DS412+ als Router

[Sebo]

Hallo,

habe mir überlegt, ob ich nicht meinen Router durch die DS412+ einfach ersetzten könnte. Dann würde ich mir die ganzen Probleme mit der Portfreigabe auf meinem Router sparen. Nun gibt es ja die PPPoE-Funktion. Diese brauche ich aber nicht, da ich den Router nur auf DHCP einstellen muss, und er alles vom Kabel-Modem bekommt.
Wie mach ich jetzt aber der DS klar, dass über den einen Netzwerkanschluss die Internet-Verbindung rein kommt? --> Und kann ich diese dann überhaupt mit anderen Computer im Netz teilen? Also als Router fungieren?

lg

 

[jan_gagel]

also ich würd davon Abstand nehmen. Sollte zwar gehen, wenn du LAN auf DHCP stellst, und vorher natürlich den Hotspot aktivierst (incl. WLAN-Stick). Die NAT-Funktion im Router, bei der man ja die Portweiterleitung einträgt, ist eine Standard-Sicherheit. Wenn jetzt die DS direkt am Internet hängt, mußt du das mit der Firewall abfangen, sonst würden alle Dienste direkt im Internet erreichbar sein, Verwaltungsoberfläche, Samba und was du noch so aktiviert hast. Ich würde an deiner Stelle lieber die Portweiterleitung eintragen, als die Firewall ständig zu administrieren und zu überwachen. Und von allen Dingen ein System zu verbiegen, was dafür nicht vorgesehen war / ist.

 

[Sebo]

Funktioniert dann die Freigabe vom Internet für alle Computer netzintern nur über den WLAN Stick? Das ist nicht mein Ziel. Verbiegen will ich das System ja auch nicht. Immerhin wird die Funktion ja mittels Stick und PPPoE schon angeboten. Nur verwendet mein Provider nicht PPPoE und einen WLAN Hotspot benötige ich auch nicht, da das NAS im Keller steht.

Verstehe nicht, warum es umständlicher sein soll, die Firewall zu warten. Würde es von der Sicherheit her einen Unterschied machen, ob ich in der Firewall bestimmte Ports freigebe, oder ob ich das am Router erledige? Würde es nicht eher mehr Sicherheit für alle Computer im Netz bedeuten, wenn sie über die Firewall ins Internet gehen, als direkt über den Router?

 

[Sebo]

guck mal hier: www.synology-forum.de/showthread.html?22242-Router

Itari

Deinen Link kann ich leider nicht aufrufen --> "Sebo, Sie haben keine Rechte, um auf diese Seite zuzugreifen."

 

[itari]

jaha ... deswegen einen neuen Link: www.synology-forum.de/showthread.html?30031-DS412-als-Netzwerkbr%FCcke

Itari

 

[Sebo]

danke!

Und wie sieht es dann mit der Sicherheit aus? Wenn ich die Firewall auf dem LAN Port aktiviere, bei welchem ich direkt ins Internet gehe, dort alle benötigten Ports eintrage, sowie alles andere sperre? Reicht das?

 

[itari]

Reicht das?

und immer beobachten, was so für Angriffe erfolgen ... für die technische Seite wird iptables verwendet (ist sowas wie Standard bei Firewalls) ... meist liegt es bei Problemen an der Konfiguraton (das man irgendwas vergessen hat oder dass man irgendwo etwas macht, was die Firewall mit beeinflusst (ohne dass dies auffällt) ... deswegen immer hübsch kontrollieren

ansonsten lass dir gesagt sein, dass es eher unüblich ist, die DS als Router direkt ins Internet zu hängen ... sollte da irgendwann mal was passieren, wird jeder schreien: "ich habs doch schon damals gesagt ..." (aber das ist ja mit allem so *gg*)

noch was ... die DS wird natürlich kaum mehr in den Ruhezustand gehen, weil ja immer irgendwas im Internet los ist ... und du musst auch testen, ob die Router-Performance der DS für dein LAN ausreicht

Itari

 

[Sebo]

verstehe... das hießt diese PPPoE Funktion gibt es quasi dafür, um die DS unabhängig von anderen Geräten ins Internet zu hängen?

An den Ruhezustand hab ich gar nicht gedacht... Das zerschlägt natürlich meine tolle Idee

 

[jan_gagel]

itari hat es auf den Punkt gebracht. Eine Port-Weiterleitung im Router ergibt einen einzigen weitergeleiteten Port (z. B. Port 80). Also kann nur auf einen einzigen Port / Dienst zugegriffen werden. Wenn jetzt die DS direkt am Internet hängt, ist erstmal alles "offen" und du mußt es schließen. Wenn du jetzt was vergißt, oder durch eine Unachtsamkeit was an der Firewall änderst, besteht die Gefahr, daß da was nach außen erreichbar ist, was nicht sein soll. Zumindest wenn man div. sensible Daten da auf der DS hat. Eine wirkliche Sicherheit für das gesamte Netz bietet eine Firewall nur bedingt und stellt eigentlich nur einen Eckpfeiler dar. Mindestens genauso wichtig ist ein unverwundbares Betriebssystem (z. B. gibt es für Mac OS X und Linux wesentlich weniger Bedrohungen als für Windows), ggf. Virenscanner einsetzen, Betriebssystem und Browser ständig aktuell halten.

Die Idee mit dem Hotspot war so gedacht, daß da das Routing ja eigentlich funktionieren sollte. DHCP auf LAN, feste (interne) IP im WLAN. Aber anderweitig sollte das Routing auch konfigurierbar sein, zumindest über die Kommandozeile.

Einige Leute setzen sogar einen speziellen PC für das Thema Internet-Anbindung ein. Darauf kommt dann eine Linux-Distribution zum Einsatz, die dafür extra "gehärtet" wurde. Z. B. IPFire, IPCop, Endian, wären da einige die ein ähnliches Ziel verfolgen. Die IPCop-Gemeinde (aus der die beiden anderen hervorgegangen sind) sieht das sogar noch so extrem, daß man auf einer Firewall keinesfalls Dienste installiert, die nicht auf eine Firewall gehören (z. B. Samba, FTP, NFS, Proxy-Systeme wie Squid, irgendwelche Daten). Sonst wäre die "Firewall" beeinflußbar und kompromitierbar.

 

[jahlives]

nicht vergessen, dass du auch Zugriffe reglementieren musst, welche von aussen auf deine PCs hinter der DS erfolgen. Soviel ich weiss kann man via DSM nur die INPUT Chain von iptables (Firewall) bearbeiten. Diese genannten Zugriff würden aber von der FORWARD Tabelle abgehandelt. Darauf kannst du aber im DSM ned zugreifen und müsstest auf die Konsole ausweichen.
Kurz: wenn du dich mit iptables nicht wirklich auskennst, dann solltest du von dieser Idee Abstand nehmen. Sauber einen Router mit Regeln für die Firewall zu versorgen ist nicht wirklich trivial und daher fehlerträchtig. Bei einer Fehlkonfig hast du dein Netzwerk ruck-zuck komplett offen