Synology NAS als VPN Gateway verwenden. Sicherheit.

[German-Man]

Ich habe das Paket "VPN-Server" installiert.
Und nach Anleitung eine VPN Verbindung zu einen VPN Anbieter aufgebaut (NVPN).

https://www.synology.com/de-de/support/tutorials/523

Die DiskStation ist zum VPN-Client geworden, die eine Verbindung zu einem VPN-Server über OpenVPN herstellt.
Die DiskStation wird als VPN-Gateway für meine PC's genutzt. (An den PC's ist als Gateway die IP vom NAS eingetragen)
Die DiskStation ist am AVM Router (3390) angeschlossen.

Das funktioniert alles super.


Meine Frage:

Wie kann ich mein NAS vor einem IP-Leak schützen?
Sollte die VPN-Verbindung am NAS unterbrochen werden, dann besteht die Gefahr, dass meine PC's ungesichert mit dem Internet kommunizieren.

Wie muß ich das NAS konfigurieren damit der gesamte Netzwerkverkehr auf die VPN Verbindung beschränkt wird?
Wenn die VPN Verbindung abreißt soll für die PC's kein surfen möglich sein.

Besten Dank im Voraus für die Hilfe

 

[fpo4711]

Hallo und willkommen im Forum,

die DS ist ja nicht gerade als Router konzipiert Um dein Ziel zu erreichen wirst Du dich recht intensiv mit iptables auseinandersetzen müssen. Auch wäre es sicherlich wichtig die DS vor dem Zugriff über das VPN zu schützen. Hier nur einmal etwas aus der Hüfte geschossen ohne den Anspruch auf Vollständigkeit.

iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -A FORWARD -j DROP

Das sollte jedenfalls deine PC's daran hindern das Gateway der DS zu nutzen wenn keine VPN-Verbindung vorhanden ist.

Gruß Frank

 

[German-Man]

@fpo4711 Danke für deine Antwort.

Auch wäre es sicherlich wichtig die DS vor dem Zugriff über das VPN zu schützen.

Was meinst du damit genau?
Ich war der Meinung, dass die DS sicher ist, sie ist doch mit dem AVM Router verbunden.
(Der Router baut die Verbindung zum Internet auf, ist das Gateway für das NAS und hat eine Firewall)

iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -A FORWARD -j DROP

Wenn ich das richtig verstanden habe, soll ich diese IP Tables in das NAS System hinzufügen.
VPN Verbindung wird erlaubt
Alles andere wird geblockt.

DANKE

 

[fpo4711]

Was meinst du damit genau?

Wenn Du ein VPN aufbaust bist Du von deinem VPN-Partner ungeschützt erreichbar.

Wenn ich das richtig verstanden habe, soll ich diese IP Tables in das NAS System hinzufügen.

Genau. Diese Anweisungen sorgen dafür das nur noch ein Forward auf das tunX Device möglich ist.

Gruß Frank

 

[German-Man]

Wenn Du ein VPN aufbaust bist Du von deinem VPN-Partner ungeschützt erreichbar.

Das verwirrt mich jetzt gewaltig!
Ich war der Meinung, dass eine VPN Verbindung sicher ist.

Wäre sehr nett von dir, wenn du mir das etwa genauer erklären könntest.

 

[fpo4711]

Sicher ist die Verbindung in sofern als das der gesammte Verkehr durch einen verschlüsselten Tunnel läuft. Also der Tunnel ist zum Internet hin sicher. Du verbindest damit dann zwei Netze miteinander und zwar dein eigenes und das auf der Gegenseite. Im Regelfall ist dein Partner ja ein vertrauenswürdiger z.Bsp. Du selbst an einem anderen Ort. Wenn Du jetzt einen VPN-Provider nutzt, und davon bin ich jetzt ausgegangen, dann kann von dieser Seite auch auf deine DS zugegriffen werden. Und zwar eben durch diesen Tunnel. Das ist ohne Firewall keine Einbahnstrasse.

Gruß Frank

 

[German-Man]

Wenn Du jetzt einen VPN-Provider nutzt, und davon bin ich jetzt ausgegangen, dann kann von dieser Seite auch auf deine DS zugegriffen werden. Und zwar eben durch diesen Tunnel. Das ist ohne Firewall keine Einbahnstrasse.

Ich verwende den VPN Anbieter NVPN (http://nvpn.net/)
Du meinst damit, dass ein NVPN Mitarbeiter oder jemand, der einen NVPN Server gehackt hat ohne Probleme auf mein NAS Zugriff hat (in mein System eindringen kann)
Ist das auch so, wenn das NAS an einen Router mit Firewall angeschlossen ist?

Dann ist ja ein VPN Anbieter generell eine echte Gefahr.
Wenn ich eine VPN Verbindung über meinem PC zu NVPN aufbaue, dann ist mein PC in Gefahr.

 

[Pete_RK]

Ein VPN-Anbieter ist dann theoretisch eine Gefahr, wenn du keine Firewall zwischen deinem Heimnetz und dem VPN-Netz/ Rest der Welt einsetzt. Auf deiner Fritzbox läuft ja auch eine Firewall.
Du setzt diesen Anbieter ja nur ein um deine öffentliche IP zu verschleiern, oder? In dem Fall sollte man das VPN Netz genauso betrachten, wie das öffentliche Internet, was es ja je nach Betrachtungsweise auch ist. Also ist es dringend zu empfehlen an der Stelle eine Firewall zu nutzen. Wenn du die Verbindung direkt vom PC aufbauen würdest hättest du theoretisch noch die Windows-Firewall, falls du Windows nutzt und auch die Firewall aktiv ist.

 

[German-Man]

Ein VPN-Anbieter ist dann theoretisch eine Gefahr, wenn du keine Firewall zwischen deinem Heimnetz und dem VPN-Netz/ Rest der Welt einsetzt

Reicht die Firewall der Fritzbox nicht? Die DS ist an der Fritzbox angeschlossen.
Wird bei einer VPN Verbindung die Firewall der Fritzbox außer Kraft gesetzt?

Du setzt diesen Anbieter ja nur ein um deine öffentliche IP zu verschleiern, oder?

Ja, ich möchte meine IP verschleiern.

Wenn du die Verbindung direkt vom PC aufbauen würdest hättest du theoretisch noch die Windows-Firewall

Ich bin vor 2 Monaten von Windows auf Linux Mint umgestiegen. (momentan Linux Mint 16)


PS: Ich bedanke mich für die vielen Antworten. Weiter so

 

[Pete_RK]

Reicht die Firewall der Fritzbox nicht? Die DS ist an der Fritzbox angeschlossen.
Wird bei einer VPN Verbindung die Firewall der Fritzbox außer Kraft gesetzt?



Ja, ich möchte meine IP verschleiern.



Ich bin vor 2 Monaten von Windows auf Linux Mint umgestiegen. (momentan Linux Mint 16)


PS: Ich bedanke mich für die vielen Antworten. Weiter so

Die FW der FB reicht nicht, die umgehst du doch mit dem Tunnel. Der Tunnel terminiert doch auf deiner DS und diese verschlüsselt den Verkehr. Und am Ende des Tunnels/Überstieg zum Internet muss die Firewall sein. Der überstieg zum Internet ist aus Client-Sicht bei dir ja nicht die Fritzbox sondern die DS.

Für Linux-Clients gibts sicher auch Firewall...der da kann ich nicht helfen. Aber dann ist immernoch die DS potentiell gefährdet.

 

[German-Man]

Danke für die Info.

So wie ich das verstanden habe ist es eine gefährliche Idee von mir die DS als VPN Gateway zu verwenden.
Ich werde das wieder ändern.

Die Frage ist nur warum Synology einen VPN Server anbietet wenn das so gefährlich ist.
Laut Anleitung von Synology kann die DS als VPN-Server oder VPN-Client verwendet werden.

 

[Pete_RK]

Ohne dir zu nahe treten zu wollen, das Problem ist hier eher dein Grundverständnis von VPN.
Ein VPN ist eine verschlüsselte Punkt-zu-Punkt Tunnelverbindung zwischen 2 "Elementen" die sich vertrauen. Das ist bei dir ja nicht wirklich der Fall.
Klassische VPN Beispiele sind z.B. Ein Client verbindet sich aus der Ferne in sein Heimatnetz, oder es werden 2 Netze (z.b. 2 Unternehmssandorte) miteinander verbunden.

Das was du machen willst ist deine IP verschleiern und hat im Prinzip nichts mit VPN zu tun...das Verschleiern geht ja über einen Proxy bei dieser Firma. Der VPN dient ja wirklich nur dazu damit man dieses verschleiern nicht zurückverfolgen kann.

Ich glaub es würde dir vom Verständnis her viel weiterhelfen, wenn du dich allgemein mal ein wenig über VPN beliest.

Das Problem ist also nicht Synology sondern dein Verständnis von dem Mechanismus. ;-)

 

[German-Man]

Ohne dir zu nahe treten zu wollen, das Problem ist hier eher dein Grundverständnis von VPN.

Nein Nein, da hast du schon recht mit deiner Aussage

Ein VPN ist eine verschlüsselte Punkt-zu-Punkt Tunnelverbindung zwischen 2 "Elementen" die sich vertrauen.

Das habe ich schon verstanden.
In meinem Fall ist der VPN-Partner NVPN (eine Firma, die ich nicht persönlich kenne) und daher ist es ein Risiko.
Der VPN-Partner könnte nicht vertrauenswürdig sein und mir über die VPN-Verbindung Schaden zufügen.

Hoffe das habe ich richtig verstanden.
Wenn nicht, bitte berichtigt mich bitte.

 

[Pete_RK]

alles korrekt...so sieht es aus...

 

[netguru]

Hallo,

ich hänge mich mal an diesen etwas älteren Thread, da er genau mein Thema trifft.
Ich habe mir eine DS215j zugelegt und interessiere mich für eine VPN Verbindung zu NVPN.
Aktuell stelle ich diese Verbindung mit einem DD-WRT Router her, hier die IPTABLES des Routers:

iptables -A POSTROUTING -t nat -o tun0 -j MASQUERADE
iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

IPLeaks verhindere ich mit

iptables -I FORWARD ! -o tun0 -s 192.168.178.0/24 -j DROP
#nur alle Geräte laufen nur übers VPN, sonst gar nicht

damit ich auch auf gewissen Ports connected bin, hab ich diese extra freigeben müssen:


iptables -t nat -I PREROUTING -i tun0 -p tcp --dport 12345 -j DNAT --to-destination xy
iptables -t nat -I PREROUTING -i tun0 -p udp --dport 12345 -j DNAT --to-destination xy

Zudem musste ich diese Ports beim VPN Provider selbst freigeben (über ein WEBIF), bedeutet für mich, der Provider hat selbst ein NAT.

Ich habe mir auch mal diesen Artikel angeschaut, mit ganz guter Erläuterung: https://www.bestvpn.com/blog/4246/what-is-a-nat-firewall/

Mein Anliegen nun letztlich:
Da ich ohne die IPTABLES keinen Zugriff auf die Rechner im Hintergrund gehabt hätte, greift die Firewall im Router.
Das gleiche müsste doch auch sein, wenn ich das identische Setup auf der Syno darstelle? Die Syno hat doch auch eine Firewall?
Mir geht es hier nicht mal zwingend darum, die Syno als Gateway zu nutzen, ich hätte diese aber gerne direkt mit dem VPN verbunden (bei baldigem DSL Upgrade wird der Router den VPN Speed nicht mehr schaffen denke ich).

Die Syno ist doch somit im LAN des VPN Providers abgesichert?
Wozu brauch ich denn diese Einträge? (die ich nicht habe)

iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -A FORWARD -j DROP

Gruß

net