DSM 6.x und darunter Korrekte Einstellungen für die Firewall

[schoeli]

Einen weihnachtlichen Guten Morgen!

Kann mir jemand eine vernünftige Firewalleinstellung geben?

Ich möchte auf LAN 1 folgendes durchlassen:
1. Lokales Netzwerk (192.168.178.1 (Gateway))
2. Alles Zugriffe aus DEU
3. Rest verbieten

Wichtig: Ich möchte via OPENVPN (Server auf DS installiert) zugreifen...

Ein 2. Punkt:
Zur Sicherheit habe ich noch VPN auf der FritzBox eingerichtet (falls die DS mal nicht erreichbar sein sollte).
Die Verbindung klappt, allerdings habe ich danach auf das lokale Netzwerk (u. a. DS) keinen Zugriff.
Wie muss ich neben LAN1 noch die VPN in der Firewall einrichten?

Gruß
schoeli

 

[c0smo]

Gibt so viel zu diesem Thema hier im Forum, zb hier..

https://www.synology-forum.de/showt...llregeln/page4&p=795533&viewfull=1#post795533

 

[schoeli]

Hallo und vielen Dank.

Ich habe das jetzt mal so umgesetzt, wie in den einzelnen Threads beschrieben. Ergebnis: Ich bekomme zwar eine VPN-Verbindung hin, gleichwohl kann ich nicht auf das lokale Netz/die DS zugreifen.

Ich habe mal die Screenshots für LAN 1 und VPN in der FireWall mitgeschickt. Vielleicht habe ich da ja etwas übersehen....

Vielen Dank bis hierher...

 

[schoeli]

Ich konnte das Problem jetzt eingrenzen. Es liegt an der Einstellung in der Firewall beim VPN. Wenn ich bei den angegebenen Einstellungen "Wenn keine Regel zutrifft", "Zugriff erlauben" angebe, funktioniert es. Wo muss ich hier also bzgl. VPN ansetzen?

 

[NSFH]

Schalte die Firewall einfach aus, wenn du alles auf allen Ports durchlässt.
Der letzte Punkt ist das gleiche wie der unterste Eintrag im Fenster Wenn keine Regel zutrifft alles verweigern.
Hättest du den Link oben mal richtig verarbeitet würdest du nicht so seltsame Sachen in der Fw einstellen.
Lies dir mal in obigem Link #20 durch.
und dann
https://idomix.de/synology-diskstation-dsm-6-firewall-einrichten-und-https-erzwingen

 

[schoeli]

Warum gleich so bissig? Ich habe hier im Forum unterschiedliche Aussagen gefunden und versuche lediglich, das Prinzip der FW zu verstehen.
Was ich bislang verstanden habe ist, dass von oben nach unten angearbeitet wird. Ich habe derzeit lediglich alle Ports freigebenen um zu testen, ob es mit dem VPN-Zugriff klappt. Danach werde ich mur die benötigten Ports freigeben...

Ich hatte bei der Konfig folgendes im Sinn:

LAN 1:
1. Freigabe der Ports im LAN
2. Freigabe der Ports, wenn die Anfrage aus DEU kommt
3. Wenn keine Regel greift, blocken (kann ich ja offenbar auf Grund der abschließenden Regelung „wenn keine Regel...“ weglassen.

VPN:
dito
Nur kann ich hier nichauf das lokale Netz zugreifen....

Trotzdem Danke...

P. S. Vielleicht kannst du mir ja für beide Schnittstellen eine Beispielkonfiguration geben (Ports: VPN-Server, WebDav, VideoStation)

 

[c0smo]

Ich verwende zwar kein VPN aber rein von der Logik her würde ich erstmal alles in der LAN 1 Schnittstelle konfigurieren. Lass den VPN Reiter einfach mal leer. Die einzelnen Reiter dienen nur der otischen Trennung und sind nicht explizit dafür gedacht. Im Grunde könnte auch alles unter "Alle Schnittstellen" konfiguriert werden. Ausser du hast mehrere LAN Anschlüsse für unterschiedliche Netze.

1. Alle internen IP's inkl Subnetz erlauben
2. IP Range des VPN erlauben
3. Geo IP's erlauben

Dann den unteren Punkt "Wenn keine Regel.. dann verweigern"

Wenn das so funktioniert mach dich daran die Ports zu separieren und nur die Dienste die benötigt werden zu erlauben.

 

[schoeli]

Ich danke dir. Das Problem lag tatsächlich darin begründet, dass - nachdem die interne IP-Range festgelegt wurde, die Range für das VPN-Netz fehlte. Nun läuft alles.

 

[schoeli]

Eine Frage noch. Ich habe bei OPENVPN ein Problem: Nach dem Herstellen der Verbindung komme ich zwar ins LAN, allerdings klappt der Internetzugang nicht bzw. nur unglaublich langsam. Fehler in der Konfiguration?