Remote-Zugriff auf den heimischen oder geschäftlichen NAS ist ein häufiges Bedürfnis — aber die klassischen Wege sind entweder unsicher (Port-Forwarding) oder komplex (VPN). TrueNAS Connect bietet einen dritten Weg: einen Cloud-basierten Relay-Dienst, der eine verschlüsselte Verbindung zwischen Client und NAS herstellt, ohne dass Ports geöffnet oder VPN-Tunnel konfiguriert werden müssen.
Das Problem mit klassischen Lösungen
Port-Forwarding: Einfach, aber riskant
Port-Forwarding leitet externe Anfragen direkt an den NAS weiter. Das Ergebnis: Der NAS ist aus dem gesamten Internet erreichbar.
Internet → Router (Port 443) → TrueNAS (Web-GUI)
Internet → Router (Port 445) → TrueNAS (SMB) ← GEFÄHRLICH!Risiken:
- Brute-Force-Angriffe auf Login-Seiten
- Ausnutzung von Zero-Day-Schwachstellen
- SMB-Protokoll wurde nie für Internet-Zugriff konzipiert
- Bot-Scanner finden offene Ports innerhalb von Minuten
VPN: Sicher, aber aufwendig
Ein VPN-Tunnel (WireGuard, OpenVPN) bietet sichere Verschlüsselung, erfordert aber:
- VPN-Server aufsetzen und warten (auf Router oder separatem Gerät)
- Port-Forwarding für den VPN-Port selbst
- Zertifikats- oder Key-Management
- Client-Konfiguration auf jedem Endgerät
- NAT-Traversal-Probleme bei CGNAT oder doppeltem NAT
TrueNAS Connect: So funktioniert es
TrueNAS Connect nutzt einen Cloud-basierten Relay-Server von iXsystems als Vermittler. Der NAS baut eine ausgehende Verbindung zum Relay auf — es müssen keine eingehenden Ports geöffnet werden.
Architektur
┌──────────┐ ┌─────────────────┐ ┌──────────┐
│ Client │◄──────►│ TrueNAS Connect │◄──────►│ TrueNAS │
│ (App) │ TLS │ Cloud Relay │ TLS │ NAS │
└──────────┘ └─────────────────┘ └──────────┘
▲
Ausgehende Verbindung
(kein Port-Forwarding)Ablauf:
- TrueNAS baut eine ausgehende TLS-Verbindung zum Connect-Relay auf
- Der Client authentifiziert sich über die TrueNAS Connect App oder den Browser
- Der Relay-Server vermittelt die Verbindung zwischen Client und NAS
- Die Datenübertragung erfolgt verschlüsselt (End-to-End)
Kein eingehender Port nötig
Da der NAS die Verbindung zum Relay ausgehend aufbaut, funktioniert TrueNAS Connect auch hinter:
- CGNAT (Carrier-Grade NAT)
- Doppeltem NAT
- Restriktiven Firewalls
- Hotel- und Firmennetzwerken
Einrichtung
Voraussetzungen
- TrueNAS SCALE 24.04 (Dragonfish) oder neuer
- Ein TrueNAS Connect Account (kostenlos bei iXsystems)
- Internetzugang für den NAS (ausgehend, HTTPS)
Schritt 1: TrueNAS Connect Account erstellen
- connect.truenas.com aufrufen
- Account registrieren (E-Mail + Passwort)
- E-Mail-Adresse bestätigen
Schritt 2: NAS mit Connect verknüpfen
In der TrueNAS Web-GUI:
System > TrueNAS Connect:
├── Status: Disconnected
├── "Link TrueNAS" klicken
├── Connect-Anmeldedaten eingeben
└── Berechtigungen konfigurierenNach der Verknüpfung zeigt der Status Connected an. Der NAS hält nun eine permanente Verbindung zum Relay-Server.
Schritt 3: Zugriffsdienste konfigurieren
TrueNAS Connect kann verschiedene Dienste remote zugänglich machen:
| Dienst | Beschreibung | Standardmäßig |
|---|---|---|
| Web-GUI | TrueNAS-Verwaltungsoberfläche | Aktiviert |
| SMB | Dateifreigaben (Windows/Mac) | Manuell |
| NFS | Dateifreigaben (Linux) | Manuell |
| SSH | Kommandozeilen-Zugriff | Manuell |
| Apps | Installierte TrueNAS-Apps | Manuell |
System > TrueNAS Connect > Services:
├── Web UI: ✓ Enabled
├── SMB: ✓ Enabled
├── SSH: ✗ Disabled (nur bei Bedarf aktivieren)
└── Apps: Individuell konfigurierbarSchritt 4: Client einrichten
Mobile App (iOS/Android):
- TrueNAS Connect App aus dem App Store installieren
- Mit dem Connect-Account anmelden
- Der verknüpfte NAS erscheint in der App
- Dateien durchsuchen und hoch-/herunterladen
Browser-Zugriff:
- connect.truenas.com im Browser aufrufen
- Anmelden
- Auf den verknüpften NAS klicken
- Die TrueNAS Web-GUI öffnet sich im Browser
Sicherheitskonzept
Verschlüsselung
TrueNAS Connect nutzt TLS 1.3 für die Verbindung zwischen NAS und Relay sowie zwischen Client und Relay. Die Daten werden zusätzlich auf Anwendungsebene verschlüsselt.
Client ←→ Relay: TLS 1.3
Relay ←→ NAS: TLS 1.3
Zusätzlich: Application-Layer EncryptionAuthentifizierung
- Multi-Faktor-Authentifizierung (MFA): Optional, aber dringend empfohlen
- API-Keys: Für programmatischen Zugriff
- Session-Management: Sitzungen laufen nach Inaktivität ab
Was sieht iXsystems?
Eine berechtigte Frage: Da der Traffic über iXsystems’ Relay-Server läuft, könnte der Anbieter theoretisch Metadaten sehen:
- Sichtbar: Verbindungszeitpunkte, IP-Adressen, Datenvolumen
- Nicht sichtbar: Dateiinhalte (verschlüsselt), Dateinamen (je nach Protokoll)
Für hochsensible Umgebungen bleibt ein selbst betriebener VPN die bessere Wahl, da kein Dritter involviert ist.
Empfohlene Sicherheitskonfiguration
System > TrueNAS Connect > Security:
├── MFA: ✓ Aktiviert (TOTP)
├── Allowed IP Ranges: Ggf. einschränken
├── Session Timeout: 30 Minuten
├── Dienste: Nur benötigte aktivieren
└── SSH: Deaktiviert (nur für Notfälle)Vergleich: TrueNAS Connect vs VPN vs Tailscale
TrueNAS Connect
| Aspekt | Bewertung |
|---|---|
| Einrichtung | Sehr einfach (5 Minuten) |
| Port-Forwarding | Nicht nötig |
| CGNAT-kompatibel | Ja |
| Performance | Gut (Relay-Overhead) |
| Kosten | Kostenlos (Grundfunktionen) |
| Kontrolle | Mittel (Relay bei iXsystems) |
| Unterstützte Dienste | TrueNAS-spezifisch |
WireGuard VPN
| Aspekt | Bewertung |
|---|---|
| Einrichtung | Mittel (30–60 Minuten) |
| Port-Forwarding | Nötig (1 Port) |
| CGNAT-kompatibel | Nein (ohne Relay) |
| Performance | Sehr gut (direkte Verbindung) |
| Kosten | Kostenlos |
| Kontrolle | Voll (selbst gehostet) |
| Unterstützte Dienste | Alle (Full Tunnel) |
Tailscale / Headscale
| Aspekt | Bewertung |
|---|---|
| Einrichtung | Einfach (10–15 Minuten) |
| Port-Forwarding | Nicht nötig |
| CGNAT-kompatibel | Ja |
| Performance | Sehr gut (P2P mit DERP-Fallback) |
| Kosten | Kostenlos (bis 100 Geräte) / Headscale kostenlos |
| Kontrolle | Mittel (Tailscale) / Voll (Headscale) |
| Unterstützte Dienste | Alle (IP-Ebene) |
Empfehlung nach Anwendungsfall
| Szenario | Empfehlung |
|---|---|
| Heimanwender, einfacher Dateizugriff | TrueNAS Connect |
| Technikaffine Heimanwender | Tailscale oder WireGuard |
| Unternehmen, volle Kontrolle nötig | WireGuard oder Headscale |
| Hinter CGNAT, kein Router-Zugriff | TrueNAS Connect oder Tailscale |
| Maximale Performance | WireGuard (direkte Verbindung) |
Tailscale als Alternative auf TrueNAS
Für Nutzer, die mehr Kontrolle und breiteren Dienst-Zugriff wünschen, lässt sich Tailscale als App auf TrueNAS SCALE installieren:
Apps > Available Applications > Tailscale:
├── Auth Key: tskey-auth-xxxxx (aus Tailscale Admin Console)
├── Advertise Routes: 192.168.1.0/24 (lokales Netzwerk)
├── Accept Routes: true
└── Hostname: truenasTailscale erstellt ein WireGuard-basiertes Mesh-Netzwerk, das Peer-to-Peer-Verbindungen bevorzugt und nur bei NAT-Problemen auf DERP-Relay-Server zurückfällt.
Performance-Überlegungen
Die Geschwindigkeit bei Remote-Zugriff hängt von mehreren Faktoren ab:
Upload-Geschwindigkeit des NAS-Standorts
↓
Latenz zum Relay-Server / VPN-Endpunkt
↓
Download-Geschwindigkeit des Client-Standorts
↓
Encryption Overhead (minimal bei modernen CPUs)Typische Durchsatzwerte:
| Methode | Typischer Durchsatz | Latenz-Overhead |
|---|---|---|
| TrueNAS Connect | 50–200 Mbit/s | 20–50 ms |
| WireGuard VPN | 100–500 Mbit/s | 5–15 ms |
| Tailscale (P2P) | 100–400 Mbit/s | 5–20 ms |
| Tailscale (DERP) | 50–150 Mbit/s | 30–80 ms |
Der limitierende Faktor ist fast immer die Upload-Geschwindigkeit des Internetanschlusses am NAS-Standort.
Fazit
TrueNAS Connect schließt eine wichtige Lücke: Es ermöglicht sicheren Remote-Zugriff ohne technisches Vorwissen. Kein Port-Forwarding, kein VPN-Setup, keine Zertifikatsverwaltung. Für Heimanwender und kleine Büros ist das die einfachste Lösung. Wer maximale Kontrolle, Performance oder Zugriff auf alle Netzwerkdienste benötigt, greift weiterhin zu WireGuard oder Tailscale. Die gute Nachricht: Alle drei Ansätze lassen sich parallel betreiben — TrueNAS Connect für den schnellen Dateizugriff unterwegs, VPN für den vollen Netzwerk-Tunnel bei Bedarf.
Mehr zu diesen Themen:
Weitere Artikel
Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept
Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.
TrueNAS mit MCP: KI-gestützte NAS-Verwaltung per natürlicher Sprache
TrueNAS mit MCP (Model Context Protocol) verbinden: KI-Assistenten für NAS-Verwaltung, Status-Abfragen, Snapshot-Erstellung per Chat, Sicherheitsaspekte und Zukunftsausblick.
ZFS SLOG und Special VDEV: Sync Writes beschleunigen und Metadaten optimieren
ZFS SLOG (Separate Intent Log) und Special VDEV erklärt: Sync Writes beschleunigen, SLOG-Sizing, Special VDEV für Metadaten, Hardware-Auswahl mit Optane und Risiken bei Ausfall.