Sehr sicherer Fernzugriff

Status
Für weitere Antworten geschlossen.

Skyfall

Benutzer
Mitglied seit
06. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Hallo

Ich bin neu hier. Wie kann ich eine (sehr) sichere Verbindung zur Diskstation aufbauen.

Gibt es eine Step by Step Anleitung.

Zur Zeit mache ich es über xx.myds.me und Fritzbox Portfreigabe.

Ich möchte jedoch das ganze professioneller mit VPN machen.

Zugriffe werden dann über iOS, Android und Win10 Geräte sein.Nur auf gewisse Datenlaufwerke.

Welche Tools sind da empfehlenswert für VPN und Filemanager möchte nicht unbedingt die von Synology verwenden.

Evtl. Cisco AnyConnect Mobile?
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Wenn du keinen Topspeed benötigst: VPN auf der Fritzbox einrichten, damit bist du dann beim Fernzugriff virtuell in deinem Heimnetzwerk und kannst zugreifen. Das VPN der FB bringt allerdings (je nach Modell) nur so knappe 10MB/s. Je nach Upload kann das oft reichen, weil die Leitung nicht mehr her gibt. Es kann pro FB-User zeitgleich nur ein VPN aufgemacht werden.

Soll es schneller werden, VPNServer auf der Syno einrichten, plus Portdurchleitung auf der FB. Es muss dort nur 1 Port freigegeben werden, wenn du OpenVPN nimmst. Für OpenVPN muß auf den mobilen Geräten allerdings eine App installiert werden. Nativ kann iOS (von Android habe ich keine Ahnung) IPSec generieren.

Aus meiner Sicht sicherer ist es, den VPN-Server auf einem eigenen Gerät einzurichten, z.B. einem Raspi.

Die Komfortvariante (auch bei den Kosten) sind Hardwarelösungen, wie sie z.B. gewerbliche Anwender oft einsetzen. Da bist du mit ein paar Hundertern dabei (je nach Ausbaustufe), bekommst dafür dann stabile VPN-Verbindungen (z.B. als festen Tunnel zwischen Niederlassungen) und gleichzeitigen Zugriff für viele Anwender.

Ich persönlich ziehe den Zugang über VPN den anderen Lösungen vor.
 

Skyfall

Benutzer
Mitglied seit
06. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Vielen Dank für die ausführlichen Infos.

Ich bin schon bereit Geld auszugeben. Die Komfortvariante sagt mir mehr zu.

Welche Komponenten sind dafür nötig? Bei OPEN VPN blicke ich nicht ganz durch. Wie sicher sind die Lösungen mit OPENVPN/Opensource Varianten?

Dieses Video habe ich bezüglich OpenVPN gefunden.
https://youtu.be/OYXv9tNeE10

Die Variante von Pulse Secure/Cisco anyConnect / Global VPN sieht sehr einfach aus.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
am Besten ist auch aus meiner Sicht der Vorschlag von Synchrotron: nimm entweder (wenn es auf Speed und Leistung nicht so sehr ankommt) die Funktion der Fritzbox. Geld gespart, nicht noch ein stromfressendes Gerät, einfach einzurichten, keine Zusatzsoftware auf den Clients nötig, viele Anleitungen im Netz und beim Hersteller.

Wenn du mehr Power benötigst und die Fritzbox entlasten willst, dann als erste Variante den bereits erwähnten RaspberryPi. Hier dann den VPN Server deiner Wahl (Open VPN ist sicher und bietet vielfältige Konfigurationsmöglichkeiten und ist variabel in der Portwahl) einrichten und in der FB eine PWL auf die FESTE IP deines Raspis anlegen. Vorteil: kostet wenig und du kannst diverse praktische andere Programme nutzen, etwa PiHole (mal googeln!).

Wenn du es noch besser brauchst, dann zu einem guten Router mit VPN Funktion und nach Möglichkeit Firewallfunktion schauen, da gibt es diverse: Mikrotik, Draytek, oder eben eine PFSense/OpenSense Variante. Das wäre dann die professionelle Lösung. ABER: das kostet sowohl ne ganze Stange Geld als auch Lernzeit. Und die Geräte bieten so viele Möglichkeiten, dass idR 80-90 Prozent nicht genutzt werden.

Ohne deinen aktuellen Wissensstand zu kennen: fang an mit Internetrecherche zum Thema VPN, Routing, VLAN. Dann lesen, dann verstehen, dann noch mehr lesen, dann richtig verstehen, dann kaufen.
Hier zum Einstieg:
https://administrator.de/wissen/preiswerte-vpn-fähige-firewall-eigenbau-fertiggerät-149915.html
https://administrator.de/wissen/ope...nfiguration-erstellung-zertifikate-73947.html

Viel Spass!
Grüßle
the other
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Bezüglich hardwarebasierter VPNs hier einen Link - andere Anbieter haben ähnliches im Angebot, ich kenne mich nur bei Zyxel besser aus:

https://www.zyxel.com/de/de/products_services/VPN-Firewall-ZyWALL-VPN300/

Die Geräte sind abgestuft nach Geschwindigkeit und Anzahl gleichzeitiger Zugriffe. Die Geschwindigkeit hängt mit der Hardware-Performance zusammen, mit der die VPN-Nachrichten ver- und entschlüsselt werden. Das bestimmt auch den Preis. Es macht keinen Sinn, dass das VPN schneller ist als die verfügbare Uploadgeschwindigkeit. Hat man z.B. 100 Down / 25 Up, wird das VPN eh nicht schneller als die „25 up“ ausliefern können.

Es wird direkt hinter dem Zugangspunkt für das Internet installiert. Normaler Verkehr wird von der Firewall erfasst, VPN-Verkehr über die integrierte VPN-Lösung geleitet. Nimmt man 2 davon, können z.B. 2 Standorte über eine feste VPN-Verbindung so miteinander verbunden werden, wie wenn sie sich in einem physischen Netzwerk befinden. Die beiden bauen zwischen sich einen festen VPN-Tunnel auf, der wie eine virtuelle Standleitung funktioniert. Ebenso können sich VPN-Clients auf PCs oder Mobilgeräten über das Internet sicher ins lokale Netzwerk einwählen.

OpenVPN ist ein Protokoll, das eben „Open“source und damit überprüfbar ist. Für Privatanwender kein Support, Unternehmen können bei der OpenVPN-Organisation kostenpflichtigen Support buchen. Im VPN-Server aus dem Paketzentrum der Syno ist OpenVPN eines der beiden verfügbaren Protokolle. Allgemein gilt es aktuell als das sicherste der frei verfügbaren VPN-Protokolle.

Wenn du dazu mehr wissen willst: Es gibt gute Videos von iDomix auf YT, der die Einrichtung und Nutzung erklärt. Nimmt man die Lösung auf der Syno (vielleicht auch, um es erst mal zu testen), wird auf der FB nur ein Port geöffnet und zur Syno (feste IP im Heimnetz vergeben !) durch geleitet. Dort sitzt dann der VPN-Server und lässt nur weiter, was sich korrekt anmeldet. Der Zugriff vom VPN aus kann auf die Syno beschränkt werden, oder auch die Durchleitung von dort ins gesamte Heimnetz umfassen.

Empfehlung: Teste erst mal z.B. OpenVPN auf der Syno, oder auch IPSec auf der Fritzbox (ist dort integriert), bevor du über eine Hardwarelösung nachdenkst. Ich habe die beiden ersten eingerichtet, und decke damit alles ab, was ich benötige. Worüber ich aktuell nachdenke, ist die Verlagerung des OpenVPN auf einen Raspi, um die VPN-Zugangsfunktion und den Server für die Daten auf 2 getrennten Geräten zu betreiben. Vorteil Raspi: Man kann neben VPN noch einiges anderes drauf packen, und die CPU-Leistung der Syno wird nicht geteilt.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ich kann dir für VPN nur wärmstens Router von Draytek empfehlen.
Zum ersten sind sie im Datendurchsatz bei VPN ziemlich performant, unterstützen alle Arten von VPN und du bekommst für alle Betriebssysteme auch einen kostenfreien VPN Client, mit dem du die Verbindung von aussen aufbauen kannst.
https://www.draytek.de/produktuebersicht.html
Schau dir die FAQs an, da steht unheimlich viel drin und der deutsche Sevice ist per Telefon erreichbar und kompetent!
Ausprobieren kannst du die Geräte auch über das Live-Web-Demo

Die Fritz ist einfach konfigurierbar, aber das VPN Protokoll vollkommen überaltert und die Performance, naja, halt sehr Mau, weil die CPU der Fritz mit VPN überfordert ist.
 

Skyfall

Benutzer
Mitglied seit
06. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Vielen Dank an alle für die Antworten.

Fritzbox VPN kommt nicht zur Auswahl. Brauche schon etwas mehr Performance. Zumindest für den NAS im Büro.

Aber rein Privat zum testen ist sicher okay.

PiHole + Rasberry kann ich sicherlich mal testen.

Was ist mit Ubiquiti USG oder USG-PRO-4 ?

Wegen Draytek muss ich schauen, ob es mit meinen Schweizer- ISP Kompatibel ist.
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.573
Punkte für Reaktionen
342
Punkte
103
Der VPN Server sollte deutlich getrennt vom beschütztem System laufen. Wenn es sehr sicher sein soll musst du tiefer in die Kiste greifen. 2-Faktor-Authentifizierung sowieso. Machine-id Verwaltung, etc pp.
Sicherheit ist immer relativ und immer ein Wettlauf mit den Angreifern.

Ich nutze privat ein Ubiquiti USG als VPN Server. Darauf läuft ein L2TP/IPsec VPN mit 1-2 Zugriffen aus der Ferne schnell genug. Die Klienten findet man schon in den üblichen Betriebssystemen (desktop, mobile).
Anleitung hier: https://youtu.be/-vbwEGBTlLQ

Achtung: Layer-2 Verbindungen werden gerne bei HotSpots und Gästenetzwerken ausgesperrt.
Da hilft dann nur was propriotäres das andere Protokolle vorgaukelt und verschlüsselt. Cisco, PulseSecure etc pp.. Die brauchen performante Hardware (auf beiden Seiten) und Lizenzkosten werden nach Anzahl gleichzeitiger Zugriffe berechnet.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Ubiqiti USG ist nicht schlecht, aber die VPN Performance immer noch nicht das gelbe vom Ei.
Die Aussage VPN läuft schnell genug bezieht sich worauf? Die Fritz kann auch schnell genug sein, fragt sich was man und welche Mengen man übertragen will.
Auch ein USG braucht wieder die unsägliche Kombi von Ubiqiti Server plus lokaler Software. Etwas was jedes andere Gerät durch seine GUI von alleine zur Verfügung stellt.

Die Drayteks kannst du mit und ohne Modem kaufen, von daher ist der Anschluss eines Routers kein Problem. Im Zweifelsfall direkt bei der deutschen Hotline nachfragen.
Durch die VPN Clients hast du auch kein Problem mit der Einrichtung der Verbindung, da es diese für alle Betriebssysteme und auch Android und Eifon gibt.
Falls du dazu noch einen VPN Provider wie NordVPN etc nutzen willst, die lassen sich auch im Router konfigurieren. Ich kenne bisher nicht einen Hersteller, der derart kostengünstige und gute Router vertreibt, wo auch eine laufende Firmwareaktualisierung stattfindet.
 
Zuletzt bearbeitet:

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.573
Punkte für Reaktionen
342
Punkte
103
Ubiqiti USG ist nicht schlecht, aber die VPN Performance immer noch nicht das gelbe vom Ei.
Die Aussage VPN läuft schnell genug bezieht sich worauf?
bei 1-2 VPN Zugriffen kann ich die CPU der USG an einem min. 200/200 Mbps WAN nicht auslasten.

Ubiquity Unifi ist managed wLAN. Jedes managed wLAN braucht einen Controller. Hier läuft der unifi-Controller im Docker auf der DS. Was daran unsäglich ist, ist mir nicht zugänglich. Immerhin kann ich so _alle_ Netzwerkkomponenten aus einer Oberfläche verwalten. Das ist eine komplett andere Denke als jeden SoHo Netzwerkkomponent einzeln anzusprechen. Für kleine Privatinstallationen vielleicht overkill und anfangs eine steile Lernkurve.
Das VPN läuft auch im conrollerfreiem fallback.

Drayteks VPN sind für kleinere Sachen, wo man kein managed wLAN will/braucht sicher gut. Draytek hat schon immer auf stabile VPN Server gesetzt.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Draytek funktioniert wie Ubiqiti, nur ohne USG! Alle Drayteks haben eine eigene GUI via HTTP und die zentrale Verwaltung, Steuerung und Update aller Komponenten läuft über den Router.
Sorry, aber du urteilst und schreibst über etwas was du nicht kennst.
Und was Docker angeht, ohne funktionieren einige Features gar nicht. Ist die Syno aus, was bei vielen Anwendern gar nicht unüblich, ist hast du also gar nichts. Von daher empfehle ich immer die 100€ für den Miniserver von Ubiqiti in jedem Fall einzuplanen. Wenn schon denn schon.

Übrigens, die USG kann maximal 51MBit/sec übertragen, wie du auf 200 kommst erschliesst sich mir nicht.
Um das nochmal klar zu stellen: Ubiqitis sind nicht schlecht, nur muss man wissen, das es ohne den Miniserver hinsichtlich Bedienung und Funktion kastrierte Geräte sind.
 
Zuletzt bearbeitet:

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
mal abgesehen, dass sicherlich jede_R hier seine eigene Favourite Firma hat (ich schließe mich selber auch mit ein) und jede Firma Vor- und Nachteile bietet zurück zur eigentlichen Frage, falls der TE noch mitlesen sollte:
ich persönlich nutze zum Fernzugriff aufs NAS folgende Kombi zur Absicherung...
1. FreeRADIUS zum Anmelden mit User/Password und 2FA (TOTP)
verbunden mit
2. openVPN Server (nicht auf dem NAS), dieser nur mit User/ Password UND Zertifikat

Sichert mir den Zugang doppelt gut ab: ohne FreeRADIUS kann sich keiner anmelden, Passwortklau alleine bringt nix, die 2FA Authentifizierung ist per Fingerprint / alternativ Yubikey geschützt. Erst nach erfolgter Anmeldung am RADIUS kommt Schritt 2. Auch hier bringt ein einfacher Passwort Diebstahl wenig, denn Zugang ist nur mit Zertifikat möglich, diese selber erstellt.
RADIUS und VPN laufen auf einer vorgeschalteten pfSENSE, die Regeln für das openVPN-Interface erlauben nur sehr begrenzten Zugriff aufs Heimnetz.

Läuft super. Klar, Anmelden funktioniert nicht mehr per One-Touch. Aber selbst wenn ich den mobilen Client verliere oder dieser geklaut wird...kein Zugriff auf mein openVPN möglich.

Grüßle
the other
 

Skyfall

Benutzer
Mitglied seit
06. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
So ich bin wieder zurück. Vielen herzlichen Dank nochmals.

Ich habe die letzten Tag VPN Server auf Syno installiert. Ich habe OPENVPN und L2TP auf diversen Geräten getestet.

OpenVPN ist von der Performance her etwas besser wie L2TP. Die bestellte Rasberry Pi 4 sollte auch in den nächsten Tagen kommen.

Werde dann auf Rasberry Open VPN und Pi Hole installieren und testen.

Als nächstes werde ich mal Draytek ausprobieren.

Soweit ist alles gut bezüglich VPN. Soll ich nun die Ports 5001, 8443, 5006 und 6690 deaktiveren, welche bis jetzt aktiv waren. Somit konnte mit Drive auf meine Daten zugreifen. Oder Scans direkt von Smartphone direkt auf Webdav laden.

Habe ich dann weiterhin zugriff auf die Daten, wenn ich die genannten Ports deaktiviere? Mit dem Smartphone / iPad verwende ich immer Synologie Drive und Dateinmanager App.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Grundsätzlich ist jeder offene Port ein Einfallstor. So lange dahinter robuste, fehlerfreie Programme arbeiten, ist es schwierig, mit bösen Absichten durch zu kommen. Aber ob ein Programm fehlerfrei ist, weiß man nie. Und heute fehlerfrei heißt nur, dass man die Schwachstellen noch nicht gefunden hat.

Daher wäre meine Empfehlung, wenn du nur selbst zugreifen willst (oder ein kleiner persönlich bekannter Personenkreis), die Ports bis auf den für VPN genutzten zu schließen, und alle externen Zugriffe über VPN abzuwickeln. Das heißt, man wählt sich zuerst ins VPN ein, und nutzt dann die genannten Dienste (und weitere), wie wenn man im Heimnetzwerk wäre.

Ein Angriff ist dann nicht über verschiedene Vektoren möglich, sondern nur noch über den VPN Zugang. Alles andere blockiert die Firewall.
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
903
Punkte für Reaktionen
64
Punkte
54
...Ein Angriff ist dann nicht über verschiedene Vektoren möglich, sondern nur noch über den VPN Zugang. Alles andere blockiert die Firewall.
Nur ein Loch in der FW reduziert alles auf die eine SW die sich an dem Port meldet. Aufpassen muss man mit der FW Konfiguration wie sich bei einer Celler Arztpraxis gezeigt hat. Die hat sich auf einen buggy t-online Router sowie auf einen unfaehigen IT Dienstleister verlassen der nicht geprueft hat welche Ports wirklich im Internet offen sind.
 

Skyfall

Benutzer
Mitglied seit
06. Dez 2019
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Ich habe jetzt mal alle Ports ausser von OpenVPN deaktiviert. Wie ich nun festgestellt habe, muss ab jetzt wenn ich auf meine Daten zugreifen möchte, zuerst VPN aktivieren und nachher die Lokale Feste IP des NAS eingeben und nicht mehr xxxx.myds.me :)

Was ist der Unterschied zwischen Open VPN und die anderen VPN's (Cisco anyMobile, GlobalVPN oder NordVPN)

Auf die Apps wie Drive, Moments etc. muss ich die IP Nr. und nicht die myds.me eingeben.
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Dein VPN stellt eine sichere Verbindung zwischen Dir > Internet > LAN her. Daher musst du den Server oder Drucker immer so ansprechen als wärst du zu Hause.
NordVPN etc verschleiern die IP deines Internetzuganges wenn du surfst. Das ist mehr ein Schutz deiner Privatsphäre.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat