Toggle sidebar

AVM Fritz!Box Meine DS sicherer machen

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Hobbit.2

Hobbit.2

Benutzer
Registriert
19. Juni 2020
Beiträge
6
Reaktionspunkte
1
Punkte
9
Hallo!
Habe kürzlich eine neue FritzBox angeschaft die Wireguard VPN unterstützt.
Im Forum hier habe ich viele Beiträge gefunden die alle sagen dass VPN in der FB wohl der einfachste und sicherste Zugang zur DS von unterwegs ist.
Die Wireguard Installationsvideos in YouTube ermutigen mich, dass ich das auch hinkriegen kann.

Mein Dilemma: Ich habe nur ein sehr grobes Verständnis von dem ganzen Port Kram.
Auf meiner FB finde ich eine Liste von 5 geöffneten Ports von meiner Diskstation in Richtung Internet.
Ich benutze einige Synology Apps am iPhone (DS File, Photos Mobile, DS Cam) und habe wohl irgendwann mal irgendwo bestätigt dass Ports freigeschaltet werden dürfen.

Meine drei Fragen:
(1) Wenn ich die Wireguard VPN Verbindung am Handy starte, funktionieren dann meine Syno Apps auch ohne geöffnete Ports?

(2) Wo muss ich zum Schließen der Ports Änderungen vornehmen (auf FB? in der DS? in den iPhone Apps?)

(3) Und zum Schluss: Ist meine DS dann wirklich besser geschützt als Heute?
 
1) Ja, du kannst dann alle Ports schließen. Es ist dann so, als ob du in deinem Netzwerk intern unterwegs wärst.
2) In der Fritzbox alle Ports löschen und am Besten direkt deaktivieren, dass Geräte selber Ports öffnen können.
3) Ja, weil sie ist dann nciht mehr übers Internet erreichbar.
 
  1. Bei IOS sogar automatisch und in der App einstellbar. Sobald du das WLAN verlässt, aktiviert sich WireGuard. Bei Android über extra Software wie Tasker und Derivaten (habe ich schon gepostet im Baikal-Docker-Thread)
  2. Standardmäßig sind keine Ports geöffnet. Wenn du die schließen musst, hast du diese vorher auch selbst geöffnet.
  3. Das kann man so nicht genau sagen, weil ein Angriff meist auf ein schwaches Gerät zielt. Das kann auch gerne ein China-IoT Smart Home Dings sein. Dann würde ein Angriff von intern kommen. Auch mit einer Portfreigabe kann man sich gut absichern, aber auch viel falsch machen. Das wurde aber schon mehrmals, fast täglich hier diskutiert.
Ich deaktiviere UPnP und die TR-Protokolle in der Fritz!Box ebenfalls. Auch bei MyFritz bin ich skeptisch und setze lieber auf einen anderen Anbieter.
 
  • Like
Reaktionen: *kw*
Danke für Eure Tipps.
Dann traue ich mich mal.
Um die China IoT Dinger kümmere ich mich später.
;)
 
  • Like
Reaktionen: ctrlaltdelete
Hat geklappt. WireGuard Zugang läuft.
@EDvonSchleck
Die WG App Funktion „Aktivierung auf Wunsch“, wenn ich WLAN verlasse
funktioniert am iPhone suboptimal. Schon nach einem Tag steht die App in der Hitliste
des Batterieverbrauchs ganz oben. Habe ich wieder deaktiviert und mache das wieder manuell.
 
Das ist völlig normal, weil du dich im Zweifelsfalle mit dieser Einstellung ja ständig über das Mobilfunknetz mit VPN verbindest. Das ist zum Beispiel etwas, was ich nicht ständig brauche und deswegen deaktiviert habe. Nur in fremden WLANsverbinde ich mich automatisch mit meiner FRITZ!Box zu Hause.

Jede App, die dauerhaft im Hintergrund arbeitet, verbraucht Kapazität aus deiner Batterie, das ist bei Instagram nicht anders als bei WireGuard. 😉
 
Ich habe (auf Android) per wireguard-App eine permanente VPN-Verbindung nach Hause (zum RPi mit pihole) und die Akkubeanspruchung liegt bei 4%. Dafür ist am Handy WLAN aus, sobald ich mein Heimnetz verlasse, Bluetooth nur im Auto an und das spart wohl mehr Akku als WG verbraucht.
 
EDvonSchleck schrieb:
Schau einmal Automate an
Zum Vergrößern anklicken....
Danke, hatte ich schon probiert. Gefällt mir. Da ich aber WLAN nur noch in der DMZ habe, läuft WG auch zu Hause permanent, um pihole (Raspi ist im LAN) als DNS nutzen zu können. Der Verbrauch ist vernachlässigbar.
 
WLAN nur noch in der DMZ? Dann aber mit WireGuard aufs LAN zugreifen? Wär das da nicht sinnvoller, zwei SSIDs aufzuspannen? Ein WLAN im DMZ und eins im LAN. Ein Admin-WLAN sozusagen.
EDIT: Macht natürlich in Gegenden Sinn, wo man Angst hat, jemand könnte sich ins WLAN "hacken". Da helfen aber auch starke Passwörter und interne Firewalls an den Geräten (v.a. Servern).
 
Zuletzt bearbeitet:
plang.pl schrieb:
WLAN nur noch in der DMZ
Zum Vergrößern anklicken....
Hat sich so ergeben. Hatte ein paar WLAN-Steckdosen (von myStrom) im LAN, die ich inzwischen durch ZigBee-Switches ersetzt und in Home Assistant und z2m eingebunden habe. WLAN im Heimnetz brauche ich jetzt da nicht mehr.
Warum fändest du ein Admin-WLAN sinnvoller als die vpn-Lösung, die den Vorteil hat, von überall zu funktionieren?
 
Weiß nicht. Ich lege Wert auf Einfachheit. Ein "Gast-WLAN" mit mehreren Clients, die via WireGuard aufs LAN zugreifen, verursachen routingtechnisch wahrscheinlich mehr Overhead als ein Admin-WLAN. Und die Latenz ist geringer.
Wenn du aber eh nur Clients hast, bei denen sowieso WireGuard eingerichtet ist, mag das für dich anders aussehen. Bei mir ist das nicht der Fall. Ich müsste das auf vielen Geräten nachinstallieren.
 
plang.pl schrieb:
auf vielen Geräten nachinstallieren.
Zum Vergrößern anklicken....
Tatsächlich sind es nur zwei Handys und ein Laptop. Das ist überschaubar. PC, DS und Raspis haben Ethernet. Meine Frau appelt und googled wild herum, die darf nicht in mein Netz 😂 Deshalb WLAN in der DMZ.
 
Bei mir wäre halt auch das Problem, dass wir vom TV mittels DLNA von der DS streamen. Und von einem weiteren TV mittels DSVideo. Und meine Schwester greift mit dem iPad via DS File auf ihre Daten zu. Der aber einen VPN Zugang zu geben, werde ich tunlichst unterlassen :D
 
  • Like
Reaktionen: Gulliver
TV ist bisher aussen vor. Über das Streamen werd' ich mir noch Gedanken machen müssen... Komme dann sicher mit 'nem eigenen thread raus. 😏
 
Alles klar. Dann sieht man sich da wahrscheinlich erneut :)
Ich habe das mit mittels Firewall auf der DS so eingestellt, dass nur gewisse Geräte auf SMB, die Web UI und weitere Dienste zugreifen dürfen. Lediglich DLNA und die VideoStation sind für das gesamte Netz erreichbar
 
  • Like
Reaktionen: Gulliver
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten