Geht das: Benutzer darf nur aus gleichem Subnetz anmelden?

Kauabunga · 14. Nov 2010

Hi!

Vorweg: meine DS ist über Internet erreichbar, ich kann somit über das Internet auf ihr einloggen. Das soll auch so blieben.

Jetzt will ich aber auch einen account anlegen (z.B. mein Mediencenter) der über Sambafreigabe zugreifen soll.

Gibt es eine Möglichkeit das ganze so zu konfigurieren, dass diese accounts nur vom LAN aus sich einloggen dürfen? So kann ich die potenziellen Schwachstellen nach aussen ins Netz verringern.

Gruß
Ralf

amarthius · 15. Nov 2010

Von Haus aus wüßte ich keine Möglichkeit. Evtl. mit Iptables, wobei ich mich da nicht wirklich auskenne.

Falls nur du auf die DS zugreifst oder andere regelmäßige User, könntest du ein VPN (OpenVPN) einrichten. Damit hättest du eine große Sicherheit und müßtest dir weniger Gedanken machen.

Eine Anleitung dazu gibts hier auch und im dazugehörigen Thread werden Fragen sehr schnell und gut beantwortet. Entweder OpenVPN läuft auf der DS oder du kannst deinen Router mit DD-WRT (+Konsorten) ausstatten worauf dann OpenVPN läuft.

Kauabunga · 15. Nov 2010

Vielen Dank amarthius!

Schade, dachte es geht irgendwie einfacher.

Allerdings steht OpenVPN schon seit längerem auf meiner "DS-Projektliste" muss es nun doch mal in Angriff nehmen.
Auf den Router (Dlink Dir615 Rev D1) kann ichs leider nicht machen, der wird nicht unterstützt.

jahlives · 15. Nov 2010

OpenVPN lässt sich auch direkt auf der DS installieren. Gibt ein ipkg Paket dazu.

glowaq · 16. Nov 2010

Du kannst doch über die syno-firewall einfach alle netzte sperren, von wo du keine anmeldung möchtest. Ich mache das mit NFS / iSCSI so.

itari · 16. Nov 2010

Wenn ich die Anforderung richtig verstanden habe, dann will er einzelne Accounts vom Internet-Zugang (z.B. Login via http/https) aussperren, andere sollen aber durchaus zugreifen dürfen. Eine solche Regelung kann man in meinen Augen nur durch Restriktionen in den Anwendungsberechtigungen halbwegs durchsetzen. Explizit die Anmeldung via LAN-IP zuzulassen und via WAN-IP zu untersagen, ist meines Wissens nicht implementiert. Vielleicht sollte man das als eine Anregung den Synology-Entwicklern zukommen lassen.

Itari

glowaq · 16. Nov 2010

Also anmeldung von WAN/LAN zu trennen, das geht problemlos. Du verbietest alles, und erlaubst z.b. die 192.168.0.0/16
Bei meinen DS1010+ kann man sogar für jeden link (eth0/eth1) seine eigene regeln einstellen (z.b. WAN/LAN auf je ein kabel).

itari · 16. Nov 2010

Das geht aber nicht auf Benutzerebene. Es soll sich ja ein Benutzer per WAN anmelden dürfen, ein anderer Benutzer nicht.

Itari

Kauabunga · 16. Nov 2010

itari schrieb:
Das geht aber nicht auf Benutzerebene. Es soll sich ja ein Benutzer per WAN anmelden dürfen, ein anderer Benutzer nicht.

Itari

<--- So isses, das war mein Gedanke / Wunsch.

OpenVPN ist in der Hinsicht auch nur für mich persönlich eine Lösung. Wenn ich z.B. noch jemand reinlassen will, dann kann ich dem kein VPN zumuten.

(Heist nicht, dass ich mein openVPN von der Liste streiche

...aber erst wenn ich mehr zeit hab)

Es ging mir hier eher ums Prinzip. klar, kann ich auch meinem Mediacenter ein SuperKompliziertes Passwort geben, dann ist der Login sicher "sicherer" als mein persönlicher, mit dem ich mich einlogge. Dacht hat, wenn was nicht raus muss, dann brauchts auch nicht raus.