SMB und NFS sind die Standardprotokolle für Dateifreigaben im Unternehmen — aber sie setzen voraus, dass der Client die richtige Software installiert hat und sich im richtigen Netzwerk befindet. Externe Partner, Lieferanten oder Mitarbeiter auf privaten Geräten haben diesen Zugang oft nicht. TrueNAS WebShare, verfügbar ab Version 26.04, löst dieses Problem: Dateifreigabe direkt über den Webbrowser, ohne Client-Software, ohne Netzwerklaufwerk-Mapping, ohne VPN.
Was ist WebShare?
WebShare ist eine integrierte Funktion in TrueNAS SCALE, die Datasets über eine Weboberfläche zugänglich macht. Benutzer öffnen eine URL im Browser und können Dateien hochladen, herunterladen, umbenennen, verschieben und löschen — sofern die Berechtigungen es erlauben.
Abgrenzung zu bestehenden Protokollen
| Funktion | SMB | NFS | WebShare |
|---|---|---|---|
| Client-Software nötig | Ja (Windows Explorer, Finder) | Ja (mount.nfs) | Nein (Browser) |
| VPN nötig (extern) | Ja | Ja | Nein (HTTPS) |
| Betriebssystem-Abhängigkeit | Niedrig | Linux/macOS | Keine |
| Maximaler Durchsatz | ~1,2 GB/s (SMB3 Multichannel) | ~10 GB/s | ~200-500 MB/s |
| Gleichzeitige Nutzer | Hoch | Hoch | Mittel |
| Dateisperren | Ja (Opportunistic Locks) | Ja (NLM) | Nein |
| Ideal für | Interne Arbeitsplätze | Linux-Server, VMs | Externe, temporärer Zugang |
WebShare ersetzt nicht SMB oder NFS — es ergänzt diese Protokolle für Szenarien, in denen ein klassischer Client-Zugang nicht praktikabel ist.
WebShare einrichten
Voraussetzungen
- TrueNAS SCALE 26.04 oder neuer
- Ein bestehendes Dataset mit Daten
- TLS-Zertifikat (Let’s Encrypt oder selbst signiert)
- DNS-Eintrag, der auf die TrueNAS-IP zeigt (für externen Zugriff)
Schritt 1: Dataset vorbereiten
Falls noch kein dediziertes Dataset für WebShare existiert, erstellen Sie eines:
-
Storage → Datasets → Add Dataset
- Name: webshare
- Share Type: Generic
- ACL Type: POSIX (empfohlen für einfache Berechtigungen)
-
Erstellen Sie Unterordner für verschiedene Freigaben:
/mnt/tank/webshare/partner/mnt/tank/webshare/lieferanten/mnt/tank/webshare/temp
Schritt 2: Benutzer und Gruppen anlegen
WebShare nutzt die TrueNAS-Benutzerverwaltung. Für externe Partner empfehlen sich dedizierte Accounts:
-
Credentials → Groups → Add
- Name: webshare-partner
- GID: 2000
-
Credentials → Users → Add
- Username: partner-mueller
- Password: (sicheres Passwort, per E-Mail oder telefonisch mitteilen)
- Primary Group: webshare-partner
- Home Directory: /nonexistent
- Shell: nologin
- Samba Authentication: Deaktiviert (WebShare nutzt eigene Auth)
Schritt 3: Berechtigungen setzen
Die Berechtigungen auf dem Dataset bestimmen, was WebShare-Nutzer sehen und tun können:
# Verzeichnis dem WebShare-Group zuweisen
chown root:webshare-partner /mnt/tank/webshare/partner
# Lesen + Schreiben für die Gruppe
chmod 2770 /mnt/tank/webshare/partner
# Neue Dateien erben die Gruppenberechtigung (SGID)
# Das '2' vor 770 setzt das SGID-BitFür Read-Only-Zugriff (z.B. Downloadbereich):
chmod 2750 /mnt/tank/webshare/downloadsSchritt 4: WebShare-Freigabe erstellen
-
Navigieren Sie zu Shares → WebShare
-
Klicken Sie auf Add:
- Name: Partner-Austausch
- Path: /mnt/tank/webshare/partner
- Enabled: Aktiviert
- Read Only: Deaktiviert (für Upload-Zugriff)
- Allow Upload: Aktiviert
- Max Upload Size: 5 GB (Limit pro Datei)
- Authentication: Required
- Allowed Users/Groups: webshare-partner
-
Speichern und den WebShare-Service aktivieren
Schritt 5: TLS konfigurieren
WebShare ohne TLS ist keine Option — Zugangsdaten und Dateien werden sonst im Klartext übertragen.
Let’s Encrypt mit ACME:
- Credentials → Certificates → ACME DNS Authenticators: Konfigurieren Sie Ihren DNS-Provider
- Credentials → Certificates → CSRs: Erstellen Sie eine Zertifikatsanfrage für
files.example.com - Credentials → Certificates → ACME Certificates: Beantragen Sie das Zertifikat
Im WebShare-Service:
- SSL Certificate: Wählen Sie das Let’s Encrypt-Zertifikat
- HTTPS Port: 443 (oder ein Custom-Port wie 8443)
- Force HTTPS: Aktiviert
Zugriff für externe Partner
URL-Struktur
Nach der Konfiguration erreichen externe Partner die Freigabe über:
https://files.example.com/webshare/Partner-Austausch/Die Weboberfläche zeigt:
- Dateiliste mit Namen, Größe, Änderungsdatum
- Upload-Button (Drag & Drop oder Dateiauswahl)
- Download-Links für jede Datei
- Ordnernavigation
- Suchfunktion
Typischer Workflow
- Partner erhält Link und Zugangsdaten per E-Mail (Link) und Telefon (Passwort)
- Partner öffnet URL im Browser — jeder moderne Browser funktioniert
- Authentifizierung mit Benutzername/Passwort
- Dateien hoch- oder herunterladen über die Weboberfläche
- Sitzung endet nach Inaktivität oder Abmeldung
Performance-Tuning
WebShare basiert auf HTTP/HTTPS und hat naturgemäß nicht die Performance von SMB oder NFS. Für große Dateien gibt es aber Optimierungsmöglichkeiten:
Chunked Uploads
WebShare unterstützt Chunked Uploads für große Dateien. Der Browser teilt die Datei in Chunks auf und überträgt diese sequentiell. Vorteile:
- Upload kann nach Unterbrechung fortgesetzt werden
- Keine Browser-Timeout-Probleme bei großen Dateien
- Progress-Anzeige im Browser
Performance-Erwartungen
| Szenario | Erwarteter Durchsatz | Limitierender Faktor |
|---|---|---|
| LAN (1 GbE) | 80-100 MB/s | Netzwerk |
| LAN (10 GbE) | 200-400 MB/s | TLS-Overhead, HTTP |
| WAN (100 Mbit/s) | 10-12 MB/s | WAN-Bandbreite |
| WAN (1 Gbit/s) | 80-100 MB/s | TLS-Overhead |
| Viele kleine Dateien | 5-20 MB/s | HTTP-Overhead pro Request |
Nginx Reverse Proxy
Für bessere Performance und zusätzliche Sicherheit empfiehlt sich ein Nginx Reverse Proxy vor dem WebShare-Service:
server {
listen 443 ssl http2;
server_name files.example.com;
ssl_certificate /etc/letsencrypt/live/files.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/files.example.com/privkey.pem;
client_max_body_size 5G;
proxy_read_timeout 600;
proxy_send_timeout 600;
location / {
proxy_pass https://truenas-ip:8443;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Sicherheit
Zugriffsbeschränkungen
- IP-Whitelisting: Beschränken Sie den Zugriff auf bekannte IP-Bereiche externer Partner (über OPNsense oder TrueNAS-Firewall)
- Geo-Blocking: Erlauben Sie nur Zugriffe aus relevanten Ländern
- Fail2Ban: Konfigurieren Sie Brute-Force-Schutz für die WebShare-Login-Seite
- Rate Limiting: Begrenzen Sie Login-Versuche pro IP
Zeitlich begrenzte Freigaben
Für temporäre Freigaben ist ein strukturierter Prozess sinnvoll:
- Account erstellen mit Ablaufdatum
- Daten bereitstellen im dedizierten Verzeichnis
- Link und Zugangsdaten mitteilen (getrennte Kanäle)
- Nach Ablauf: Account deaktivieren, Daten prüfen, Verzeichnis aufräumen
Audit-Trail
WebShare protokolliert alle Zugriffe:
- Login-Versuche (erfolgreich und fehlgeschlagen)
- Datei-Downloads (wer, wann, welche Datei)
- Datei-Uploads (wer, wann, Dateiname, Größe)
- Löschvorgänge
Die Logs können an einen zentralen Syslog-Server oder DATAZONE Control weitergeleitet werden.
Use Cases
1. Externe Partner und Lieferanten
Lieferanten müssen Zeichnungen, Stücklisten oder Handbücher hochladen. Statt E-Mail mit 25-MB-Limit oder unsichere Cloud-Dienste nutzen sie WebShare:
- Dediziertes Verzeichnis pro Lieferant
- Upload-Limit auf relevante Dateitypen beschränken
- Automatische Benachrichtigung bei neuen Uploads (via Webhook)
2. Temporäre Shares für Projekte
Für ein zeitlich begrenztes Projekt brauchen externe Berater Zugriff auf Projektdokumente:
- Projektverzeichnis mit allen relevanten Dateien
- Read-Only für Berater, Read-Write für interne Mitarbeiter
- Automatischer Ablauf nach Projektende
3. Kunden-Download-Bereich
Kunden sollen fertige Deliverables herunterladen:
- Read-Only-Freigabe mit Kundenprojekt-Ordner
- Keine Upload-Möglichkeit (Sicherheit)
- Individueller Zugang pro Kunde
4. Außendienst und Home Office
Mitarbeiter ohne VPN-Zugang brauchen Dateien von unterwegs:
- Persönliche Freigabe pro Mitarbeiter
- Read-Write-Zugriff mit Sync-Möglichkeit
- Geräteunabhängig — funktioniert auf jedem Gerät mit Browser
Integration mit bestehenden Shares
Ein Dataset kann gleichzeitig per SMB und WebShare freigegeben werden. Interne Mitarbeiter nutzen SMB über das Netzwerklaufwerk, externe Partner greifen per WebShare auf dasselbe Verzeichnis zu. Die Berechtigungen werden über POSIX-ACLs einheitlich gesteuert.
Dabei ist zu beachten:
- Dateisperren: SMB bietet Opportunistic Locks, WebShare nicht. Gleichzeitige Bearbeitung derselben Datei kann zu Konflikten führen
- Zeichenkodierung: UTF-8 wird von beiden Protokollen unterstützt
- Symlinks: WebShare folgt keinen Symlinks (Sicherheitsmaßnahme)
Fazit
TrueNAS WebShare schließt eine Lücke, die SMB und NFS nicht abdecken: Browser-basierter Dateizugriff ohne Client-Software und ohne VPN. Für externe Partner, temporäre Freigaben und geräteunabhängigen Zugriff ist WebShare die einfachste Lösung. Die Kombination mit TLS, dedizierten Benutzeraccounts und VLAN-Isolation macht den Zugang sicher, während die Integration mit bestehenden SMB-Shares doppelte Datenhaltung vermeidet.
Mehr zu diesen Themen:
Weitere Artikel
Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept
Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.
TrueNAS mit MCP: KI-gestützte NAS-Verwaltung per natürlicher Sprache
TrueNAS mit MCP (Model Context Protocol) verbinden: KI-Assistenten für NAS-Verwaltung, Status-Abfragen, Snapshot-Erstellung per Chat, Sicherheitsaspekte und Zukunftsausblick.
ZFS SLOG und Special VDEV: Sync Writes beschleunigen und Metadaten optimieren
ZFS SLOG (Separate Intent Log) und Special VDEV erklärt: Sync Writes beschleunigen, SLOG-Sizing, Special VDEV für Metadaten, Hardware-Auswahl mit Optane und Risiken bei Ausfall.