sich die Gruppenzugehörigkeiten und Rechte, bzw. kann ich das Owncloud-System weiterhin händisch im Filemanager befüllen, oder kackt dann die Owncloud-Datenbank ab?

....andere Frage, wieder mehr meinem Ursprungsgedanken zugewendet:
Kann ich die Samba-Freigabe irgendwie in eine "Ahnungsloser-Nutzer"-kompatible Ein-Klick-Lösung packen?
Also dass bei Klick im Explorer auf das Netzlaufwerk X:\ automatisch zu erst der VPN-Tunnel gestartet wird?!?
Oder halt eine batch-Datei auf dem Desktop verknüpft ablegen, die genau das tut, erst VPN, dann Netzlaufwerk einbinden?

Dann würde ich nur einmal alles mit OpenVPN und neuen Nutzerzertifikaten einrichten müssen und könnte danach abgesichert, wartungs- und sorgenfrei mit meiner bisherigen Lösung weiterfrickeln......
 
für ne kleine own cloud langt der pi schon. haarig wird's nur, wenn du Ordner über das Webinterface runterladen willst. Da http keine Ordnerstrukturen versteht, wird der Ordner vorher serverseitig gezippt und dann die .zip als Download bereitgestellt. Das könnte die kleine Himbeere schon ganz schön beschäftigen.

Wie das mit den Clients aussieht, weiß ich aktuell nicht.

Wenn du die Daten Manuell hinzufügst, musst du danach die Datenbank updaten:

Code: 
sudo -u www-data php <pfad_zu_owncloud>/occ files:scan

Alternative wäre vielleicht auch vsftp
 
Was spricht gegen (s)ftp? Kannst du doch auch in den Windows Explorer einbinden.
 
sftp ist ja im Prinzip ssh, wenn ich das richtig im Kopf habe.
Zu ftp gehört ftps.

Für sftp müsste ich die (Schwieger-)Eltern via VPN anbinden, einen ftp Server habe ich derzeit nicht am Laufen, da ich “damals“ bei der Einrichtung der Pis gelesen hatte, dass ftp nicht so der Bringer ist. sftp unter Linux und Android funktioniert super!
 
How to Integrate a Remote SFTP Directory into Windows Explorer
ssh müsste doch eh laufen, dann musst du ja nur Port 22, oder einen anderen beliebigen, zusätzlich freigeben.
Mit Zertifikat Authentifizierung müsste das doch auch relativ sicher funktionieren.
Du kannst die Bilder ja auch komprimiert für deine Family freigeben, um die Bandbreite zu schonen. Wenn die irgendwelche Fotos ausdrucken wollen, hast du sie in voller Auflösung ja vorrätig.
 
Ich würde einfach eine entsprechende Sync Software (Syncthing, Resilo Sync,...) verwenden. Speziell mit Resilo Sync ist der Datenaustausch vergleichsweise unkompliziert machbar.
 
Tunnels usw ist doch völliger Overkill. Mit einer Cloudlösung/Sync Software landen die Bilder magisch bei den Eltern, ohne dass sie irgendwas tun müssen.
Google Drive, Dropbox usw oder nextCloud, ownCloud usw oder btsync, Syncthing usw
 
Vielen Dank für das ganze Feedback!

Swish klingt vom Prinzip ganz gut - was mir missfällt ist der Status von 2013, was hinsichtlich bugfixing und Sicherheit vermutlich suboptimal ist. (Ja ich weiß, pingelig und overkill)
Was aber nicht ganz passt, ist dass der per ssh zu erreichende Pi-Server absichtlich gar nicht (öffentlich) im Netz zu finden ist, also kann er auch nicht über Port 22 (bzw. den geänderten ssh-Port) als Netzlaufwerk eingebunden werden. Die zertifikatsbasierte Anmeldung am OpenVPN-Pi bietet swish ja nicht an, sondern nur am ssh-server.

Nach Lektüre zu OpenVPN unter Windows, z.B. dieses Tutorial, glaube ich aber, dass ich doch einfach OpenVPN nutzen werde. Wenn ich das richtig verstehe, ist in der Standard-Einstellung und bei Ausführung mit Benutzerrechten einfach der VPN-Zugang zusätzlich zum normalen Netzzugang möglich. Kann mir das evtl. jemand bestätigen!?!

Das würde mir ja gut in den Kram passen, denn so können die (Schwieger-)Eltern immer auf das Samba-Laufwerk via Explorer zugreifen, ohne dass sie sich um was kümmern müssen, und außerdem läuft ihr Internet-Traffic wie bisher über Ihre eigene Leitung, und wird nicht per VPN zu uns durchgereicht - das hätte ich nämlich als Dauerzustand doof gefunden.
 
Doch, sie müssen sich darum kümmern, dass das VPN aufgebaut wird. Ist zwar nicht kompliziert, aber z.B. beim nextcloud Client müssten sie einfach gar nix machen.
 
Geht also nicht per Autostart?!?

Schau ich mir heute abend mal an, hab schon Zert/Key für meine Eltern erstellt....
 
Das ist doch alles zuviel Geschieß.. Und sobald etwas nicht funktioniert ist der Unmut groß und du darfst hin und herspringen und permanent fixen.

So ne einfache Cloud-Loesung mit lokalem Sync Client is the way to go fuer 'Dau-User'... Da braucht man sich einach gar nicht drum kuemmern wenns einmal laeuft.
Das ist perfekt fuer Eltern/Großeltern und co.

Nur meine Meinung... :d
 
Naja, ich verstehe Deinen Punkt.
Ich glaube in unserem Fall ist "Zugriff bei Bedarf" trotzdem ganz gut: Speicherplatz/Bandbreite ist bei meinen Eltern nicht das Problem, aber das AMD-Netbook meiner Schwiegereltern, die mit low-end DSL angebunden sind, würde ganz schön in die Knie gehen bzw. für eine Weile jegliche Surfaktivitäten einstellen, wenn da "mal eben" 1-2 GB neue Bilder anstehen.

Wenn der OpenVPN per Autostart mitläuft, dann ist ein Netzlaufwerk doch kein großes Gedöns und man spart sich das ständige syncen. Der Server bei mir läuft eh 24/7 und den Zugrifff via OpenVPN auf Linux und Android finde ich bisher äußerst zufriedenstellend :-)
 
Anmelden, um zu antworten.

Ähnliche Themen

I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
1K
Supaman
Supaman
Burnz84
[User-Review] QNAP 432X 4G mit 8TB Toschiba N300 HDDs
Antworten
2
Aufrufe
524
VorauseilenderGehorsam
VorauseilenderGehorsam
G
[User-Review] Grandstream Access Points - bye bye Mikrotik
Antworten
25
Aufrufe
2K
Speeddeamon
Speeddeamon
B
[Sammelthread] Sinnvolle und sinnlose Einsatzbeispiele für einen (Euren) Homeserver
2
Antworten
51
Aufrufe
8K
AliManali
AliManali
T
[Kaufberatung] Benötige Feedback zu meinem NAS Konzept (Budget 1,5-3k €)
Antworten
1
Aufrufe
1K
Frecyboy
F
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh