VPN Verbindung via SSH / Port 443

[Misterbf]

Moin moin,

Also Ich hoffe ich bin hier soweit richtig mit der Eingruppierung.

Ich besitze eine DS211 die innerhalb eines Privaten Netwerk als Fileserver fungiert ( noch ). und dann als Fenster zur Internetwelt einen Speedport w503v des grossen T Konzerns.

Jetzt würde ich gerne von ausserhalb Zugriff auf meine DS nehmen bzw mich in das Netzwerk einklinken als ob ich "vor Ort" wäre.
Als Lösung fiel mir das "VPN-Center" ins Auge, aber falls andere Lösungen besser sind bin ich offen für Vorschläge.

Jetzt bin ich in der Situation das ich zeitweise an Orten bin wo ich einmal nicht möchte das meine Daten unverschlüsselt durch andere Netzwerke flöten, und zum anderen hinter einem Proxy sitze ( mit meinerm eignen Macbook ) und nicht alle Ports nutzen kann.

Jetzt meine Frage welche möglichkeiten habe ich mit der DS ein VPN über den Port 443 aufzubauen. oder im allgm. welche möglichkeiten ich habe.

Grüsse Misterbf

 

[ubuntulinux]

Hi und willkommen im Forum

Ich würde OpenVPN selber installieren (Anleitung im Wiki). Du kannst VPN problemlos auf Port 443 (auch neben SSL) laufen lassen.

 

[Misterbf]

Hey,

Ich schau mal nach hört sich aber ganz intressant an.

vielen Dank schon mal

Grüsse

 

[Misterbf]

Uih nenn mich mausschubser, aber das sieht mir weniger komfortabel aus

gibt es keine lösung die etwas weniger Konsolenlastig ist, habe auch ein bisl angst mir da was zu zerschiessen :-$


Grüsse

 

[ubuntulinux]

Ist aber sicherer. Mit dem Syno Package kannst Du soweit ich weiss nicht auf dein LAN zugreifen (bitte korrigieren wenn ich falsch liege). Kaputt machen kannst Du fast nichts Bei mir hatte ichs in 20min drauf

 

[Misterbf]

ok aber dann ist das VPN center doch sinnlos oder ? also ohne zugriff auf lokale netzwerk.

Muss ich denn einfach nur die einzelnen schritte genauso eintippen wie die da stehen ?
mal angesehen von der config datei das ist klar.

und dieses ikpg ist das die konsole in der DS ?

oder muss ich das auch nach installieren ?

 

[amarthius]

Mit dem Syno-Package kannst du auf deine DS zugreifen, nicht aber auf dein weiteres Netwerk (PC, Drucker, Router, etc.).
Wird hoffentlich mit dem nächsten Update geändert.

IPKG ist eine Art Softwareverzeichnis (neudeutsch AppStore). Diesen bedienst du mittels Kommandozeile. Eine Anleitung findest du im Wiki.

 

[goetz]

Hallo,

Ist aber sicherer.
...
Bei mir hatte ichs in 20min drauf

warum soll das sicherer sein? Wenn jemand nur stur abtippt ohne zu wissen was man eigentlich macht, finde ich das wesentlich unsicherer.
Wenn ich mal erinnern darf, Dein erster Versuch hat 2 Tage gedauert.

ok aber dann ist das VPN center doch sinnlos oder ?

Du hast so vollen Zugriff auf Deine DS per gesichertem VPN.

Mit dem Syno-Package kannst du auf deine DS zugreifen, nicht aber auf dein weiteres Netwerk (PC, Drucker, Router, etc.).
Wird hoffentlich mit dem nächsten Update geändert.

Zum Zugriff auf das gesamte Netz: es muß eine statische Route gesetzt werden, egal ob VPN Center oder Eigeninstallation. Am einfachsten wenn der Router statische Routen zuläßt, ansonsten jeweils am lokalen Netzwerkteilnehmer. Von allein wird auch das VPN Center das nicht können (Ausnahmen wären Router die per EZ-Internet konfiguriert werden können).

Gruß Götz

 

[ubuntulinux]

@goetz: Sicherer aufgrund von Zertifikaten; die können nicht per Brute-Force (wie bei Kennwort) gehackt werden.

Ja, meine (ersten) versuche gingen schon etwas länger, allerdings gabs da irgendwelche Anleitungen wo sachen unklar bzw veraltet waren

 

[oliv3r]

Mit dem Syno-Package kannst du auf deine DS zugreifen, nicht aber auf dein weiteres Netwerk (PC, Drucker, Router, etc.).
Wird hoffentlich mit dem nächsten Update geändert.

Servus an alle!
Dem muss ich widersprechen. In meiner Umgebung funktioniert das tadellos. Mit dem VPN-Center (Paket 1.0.1742) habe ich Zugriff auf die DS selbst und kann den Router als auch alle anderen sich im NW befindlichen Geräte ansprechen und mich einloggen.
Gruß, Oliver

 

[Herbert_Testmann]

Da war schon jemand schneller, aber ich möchte trotzdem noch mal bestätigen, dass man sich im eigenen Netz bewegen kann, als ob man über Wlan vor Ort eingelockt ist. Ich bekommen eine IP aus dem Heimnetz und "Ich bin drin"

 

[ubuntulinux]

Wirklich eine IP aus dem Homenet? Was sagt ein Traceroute?

 

[Herbert_Testmann]

Ok , noch mal genau geschaut.
Ich bekomme eine IP aus einem privaten Netz, das ich bei der Einrichtung von PPTP auf der DS angegeben habe. Dieses Netz entspricht nicht dem privaten Netz, in dem die anderen PCs / Geräte sind. Ich kann mich aber auf alle Rechner im Netz verbinden und ich kann auch auf das Ineternet zugreifen. Alles über das VPN. Da findet also ein Routing statt. Eingestellt habe ich dafür nix.
Ich bin nicht in der Lage auf dem iPad ein tracert zu machen.

 

[oliv3r]

Wirklich eine IP aus dem Homenet? Was sagt ein Traceroute?

Gruß, Oliver

 

[Misterbf]

OK also scheint es ja mit dem VPN Center doch zu klappen,

Aber welche port muss ich denn an die DS weiterleiten um das VPN zu etablieren ?


Grüsse

 

[oliv3r]

Wie in der Anleitung beschrieben



Gruß, Oliver

 

[Misterbf]

Also um zur Lösung meines Problems zu kommen könnte ich mit einem Programm wie Tunnelblick via openvpn
einen tunnel zu meinem Router auf Port 443 etablieren
Der Router würde dann den Port umleiten auf 1194 UDP zur DS und dann über VPN Center ins Heimnetz.


Oder sehe ich da was Falsch ??

 

[Misterbf]

Moin an alle

Also ich habe das jetzt wie oben beschrieben mit dem VPN center gemacht und eine Konfig exportiert. Danach auf Mac das mit tunnelblick importiert und den Port auf 443 geändert und auf auf de mrouter bei ankunft den port 443 auf 1194 umgeleitet. leider meldet der client probleme beim Handshakehier mal ein bild. kann mir da jemand was zu sagen ?

 

[jahlives]

@goetz
sicherer ist das Ganze weil einerseits zur Auth ein Client Zertifikat verwendet wird. Klar ist theortisch möglich das zu brute-forcen, aber in etwa gleich wahrscheinlich wie dass es einen Tsunami gibt wenn du ins Meer springst. Zusätzlich gibt es dann auch die Möglichkeit einen statischen Schlüssel zu verwenden. Ueber diesen muss der Client verfügen für die erste Verbindungsaufnahme. Hat er den Schlüssel nicht bringen auch alle gültigen Clientscerts nichts. Die UDP Pakete werden wegen falscher Signatur sehr viel früher verworfen als ohne statischen Key. Gemäss Manual macht das Portsscanns und D(DOS) Attacken unmöglich und schützt zudem die TLS/SSL Implementation (bei der DS openssl) z.B. vor "drive-by-hacking" (http://openvpn.net/index.php/open-source/documentation/howto.html#security)
Alles in allem ist es definitiv sicherer das ganze mit Certs zu machen, warum das Syno ned gemacht hat ist mir ein Rätsel. Der statische Key muss ned sein, erhöht die Sicherheit aber nochmals beträchtlich

 

[juwi]

Mit dem Syno-Package kannst du auf deine DS zugreifen, nicht aber auf dein weiteres Netwerk (PC, Drucker, Router, etc.).
Wird hoffentlich mit dem nächsten Update geändert.

Wie meinst du das? Ich kann sowohl via OpenVPN als auch MS VPN auf alle Geräte via DS 210 im Firmennetzwerk zugreifen.

Edit: Oh da war ich wohl zu langsam. ;D