Nur IPs meines Providers zulassen

[Moppel_thl]

Hallo zusammen.

Ich habe bei meinen Eltern eine DS110j stehen, auf die jede Nacht ein backup per rsync über das Internet gemacht wird. Nun musste dafür der Port 22 geöffnet werden, was mir eine Menge „fehlgeschlagene Anmeldeversuche“ beschert, welche dann alle in der autom. Blockierung landen.

Nun kam mir der Gedanke, nur bestimmte IP’s zuzulassen, welche sich an der DS anmelden dürfen um das Ganze noch ein stückweit sicherer zu gestalten. Im Prinzip wären dies nur die IPs, die mein Internet-Provider vergibt, da das backup nur von meiner heimischen DS gestartet wird und ich das wenige administrative auch nur von zuhause aus vornehme.

Meine Frage ist nun, ob das überhaupt möglich ist? Klar, ich müsste dafür den IP-Bereich des Providers kennen. Kann man diesen irgendwo erfahren? Und wenn ich diesen hätte, wo trage ich das dann ein?

Gruss
Thomas

 

[Puppetmaster]

Es ist nicht wirklich schwer eine IP im Netz zu fälschen, von daher ist das ein zweifelhafter Schutz.
Was stört dich denn an der vorhandenen Lösung der IP Blockierung?

 

[bohne]

Was den Zugriff auf IP-Ebene angeht, so findest Du hier im Wiki einen Beitrag. Evtl. ist dieser ja hilfreich für Dich.
Wie Du allerdings an den IP-Bereich Deines Providers kommst, kann ich Dir nicht beantworten.

Aber mal ein ganz anderer Denkanstoss, weshalb verwendest Du nicht einfach eine VPN-Verbindung?

 

[Moppel_thl]

Was stört dich denn an der vorhandenen Lösung der IP Blockierung?

Im Grunde nichts. Ich möchte das auch so beibehalten. Ich dachte nur, dass eine weitere Maßnahme noch ein Stückchen mehr an Sicherheit bringt.

Aber mal ein ganz anderer Denkanstoss, weshalb verwendest Du nicht einfach eine VPN-Verbindung?

Wäre auch eine Möglichkeit. Allerdings sehe ich das auch nur als eine weitere Abfrage von Benutzername/Passwort.

Mein Ansatz war: wer eh keinen Zutritt hat, erhält erst gar keine Möglichkeit einen Benutzer und ein Passwort anzugeben.

Gruss
Thomas

 

[Puppetmaster]

Ich dachte nur, dass eine weitere Maßnahme noch ein Stückchen mehr an Sicherheit bringt.

Es ist wesentlich leichter eine IP zu fälschen als ein gutes Passwort zu 'erraten'.
Wenn du nach z.B. 3 Fehlversuchen sperrst, dann ist das schon ziemlich sicher.

 

[bohne]

Mein Ansatz war: wer eh keinen Zutritt hat, erhält erst gar keine Möglichkeit einen Benutzer und ein Passwort anzugeben.

Unter Berücksichtigung des Argumentes von Puppetmaster

Es ist nicht wirklich schwer eine IP im Netz zu fälschen, von daher ist das ein zweifelhafter Schutz.

würde ich eher der Eingabe eines Benutzernamens und eines "relativ" sicheren Passwortes den Vorzug geben.

 

[jahlives]

Es ist nicht wirklich schwer eine IP im Netz zu fälschen, von daher ist das ein zweifelhafter Schutz.

jein Das Fälschen ist einfach, aber wenn du auch Antworten bekommen willst, dann ist es nicht mehr sehr einfach. Das musst du entweder die Routing-Table der DS oder oder eines Gateways beim Provider kompromittieren können. Gerade bei TCP Verbindungen wird das Fälschen noch zusätzlich erschwert, weil du eine 3-Wege-Handshake durchlaufen musst d.h. für TCP Verbindungen musst du Antworten auf dich umbiegen können. Sonst bekommst du keine TCP Verbindung zur DS

 

[bohne]

@jahlives
Ok, wieder etwas dazu gelernt. Hört sich für mich als Laien allerdings nur schwer realisierbar an.

@Moppel_thl
Sorry habe in Post#3 vergessen den Link einzufügen, was ich hiermit nachhole:

Wiki-Eintrag

 

[Moppel_thl]

Hallo.

Ich möchte es nun mal mit der VPN Variante versuchen
Das klappt allerdings noch nicht so richtig, weshalb ich um wenig Hilfe bitte:

Folgendes habe ich eingerichtet:

- die entfernte DS stellt eine VPN-Verbindung zu meinem heimischen Router her
- die Verbindung klappt auch soweit; in meinem Router sehe ich die DS als angemeldeten PPTP-Client

Allerdings komme ich per Browser/Sysology-Assistent nicht auf die DS drauf. Sie antwortet einfach nicht.

Mein heimisches Netz hat den IP Bereich 192.168.1.XXX
Die entfernte DS hat die IP 192.168.178.150
( Ports habe ich für die entfernte DS nicht freigegeben )

Liegt es evtl. daran?

 

[joku]

Allerdings komme ich per Browser/Sysology-Assistent nicht auf die DS drauf. Sie antwortet einfach nicht.?

Hallo, wenn Du auf die DS zugreifen möchtest ist es vielleicht besser,
den VPN Server auf der DS zu aktivieren,
dadurch kannst Du von sonstwo auf die DS zugreifen.

Gruß Jo

 

[Moppel_thl]

Hallo, wenn Du auf die DS zugreifen möchtest ist es vielleicht besser,
den VPN Server auf der DS zu aktivieren,
dadurch kannst Du von sonstwo auf die DS zugreifen.

Gruß Jo

Auch für meinen Anwndungfall?
Denn was ich möchte ist, dass meine heimische DS nachts ein backup auf die entfernte DS macht.
Also dachte ich mir, dass ich per VPN die entfernte DS einfach "in mein heimisches Netzwerk hole".

 

[joku]

Denn was ich möchte ist, dass meine heimische DS nachts ein backup auf die entfernte DS macht

Da ist die heimische DS auch ein Client. sollte gehen
Beide DS via Internet in ein Netz bringen ist auch eine gute Idee.
Da solltes Du aber die beiden Router zusammen bringen.

Gruß Jo

 

[Moppel_thl]

Da solltes Du aber die beiden Router zusammen bringen.

Gruß Jo

Auha...nun wird es kompliziert

Geht das nicht einfacher, bzw. auf die Weise die ich bereits in Angriff genommen hatte?

 

[Moppel_thl]

Vielleicht noch mal in Kurzform was ich vorhabe:

Die entfernte DS soll an meinem Router per VPN angemeldet werden, damit ich auf diese Weise darauf von einer anderen DS ein backup machen kann.

Momentan läuft das backup bereits über einen freigegebenen Port 22 ganz normal über das Internet. Allerdings möchte ich noch ein wenig mehr Sicherheit mit ins Spiel bringen und auf den Port 22 verzichten, bzw. diesen nicht mehr freigeben müssen, da er mir "zu viele Besucher" beschert.

 

[joku]

Geht das nicht einfacher, bzw. auf die Weise die ich bereits in Angriff genommen hatte?

Da Du auch aus dem heimischen Netz auf den Client zugreifen möchtest,
ist es bestimmt nicht einfach zu lösen.

Gruß Jo

 

[joku]

Vielleicht noch mal in Kurzform was ich vorhabe

Mir ist schon klat was Du möchtest.
Mit den beiden Routern sehe ich es als gute Lösung.
Sind die Router die Du benutzt identisch ?

Gruß Jo

 

[bohne]

Da Du auch aus dem heimischen Netz auf den Client zugreifen möchtest,
ist es bestimmt nicht einfach zu lösen.

Gruß Jo

Ist in seinem Fall nicht die heimische DS der Client?

Wenn er auf der entfernten DS den VPN-Server konfiguriert und startet, in der heimischen DS unter "Systemsteuerung"-->"VPN" eine Verbindung zu der entfernten DS einrichtet, dient die entfernte DS doch als Server und die heimische als Client. Täusche ich mich jetzt da?

Gleichzeit hat er auf diese Weise doch auch über PC, mit eingerichteter VPN-Verbindung, einen Zugriff auf die entfernte DS.

Die Lösung über beide Router wäre ja nur dann notwendig, wenn er gleichzeitig den Zugriff auf umgekehrte Weise ermöglichen möchte, also: Entfernte DS greift auf heimische DS zu.

 

[joku]

Ist in seinem Fall nicht die heimische DS der Client?

Hallo bohne, ich hatte es so verstanden das die DS zu dem heimischen Router VPN aufbaut.

- die entfernte DS stellt eine VPN-Verbindung zu meinem heimischen Router her

DS Client und VPN Server ist der Router.

Gruß Jo

 

[bohne]

@joku
Ja, das hast Du schon richtig verstanden.

Nur wäre es nicht viel einfacher eben genau den von mir aufgeführten, umgekehrten Weg zu wählen? Natürlich vorausgesetzt, ein Zugriff von der entfernten DS auf die heimische ist nicht notwendig.

 

[Moppel_thl]

Hallo bohne, ich hatte es so verstanden das die DS zu dem heimischen Router VPN aufbaut.

So hatte ich mir das gedacht. Ich hole quasi die entfernte DS zu mir nach Hause indem diese eine VPN Verbinung zu meinem Router aufbaut.

Der evtl. angedachte Zugriff auf die DSM Oberfläche könnte ja weiterhin per dyndns/Port 5001 stattfinden.