Fritz.Box DNS Server und SSL Zertifikate & Fritz.Box VPN oder DS VPN Server?

Status
Für weitere Antworten geschlossen.

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
Hallo zusammen,

ich würde gerne in meinem LAN HTTPS Verbindungen mit gültigen SSL Zertifikaten nutzen. Das ganze dann über VPN so das ich keine Portfreigaben in meiner Fritz.Box verwenden muss wenn ich von extern auf meine lokalen Geräte zu Hause zugreifen möchte. Nun kann ich ja mit meiner DS auch selbstsignierte Zertifikate erstellen, diese exportieren und dann auf meinen Lokalen Geräten installieren. Leider funktioniert das aber bei mir nicht. An meinem MAC bekomme ich bei zwei Zertifikatsdateien immer eine Fehlermeldung und meine Webbrowser stufen die DS auch nicht als vertrauenswürdig ein.

Fehlermeldung Mac "Der Inhalt dieses Objekts kann nicht abgerufen werden." bei folgenden Dateien: privkey.pem & syno-ca-privkey.pem



Gibt es eine Möglichkeit die lokalen Adressen wie: https://myserver:5001 (Name durch Fritz.Box DNS Server erstellt) auch mit gültigen SSL Zertifikaten zu verwenden?

Dann wollte ich mal fragen welchen VPN Server man nutzen sollte? Den integrierteren in der Fritz.Box oder sollten man eher zum VPN Paket auf der DS greifen? Was sagen da eure Erfahrungen?

Freue mich auf eure Antworten.

Liebe Grüße
 
Zuletzt bearbeitet:

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
einfache Frage was erhoffst du dir von https Verbindungen in deinem LAN?

Die VPN Frage ist die selbe Frage was ist besser MAC oder PC. Fritz ist ein System, welche Variante dahintersteht weiß ich gerade nicht. Auf der DS hast du die Auswahl. Ich nutze den der DS und zwar für die PCs die openvpn Variante und am Android die ipsec/L2tp.
 

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
einfache Frage was erhoffst du dir von https Verbindungen in deinem LAN?

Das ist recht schnell und einfach erklärt. Ich habe verschiedene Apps auf meinen Macs und Smartphone, welche z.B. per WebDAV synchronisiert werden können. Beispielsweise eine BankingApp. Jetzt kommt mir nur die Frage auf, wenn ich eh per VPN (welches ja verschlüsselt ist, auf mein internes LAN zu Hause zugreife, brauche ich für einzelne Apps dann überhaupt eine HTTPS Verbindung?

Mir ist noch eingefallen das ich für den VPN Server der DS auch wieder Ports freigegeben muss, was ich eigentlich vermeiden möchte.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
bei https ist nur die direkte Übertragung verschlüsselt also wie du ja auch schon richtig geschrieben hast nur die Leitung also die strecke zwischen dem NAS und deinem PC und wenn du deinem eigenen LAN (Local area Network / locales [örtliches] Netzwerk) nicht mehr vertraust und Angst haben musst, dass sich da jemand dazwischen hängt und deinen Netzwerk verkehr mitschneidet solltest du dir andere Gedanken machen als Zertifikate selbst zu erstellen. Wenn du dein Wlan mit WPA2 gesichert hast dann ist ja auch dieser Weg von vorneherrein verschlüsselt. Nur aber als Randbemerkung auch wenn die Meldung der Browser kommt so wie die Verbindung aufgebaut ist ist sie auch verschlüsselt. Die Warnung sagt nur aus dass eben dem Zertifikat nicht getraut wird, da es eben ja nicht von einer als vertrauenswürdig eingestuften Stelle kommt (von dir ja eben selber).

aber um deine erste Frage zu beantworten, nein du wirst kein offizielles Zertifikat bekommen für eine Lokale Adresse.

Zum Thema VPN ich weiß nicht wie es mit den aktuelleren Fritz Boxen aussieht aber ich musste bei meiner (7110) die VPN verbindung mit einem speziellen Tool erstellen und das hat nicht immer funktioniert, auf smartphones konnte ich sie nie einrichten. Ob es besser ist ein VPN im Router oder der DS einzurichten hängt von der Konfiguration ab. Bin ich in deinem Router bin ich in deinem Kompletten Netzwerk, hast du die DS als VPN kannst du auch einrichten dass du nur auf ihr landest und nicht weiter, also dann nicht auf allen anderen Geräten im Netzwerk. Vorteil dieser Variante du hättest nur die eine Portfreigabe für den VPN server und kannst dann alle dienste der DS nutzen.
 

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
Bezüglich des HTTPS hatte ich nur einen kleinen Denkfehler. Klar, da VPN ja bereits verschlüsselt ist und ich genau weiß wer oder was in meinem LAN/WLAN unterwegs ist, denke ich wäre das etwas zu viel des Guten.

Aktuell kann man immer noch das Tool von AVM nutzen um die Einstellungen in der Fritz.Box für die VPN Verbindung zu erstellen. Allerdings gibt es dieses Tool nur für Windows und es lässt sich nicht sonderlich viel einstellen. Ich denke ich versuche das mal mit dem VPN Server auf der DS. Dann eben mit einer Portweiterleitung. Problem ist ja schon das ich die aktuelle VPN Verbindung, die ich mit der Fritz.Box erstellen kann, nicht mit Windows Boardmitteln nutzen kann. Außerdem kann ich über den Assistenten in der AVM nicht einstellen das nur der Netzwerkverkehr über das VPN laufen soll. Aktuell ist es leider so das der gesamte Datenverkehr inkl. Internet über das VPN der Fritz.Box läuft.

@Heavy: Wie hast du es aktuell denn gelöst?
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
siehe post 2

bzw da ich auch eine website und mailserver betreibe habe ich eine eigene domain und dafür ein Zertifikat einer CA und damit natürlich die DS über portweiterleitungen erreichbar. Will ich mehr oder in einem öffentlichen Wlan sicherere sein, vpn über die DS.
 

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
Okay danke. Ja eigene Domains betreibe ich ebenfalls. Funktioniert ja super mit den Zertifikaten über Let's Encrypt. Ich denke für meinen Anwendungsfall würde es reichen den VPN auf der DS zu aktivieren und dann die Synology-Apps verwenden.

Ach so eine Sache noch: Warum nutzt du OpenVPN nicht auch auf mobilen Geräten? Die Apps sind ja vorhanden?!
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Vermutlich weil IPsec/l2TP auf Android und iOS schon mit dem Betriebssystem geliefert wird und OpenVPN eine App bedingt.
Hat mich allerdings nicht gedindert alles auf OpenVPN laufen zu lassen. :)
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.729
Punkte für Reaktionen
145
Punkte
129
Es ist viel stumpfer, ich hatte überall ipsec/l2tp nur irgendwann nach einem Update von Windows verweigern die Rechner die Verbindung und ich hatte dann nach über einem dreiviertel Jahr keine Lust mehr mich damit rum zuärgern und zu schauen ob ich es wieder zum laufen bekomme und bin dann auf openvpn umgestiegen. Was mit der aktuellsten Version des Clients trotz Fehlermeldung funktioniert die ältere Version verweigert aber ebenfalls den Dienst.

Und auf dem Händy habe ich es einfach dabei belassen.
 
Zuletzt bearbeitet:

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
Hey, danke für eure Antworten.

Gestern habe ich dann mal den VPN Server auf der DS konfiguriert und konnte mich ohne Probleme verbinden. Hab nun erst mal die IP/SecVariante gewählt. Allerdings habe ich da irgendwie ein kleines Problem oder ich finde die passenden Einstellungen nicht... Ich würde gerne, wenn ich mit dem VPN verbunden bin, nicht den gesamten Internetverkehr darüber laufen lassen. Also wenn ich mit dem Handy z.B. verbunden bin soll das Internet normal über mein Handy laufen und nur "zusätzlich" mit meinem heimischen LAN verbunden sein. In dem Konfigurationstool von AVM für Windows, mit dem man die Konfigurationsdateien für VPN erstellen kann, ist es möglich dafür einen "Häckchen" zu setzen.

Gibt es da Möglichkeiten?

Ich glaube auch fast das ich an ein paar Portweiterleitungen nicht vorbei komme. Ich würde gerne auch so Funktionen wie, gemeinsames Arbeiten an Office Dokumenten, Freigabe über FileStation usw. nutzen. Das geht ja nur wenn die DS direkt über eine Portweiterleitung zu erreichen ist.
 
Zuletzt bearbeitet:

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
Hallo,

auf meiner DiskStation habe ich nun den VPN Server eingerichtet und in letzte Zeit jetzt vermehrt die VPN Verbindung zu mir nach Hause genutzt. Funktioniert soweit alles auch wunderbar. Jedoch läuft aktuell der gesamte Verkehr über die VPN Verbindung. Also ich surfe quasi bei aktiver VPN Verbindung immer mit der IP-Adresse von meinem heimischen Telefonanschluss. Kann ich das irgendwie ändern? Ich würde gerne bei aktiver VPN Verbindung einfach meine Netzwerkgeräte zusätzlich angezeigt bekommen. Wenn ich z.B. von Büro aus auf mein VPN zugreife soll der Internetverkehr weiter über den Firmenrechner laufen und nicht mit der IP meines heimischen Netzwerks.

Ist das möglich?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Da solltest du mal genauer schreiben was du wie eingerichtet hast. Bei openVPN z.B. ist das eigentlich die Standardeinstellung, wenn man sie nicht selbst ändert, dass nur Traffic für LAN-IPs des VPN Server-Netzes durch den Tunnel gehen. Alles andere wie DNS und normale Anfragen an Internet-Server gehen über das im Client LAN gesetzte Standard-Gateway raus.
 

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
Hey,

da hast du natürlich recht, das es mit Angabe der Einstellungen etwas einfacher ist.

Also aktuell nutze ich L2TP/IPsec, da ich dies mit Boardmitteln auf dem Mac und Android Smartphone benutzen kann. Aus dem Grund hatte ich mich gegen OpenVPN entschieden.

Einstellungen im VPN Server der DS:
Bildschirmfoto 2017-07-04 um 09.54.02.jpg

Einstellungen auf dem Mac:
Bildschirmfoto 2017-07-04 um 09.54.31.jpg
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Eine App mehr oder weniger, aber das kann jeder selbst entscheiden. :)

Und auf dem Mac spuckt dir jetzt wieistmeineip.de z.B. die öffentliche IP des Routers aus, der für das Netz des VPN Servers zuständig ist, anstatt der öffentlichen IP des Routers aus dem Netz in dem sich der Mac aufhält?
Hast du mal probiert den Eintrag "manueller DNS Server" zu deaktivieren?
Was steht beim Mac in den Reitern DNS und TCP/IP?
 

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
Und auf dem Mac spuckt dir jetzt wieistmeineip.de z.B. die öffentliche IP des Routers aus, der für das Netz des VPN Servers zuständig ist, anstatt der öffentlichen IP des Routers aus dem Netz in dem sich der Mac aufhält?
Genau so sieht es aus. Wenn ich die Einstellung auf der DS "Manueller DNS Server" deaktiviere ändert sich nichts.

Entferne ich auf dem Mac die Einstellung "Gesamten Verkehr über VPN-Verbindung senden" dann kann ich auf die Geräte im VPN nicht mehr zugreifen.

Anbei noch die weiteren Einstellungen vom Mac.
Bildschirmfoto 2017-07-06 um 14.34.47.jpg
Bildschirmfoto 2017-07-06 um 14.34.55.jpg

Frage zu Open VPN:
Welche Einstellungen muss ich bei Verschlüsselung und Authentifizierung wählen?[
ATTACH]37818[/ATTACH]
 

Anhänge

  • Bildschirmfoto 2017-07-06 um 14.44.14.jpg
    Bildschirmfoto 2017-07-06 um 14.44.14.jpg
    49,3 KB · Aufrufe: 54

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Wenn du die Option für den Netzwerkverkehr ausschaltest.
Kannst du die Geräte dann gar nicht mehr (auch nicht über ihre IP) oder nur nicht mehr via Name erreichen?

OpenVPN, Verschlüsselung mit AES-256-CBC ist ok, für Auth sollte mindestens SHA256 genommen werden (jedenfalls kein SHA(1) mehr).
 

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
OpenVPN, Verschlüsselung mit AES-256-CBC ist ok, für Auth sollte mindestens SHA256 genommen werden (jedenfalls kein SHA(1) mehr).
Gibt es da irgendwo genauere Informationen zu was wie wo was macht?

Wenn du die Option für den Netzwerkverkehr ausschaltest.
Kannst du die Geräte dann gar nicht mehr (auch nicht über ihre IP) oder nur nicht mehr via Name erreichen?
Ja, so ist es. Wenn ich die Option deaktiviere kann ich auf dem Mac die Geräte nicht mehr sehen. Was mich echt mega verwundert. In Android ist es bei mir so das auch der gesamte Verkehr über das VPN läuft.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Was wie wo? Auf was genau bezieht sich die Frage mit genaueren Informationen? Wie verschiedene Verschlüsselungen arbeiten?

Was ist bei dir "sehen"? Automatische Anzeige der Netzwerkgeräte im Finder oder wirklich der Kontaktversuch "mit Server verbinden" mit der LAN-IP z.b. auf eine Netzwerkfreigabe?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Hi :)

Ich vermute mal, dass "sehen" sich eher in Richtung NetBIOS o.ä. bewegt. Man sollte die Problematik auch vielleicht etwas weiter auseinander nehmen... das mit dem entfernen des Standardgateways (so, dass "nur" der Traffic für das Zielnetz durch das VPN geht) und dem manuellen konfigurieren des DNS-Servers ist ja ganz nett, allerdings sollte man dabei auch beachten, dass dann im "lokalen" Netz (von wo sich der Client via VPN einwählt) eben nichts mehr aufgelöst werden kann (wäre z.B. im "Büro" ziemlich fatal). Schlussendlich muss man schon sagen, dass man das Konzept dahinter als Benutzer trotzdem "verstehen" muss, weil sonst wird es schlichtweg zur Userhölle... (jedenfalls meine Erfahrungen mit unbedarfteren VPN-Usern und es soll ja schön "einfach" sein).

Entweder mit Standardgateway nutzen und dafür ist die "Internet"-Verbindung dann langsamer (da das Zielnetz die Daten an den VPN-Client weiterleitet und vermutlich im Upstream sehr begrenzt sein wird), was meiner Meinung nach vorerst der einfachste Weg wäre (für unbedarftere User), oder nur den Zielnetz-Traffic durch das VPN routen, aber dann ist es definitiv einfacher, schlichtweg mit IP-Adressen zu arbeiten, oder entsprechende Einträge in der hosts-Datei zu haben.

Schönen Gruß
blurrrr
 

Pixelpaule

Benutzer
Mitglied seit
11. Jan 2013
Beiträge
93
Punkte für Reaktionen
0
Punkte
6
huhu, also mit "sehen" meinte ich halt das mir die Geräte einfach nicht angezeigt werden. Also wenn nicht der gesamte Datenverkehr über die VPN Verbindung läuft, werden mir die Netzwerkgeräte aus dem VPN nicht angezeigt. Egal ob ich z.B. direkt über den Finder suche, manuell die IP Adresse im Finder (Explorer) eingebe oder eine Verbindung über den Webbrowser mit IP Adressen versuche herzustellen.

Zum Thema VPN habe ich mir eben nur die Hilfeseiten von Synology durchgelesen und keine fachlichen Auzeichnungen oder Artikel. Ich dachte nun wirklich das es mit Hilfe der DS keine komplizierte Sache wird.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat