Verzeichnisse auf DS über VPN für externe User als Netzlaufwerk einbinden

[Cambridge1]

Liebes Forum,

seit geraumer Zeit suche ich Lösungen für folgende Problemstellung:

Ich würde zwei externen Usern (meinem Vater und meinem Bruder) über das Internet gerne Verzeichnisse auf einer DS216j freigegeben, die bei mir hinter einer Fritzbox im LAN hängt (IP Adressbereich 192.168.178.0). Die DS soll zum einen als Familien-Austauschlaufwerk dienen, zum anderen soll jeder der beiden Zugriff auf ein privates Verzeichnis erhalten, um dort Backups persönlicher Daten anlegen zu können. Die Verzeichnisse sollen idealerweise bei den Usern als Netzlaufwerke in Win10 eingebunden werden.

Die DS ist bereits über einen dyndns Dienst von außen erreichbar. Der Internetanschluss, hinter dem die DS216j hängt, ist ipv4 based.

Auf meiner Suche habe ich bislang folgende Lösungen ausprobiert:

WebDAV Freigabe über HTTPS und Let's encypt Zertifikat

Das hat gut funktioniert, bis auf die extrem störende Tatsache, dass es beim Upload eine Begrenzung der max. Dateigröße gibt. Das ist für mich ein KO Kriterium und ich konnte das Problem nicht lösen.​

Freigabe über Cloud Station Server

Sicher nicht elegant, weil ein zusätzliches Programm notwendig und ein Einbinden als Netzlaufwerk nicht möglich. Aber leider hat diese vermeintlich einfache Lösung ebenfalls nicht funktioniert. Denn: sobald der Server auf der DS läuft, springt die Volume Auslastung auf 100% und das System wird unbrauchbar. Dazu findet man hier im Forum einige Einträge, aber leider keine Lösung die bei mir funktioniert hätte.​

Genug der Hinleitung: Bevor ich als weitere Rückfalllösung auf Drive Server zurückgreife, dachte ich mir, probiere ich es lieber zuerst mit der Königsdisziplin: Dem Zugriff über ein VPN. Ich nutze eine FritzBox, will aber nicht mein gesamtes LAN mit meiner Familie teilen sondern nur freigegebene Verzeichnisse auf einer DS. Daher muss der VPN Server in meinem Verständnis direkt auf der DS216j laufen und die VPN-Funktion der FritzBox kann nicht zum Einsatz kommen. Für diesen Fall gibt es ja das hilfreiche Video von idomix.

Nach der dort beschriebenen Vorgehensweise habe ich einen VPN Server auf der DS eingerichtet. Ein Verbindungsaufbau zum VPN-Server über einen Laptop von extern (Mobilfunknetz über Handy-WLAN-Hotspot, IP-Adressbereich 192.168.48.0) ist möglich. Windows meldet "verbunden" und der Zugriff auf die DS per Webinterface ist möglich. Die DS App VPN Server meldet "1 User verbunden".

Allerdings habe ich von diesem über VPN eingewählten Laptop aus bislang weder Zugriff auf das Internet noch Zugriff auf die im LAN freigegebenen Laufwerke. Ein Ping zur FritzBox geht ebenfalls nicht durch. Hier im VPN Unterforum hat ein User ja ein ganz ähnliches Problem. Ich verfolge den Thread aufmerksam und hoffe, dass ich dafür auch bald die Lösung finde.

Bevor ich weiter Zeit investiere um dieses Problem zu lösen, würde ich gerne eine andere Sache geklärt wissen: Wie kann ich den Windows-Clients (Rechner meines Vaters bzw. meines Bruders) beibringen, dass sie nur für den Zugriff auf die freigegebenen Laufwerke auf den VPN Tunnel zurückgreifen - und nicht für alle Internet Anfragen? Die VPN Unser sollten darüber hinaus nur auf die für sie in der DS freigegebenen Netzwerk-Ressourcen zugreifen können, alle anderen Datei- und Druckerfreigaben bei mir im Netz sollten für sie idealerweise unzugänglich bleiben.

Daher abschließend die Frage an euch: Ist das überhaupt möglich? Würdet ihr für die eingehend beschriebene Wunschkonfiguration auch auf eine VPN Lösung zurückgreifen? Sollte ich es doch mit Drive Server probieren? Gibt es vielleicht bessere Ideen?

Besten Dank und viele Grüße
Johannes

 

[NSFH]

1. VPN Zugang über dfie Fritzbox einrichten (wenn 2 Fritz verwendet werden dann die site-2-site Lösung von AVM verwenden)
2. die entfernten Clients so an die Syno anbinden als wären sie in deinem lokalen LAN.
Wenn du in der Syno die Rechte für die externen Nutzer richtig eingestellt hast sehen sie dort auch nur das was sie sollen.

 

[Cambridge1]

Hallo NFSH,

vielen Dank für deine Antwort und ein frohes neues Jahr!
Das ist sicher auch eine gute Idee, vielen Dank. Client-Seitig stehen leider keine FritzBoxen zur Verfügung. Wie bringe ich den Clients (beide Windows 10) bei, dass sie ihr LAN über den VPN Tunnel erweitern, Internet und andere Dienste aber nicht darüber laufen?

Vielen Dank und viele Grüße!

 

[NSFH]

Die saubere Lösung ist immer ein eigener VPN-Server oder ein VPN-Router. Das kostet natürlich einige 100er.
Die "unsaubere" Lösung ist die Syno als VPN-Server laufen zu lassen. (Unsauber, weil du Ports wie bei WebDav direkt an der Router Firewall vorbei zur Syno umleiten musst). Wenn es das werden soll würde ich dies mit OpenVPN realisieren. Dazu findest du hier schon einige Anleitungen und auch bei Synology direkt.
Die einfachste Lösung ist WebDav aber die Dateigrösse bleibt da ein limitierender Faktor. dafür gibt es keine Lösung!
Die Alternative ist Drive. Das funktioniert wirklich gut, kann dir aber nicht sagen wie gut bei grossen Dateien, da Drive nur häppchenweise synchronisiert, ist also nicht schnell.

 

[Donald]

Ich nutze für den Tunnel zwischen zwei Netzen jeweils einen Raspberry Pi (4) mit OpenVPN. Im Rahmen des PiVPN Projekts finden sich einfache Tutorials dazu im Netz. Ein RPi dient als Server, der andere ist Client. Die RPi hängen jeweils am Switch/Router und bieten den Zugriff auf die freigegebenen Ordner der Synos. Einstieg über https://pivpn.dev/
Zumindest bis zu einem Upload/Download von 50 Mbit/s reicht die Power der RPi aus. Was darüber hinaus möglich ist, kann ich nicht testen. Vielleicht eine Alternative ?

 

[Cambridge1]

Vielen Dank, Dobald. Und ein frohes neues Jahr!
Das ist eine tolle Lösung, aufgrund der Kosten (?3*50€) würde ich sie aber hinten anstellen.

Vielleicht habe ich auch ein Verständnisproblem, aber die Frage, die sich für mich als zentral herauskristallisiert hat, stelle ich mir noch immer: Wie bringe ich den Clients bei bestehender VPN Verbindung zu meinem Netzwerk (egal ob über einen Server auf der DS oder auf der FritzBox) bei, nicht über mein Netzwerk auf das Internet zuzugreifen?

Danke und viele Grüße!

 

[servilianus]

Das lässt sich normalerweise im VPN-Client Programm einstellen. Beispiel Mac: Der bringt ja schon von Hause aus ein VPN Programm mit. Unter erweiterte Optionen - „gesamten Netzerkverkehr über VPN“ - wenn angehakt, dann läuft zb. auch surfen über die VPN. Nirmalerweise ist diese Option in den VPN Programmen aber eben nicht angehakt. Das kannst Du alles ganz leicht testen, wenn Du bei bestehender VPN mal eine Seite wie wie wieistmeineip.de aufrufst - spuckt die Seite Dir Deine öffentlich IP aus - und nicht die der Gegenstelle - ist alles in Ordnung.

 

[Donald]

Wenn ich den Themenersteller richtig verstanden Habe, möchte er zwei lokale Netzwerke permanent zusammenführen und in seinem Netzwerk einige Shares für den entfernten User freigeben. Genauso ist es bei mir. Im fremden Netz kann ich mich nur auf die freigegeben Shares verbinden. Z.B. über den Finder oder über eine Videoplayer-APP vom SmartTV. Im jeweils eignen Netz muss man natürlich eine funktionierende Userverwaltung haben, wenn man verhindern will, dass auf alle Ressourcen zugegriffen werden kann. Oder man richtet eine IP-Table ein, die nur die Syno freigibt. Ins Internet kommt man m.W. nicht, da der Router nur Anfragen aus dem eigenen IP-Bereich annimmt und durchreicht. Die allermeisten Anleitungen im Internet beziehen sich darauf, entweder von einem mobilen Device sicher ins heimische Netzt zu kommen oder über den VPN-Anbieter anonym ins Netz zu kommen. Für die VPN-Anwendung Server-Client per RPi haben viele noch RPi rumliegen, das reduziert dann die Kosten. Es reicht auch ein älterer RPi, allerdings muss man dann wegen der rechenaufwendigen Verschlüsselung im Tunnel mit etwas weniger Performance rechnen. Die RPi Lösung hat für alle Beteiligten den Vorteil, dass man nur einmal einrichtet und ins Netz hängt. Damit hat man eine permanente und wartungsfreie Lösung.

 

[NSFH]

man kommt auch über den entfernten VPN Router ins Internet, ist eine reine Einstellungssache.
So nutze ich zB mein VPN aus dem Ausland, mittels VPN in mein heimisches LAN und dann raus in Web.

 

[Donald]

Aber genau das will der TE ja nicht ! Mit der richtigen Einstellung gehts eben nicht ins Web. Ist also eine Einstellungssache.

 

[ottosykora]

>WebDAV Freigabe über HTTPS und Let's encypt Zertifikat
Das hat gut funktioniert, bis auf die extrem störende Tatsache, dass es beim Upload eine Begrenzung der max. Dateigröße gibt. Das ist für mich ein KO Kriterium und ich konnte das Problem nicht lösen.<

hast du aber das hier schon probiert:
https://docs.druva.com/Knowledge_Ba...fails_with_file_size_exceeds__the_limit_error

 

[TeXniXo]

Nun ja, 4 GB sind auch nicht so dolle, aber für Office-Anwender sicher mehr als ausreichend.

Ansonsten eben wie NFSH erwähnt -> VPN und gut ist.

 

[the other]

Moinsen,
du möchtest doch nur den beiden Verwandten den VPN Zugang zu deinem Netz, speziell deinem NAS ermöglichen, oder? Dann sollte doch ein Raspi genügen, die Clients (PCs, mobile Clients) können sich doch auch manuell (wenige KLicks, Verbindung steht) auf deinen VPN-Server einwählen, du brauchst also nur 1 x 35 Euro ausgeben, da dann openVPN-Server und PiHole drauf, für alle Clients konfigurieren, hinter die Fritzbox klemmen, PWL auf den openVPN Server einrichten und gut. Hätte den Vorteil, dass du den VPN Server nicht über dein NAS laufen musst und bietet mehr Performance und Sicherheit.
Und die 35 Euro sind es wert, denn dann hast du zusätzlich dank PiHole auch werbefreies Internet von deiner Seite aus plus viel weitere Möglichkeiten...Und dein Dad und Bruder wählen sich direkt auf den VPN Server auf dem Raspi, wenn sie die Verbindung zum Datenaustausch benötigen.
Nur wenn du eine ständige Verbindung haben willst, wären zwei zusätzliche Raspis nötig...braucht es sonst aber nicht.
So als Idee...
Grüßle
the other

 

[Donald]

Ganz genau. PiHole und PiVPN auf den RPi . Hier wäre ein prima Einstieg für beides : https://www.kuketz-blog.de/pivpn-raspberry-pi-mit-openvpn-raspberry-pi-teil3/

 

[Cambridge1]

Hallo Männer,

vielen Dank euch beiden schon mal! Das ist natürlich völlig richtig, ein RPi würde reichen. Ich hätte eben gerne eine Lösung mit Hausmitteln, ohne zusätzliche SW. Ich ziehe die Lösung über ein Rpi aber trotzdem in Betracht. Zwischenfrage: Warum gilt es denn allgemein als sicherheitskritisch, wenn der VPN Server direkt auf einer DS läuft und eine entsprechende Portweiterleitung aktiv ist? Es handelt sich ja nur um die für VPN notwendigen Ports?

Vorerst würde ich das Setup mit dem VPN auf der DS gerne mit der Familie testen, und bin auch einen Schritt weiter: Die VPN Verbindung zu einem per Mobilfunk-Netz (über Handy-Hotspot) ins Internet eingewählten Computer steht. Ich kann, wie von euch einegends beschrieben, auf alle LAN-Freigaben zugreifen. So soll das sein. Allerdings habe ich jetzt folgendes Problem:

Da ich Internetanfragen nicht über den VPN-Tunnel schicken will (das würde meine Familie ebenfalls nicht tun), habe ich den Haken "Standardgateway für das Remotenetzwerk verwenden" in den Win 10 Client Adaptereinstellungen unter Eigenschaften VPN / Eigenschaften TCP/IPv4 / Erweiterte Einstellungen TCP/IP deaktiviert. Sobald der Haken entfernt wird, funktioniert zwar der Internetzugriff über das lokale Netz, gleichzeitig verliere ich aber den Zugriff auf alle Geräte hinter dem VPN Tunnel.

Die bei Synology beschriebene Vorgehensweise zur Editierung der Routingtabelle habe ich befolgt. Wobei ich an einer Stelle unsicher bin. Es heißt unter 5.:

Alternativ können Sie "Standard-Gateway auf Remote-Netzwerk verwenden" deaktivieren. Dann müssen Sie jedoch die IP-Adresse des VPN-Servers als die statische Route zum Remote-Gateway einrichten. Nach Übernahme dieser Einstellung sollte sowohl Ihre VPN-Verbindung als auch die Internetverbindung aktiv sein.

Ist das mit dem Eintrag > route add 192.168.1.X/24 10.0.0.1 (IP Adressen entsprechend meiner Vorgaben) geschehen? Warum sollte ich auf die mir vom VPN-Server zugeteilte IP (10.0.0.1) zielen, und nicht auf die 10.0.0.0? Mir scheint, als wüsste mein Windows nach der Deaktivierung des Hakens generell nicht mehr, dass es das LAN über den VPN-Tunnel erweitern soll.

Nochmal vielen Dank und viele Grüße!

 

[Cambridge1]

hast du aber das hier schon probiert:
https://docs.druva.com/Knowledge_Ba...fails_with_file_size_exceeds__the_limit_error

Dank dir. Das hatte ich gleich zu Beginn probiert.

Zum zuletzt beschriebenen VPN-Problem:
Ich habe die Routingtabellen verglichen in den Zuständen "LAN Zugriff per VPN möglich / www geht nicht (Haken gesetzt)" und "LAN Zugriff per VPN nicht möglich / www geht (Haken nicht gesetzt).

LAN Zugriff per VPN möglich / www lokal geht nicht (Haken gesetzt):


LAN Zugriff per VPN nicht möglich / www lokal geht (Haken nicht gesetzt):


Der entscheidende Unterschied wird in den jeweils ersten drei Einträgen verborgen sein. Bislang konnte aber daraus noch keine Routingtabelle erstellen, die mir sowohl Zugriff auf das remote LAN als auch Zugriff auf das lokale Internet erlaubt. Habt ihr dazu noch eine Idee?

 

[the other]

Moinsen,
zu deinen drei Fragen:
es ist aus Sicht der IT-Sicherheit nicht klug, ein Zugangstor von Außen auf deine (privaten) privaten Dateien und Backups (?) zu öffnen. Nie! Damit machst du ein Loch in die schwache NAT-basierte Sicherheitsfunktion deiner Fritzbox. Dieses Loch öffnet per PWL einen Eingang auf einen Dienst auf dem selben Gerät, direkt zugänglich bzw. per Port Scan für Kiddies zu sehen. Dann können sich die an deinen Sicherheitsniveau abarbeiten. Je nach deinen Sicherheitsstandards und der Verwundbarkeit der eingesetzten Software und Firmware und den darin enthaltenen Bugs KANN das dann kritisch werden. Daher best practice: Geräte, die von außerhalb erreicht werden, also VPN-Server, in die Peripherie deiner Netzwerktopologie zu stellen, getrennt von Dateiservern oder PCs.
Klar, kommt aus dem professionellem Bereich. Andererseits gibt es ja nicht von ungefähr das Heer von schlecht konfigurierten Geräten (IoT, veraltete PCs, NAS), welche gekapert und zu Spam-Schleudern, BitCoinSchürfern oder koordinierten DOS Angriffen missbraucht werden.
Am Ende wie immer die Frage: was ist dir dein Datenschatz wert, ab wann beginnt Paranoia, Verhältnis zwischen Usability und Security...

AFAIK "zielst" du auf deine dem Client zugeteilte IP im Tunnelnetzwerk des VPN, weil das ja der Adapter deines Clients ist, dem du den Zugriff auf das Netzwerk hinter dem Tunnel (im Beispiel die 192.168.1.X) erlaubst.

Hab irgendwie überlesen, welches VPN du versuchst aufzubauen...sag da noch mal was zu.
Hast du dich auch wirklich Punkt für Punkt an die Anleitungen von Synology gehalten?
Server:
https://www.synology.com/de-de/knowledgebase/DSM/help/VPNCenter/vpn_setup

Clients:
https://www.synology.com/de-de/know...ogy_s_VPN_Server_using_a_Windows_PC_or_Mac#t4

Den Beitrag mit den Routingtabellen verstehe ich nicht. Du musst doch eigentlich nur den Eintrag auf dem Client vornehmen, also route add usw...einmal pro Client, du willst doch nur auf das NAS Netzwerk zugreifen, oder?

Ansonsten: wie immer alles nochmal löschen und in Ruhe neu anlegen, neustarten, dann schauen...wäre ja nicht das erste mal und gerade auch bei *hust..doofs nicht selten.


Grüßle
the other

 

[Cambridge1]

Moinsen,
zu deinen drei Fragen:
es ist aus Sicht der IT-Sicherheit nicht klug, ein Zugangstor von Außen auf deine (privaten) privaten Dateien und Backups (?) zu öffnen. Nie! Damit machst du ein Loch in die schwache NAT-basierte Sicherheitsfunktion deiner Fritzbox. Dieses Loch öffnet per PWL einen Eingang auf einen Dienst auf dem selben Gerät, direkt zugänglich bzw. per Port Scan für Kiddies zu sehen. Dann können sich die an deinen Sicherheitsniveau abarbeiten. Je nach deinen Sicherheitsstandards und der Verwundbarkeit der eingesetzten Software und Firmware und den darin enthaltenen Bugs KANN das dann kritisch werden. Daher best practice: Geräte, die von außerhalb erreicht werden, also VPN-Server, in die Peripherie deiner Netzwerktopologie zu stellen, getrennt von Dateiservern oder PCs.
Klar, kommt aus dem professionellem Bereich. Andererseits gibt es ja nicht von ungefähr das Heer von schlecht konfigurierten Geräten (IoT, veraltete PCs, NAS), welche gekapert und zu Spam-Schleudern, BitCoinSchürfern oder koordinierten DOS Angriffen missbraucht werden.
Am Ende wie immer die Frage: was ist dir dein Datenschatz wert, ab wann beginnt Paranoia, Verhältnis zwischen Usability und Security...

Vielen Dank, einleuchtend.

AFAIK "zielst" du auf deine dem Client zugeteilte IP im Tunnelnetzwerk des VPN, weil das ja der Adapter deines Clients ist, dem du den Zugriff auf das Netzwerk hinter dem Tunnel (im Beispiel die 192.168.1.X) erlaubst.

Auch das ergibt Sinn für mich, danke.

Hab irgendwie überlesen, welches VPN du versuchst aufzubauen...sag da noch mal was zu.

l2tp/ipsec

Hast du dich auch wirklich Punkt für Punkt an die Anleitungen von Synology gehalten?
Server:
https://www.synology.com/de-de/knowledgebase/DSM/help/VPNCenter/vpn_setup

Clients:
https://www.synology.com/de-de/know...ogy_s_VPN_Server_using_a_Windows_PC_or_Mac#t4

Ja, beide Leitfäden 1:1 umgesetzt.

Den Beitrag mit den Routingtabellen verstehe ich nicht. Du musst doch eigentlich nur den Eintrag auf dem Client vornehmen, also route add usw...einmal pro Client, du willst doch nur auf das NAS Netzwerk zugreifen, oder?

Genau. Das hatte ich schon in allen Varianten versucht. Allerdings hat dein letzter Tipp tatsächlich geholfen. Ich habe alle Einträge und die VPN Verbindung nochmal gelöscht, das System neu gestartet, den VPN Adapter neu erstellt, die Routingtabelle wie oben beschrieben (route add -p LOKALE_IP_DES_VPN/24 DURCH_DEN_VPN_SERVER_ZUGEWIESENE_IP) erneut modifiziert: und jetzt geht es. An der Stelle finde ich den Synology Leitfaden unvollständig, das -p (permanenter Eintrag) sollte meiner Meinung nach in die Doku, sonst darf man die Routingtabelle nach jedem Neustart erneut modifizieren.

Vielen Dank für den freundlichen Support! Das war sehr lehrreich. Ein Raspberry steht jetzt auf der Einkaufsliste. Abschließende Frage: Solle es für die VPN Anwendung schon der 4er (mit 4GB RAM) sein oder genügt da auch ein einfacheres Model?

 

[Donald]

Der 4er ist schon sinnvoll. Die Verschlüsselung ist sehr Prozessorintensiv. Nebenbei bietet der RPi4 auch einen vollständiges GByte-Lan-Port. 1 GB RAM ist dicke ausreichend. Achte auf gute Kühlung. Ein sogn. Armor-Gehäuse ohne Lüfter ist ausreichend.