Allgemeine Fragen zu VPN-Server

[underclocker]

Hallo zusammen

Habe kürzlich die Synology 218+ erworben und habe zwar viel Erfahrung mit Synology, nicht jedoch mit dem VPN-Server.

Zuerst die grundsätzlichen Fragen:

-Schützt die VPN-Verbindung z.B. vor dem Abhören bei Dateiübertragungen z.B. in einem offenen WLAN?
-Kann ich mit diesem VPN-Server (der würde zu Hause hinter dem Router stehen mit Portweiterleitung) auch allgemein in offenen WLANs als SIcherheit (z.B. beim Surfen etc.) nutzen,
oder gilt dies nur für den Zugriff auf die NAS-Daten/Files? -> Falls nein, müsste ich wohl dafür eine gängige VPN-Client Software monatlich bestellen

-Würdet ihr empfehlen, fürs VPN OpenVPN zu installieren (L2TP)?
-Muss ich jedesmal, damit z.B. Cloudstation funktioniert dann zuerst die VPN-Verbindung aktivieren (könnte theoretisch gesehen die VPN-Verbindung immer aktiviert lassen oder?)


Vielen Dank im Voraus für eure Hilfe!

 

[NSFH]

VPN erzeugt nur mehr Sicherheit zwischen dem VPN Client und dem VPN Ziel(Server). Das hat nichts mit dem Surfen zu tun.
Nutzt der Client egal wo auf der Welt und egal in welchem obskuren WLAN VPN ist diese Verbindung sicher. Am Zielpunkt kannst du dann auch wieder aus dem VPN raus und via HTTPS auch ins Internet gehen, dann greift ab dort aber VPN nicht mehr.
Ich nutze kein Syno VPN, da es sich als besser heraus gestellt hat VPN auf dem Router zu betreiben und nicht auf dem Server, den ich besonders schützen möchte.

 

[underclocker]

Danke für die Infos, soweit verstehe ich das Prinzip.

Das heisst, am besten richte ich auf dem Router die VPN-Verbindung ein und verbinde mich dann immer darüber. Funktioniert Cloud Station dann auch nur, sobald die VPN-Verbindung
hergestellt wurde oder? Wenn ich dann irgendwo am Flughafen in einem offenen WLAN bin, dann könnte ich mit dem VPN-Tunnel auf meinem Router theoretisch gesehen auch E-Banking o.ä
machen, oder wie meinst du am "Zielpunkt raus aus dem VPN und via HTTPS ins Internet gehen" genau?

 

[Busta2]

Alternativ öffnest du den Port für die cloudstation in der Firewall, dann geht es auch ohne vpn und trotzdem verschlüsselt

 

[Fusion]

Pro Server ist der Verkehr via https verschlüsselt. Egal von wo du das wie aufrufst.
Nutzt du einen VPN Tunnel vom Client aus, dann ist zusätzlich noch "versteckt" mit welchen Seiten/Server du Kontakt hast, weil der Verkehr komplett durch den Tunnel geht und nur dieser sichtbar ist in dem Netz wo du bist.
Der Verkehr vom VPN-Tunnel-Endpunkt (deine DS oder Router) zum endgültigen Ziel ist so sicher, wie es wäre, wenn du dieses Ziel aus deinem LAN heraus aufrufst.
Würdest du also http via VPN Tunnel nehmen ist der Verkehr zwischen dem Tunnel-Endpunkt und dem Ziel-Server genauso unverschlüsselt wie ohne VPN bzw. eben wenn du die http Adresse aus deinem LAN/WLAN heraus aufrufst.

Solange du andere Dienste nicht von extern erreichbar machst sind diese nur bei aktivem VPN Tunnel zugänglich.

 

[underclocker]

Bisher habe ich es so gemacht:

SSL Zertifikat von Let's Encrypt auf der Synology aktiviert, Management Port für die DS geändert (anstelle von 5000/5001) und Port 6690 für Cloud Station freigegeben.
Habe nun zusätzlich VPN auf dem Router installiert und kann nun auf die Syno zugreifen durch den VPN-Tunnel.

Meine Sorge ist folgende:
Ich habe seit kurzem teilweise sensible Kundendaten auf der Synology und wenn ich in einem öffentlichen WLAN bin, muss ich ja VPN nutzen, damit diese nicht irgendwie abgehört werden können oder?
Da reicht die HTTPS Verbindung bspw. in einem offenen oder in einem "geschützten" Hotel WLAN nicht aus ohne VPN?

Im Heimnetzwerk kann ich logischerweise VPN nicht aktivieren, aber wie konfiguriere ich dann die Cloud Station, so dass auch diese Daten über den VPN gehen?
Aktuell ist dieses über DynDNS an Port 6690 konfiguriert. Oder geht dann bei aktiviertem VPN eh alles darüber, also auch Cloud Station mit Port 6690?

Wäre cool, wenn ihr mir da noch etwas den Durchblick geben könnten

 

[Fusion]

Natürlich reicht eine https Verbindung aus, um die Daten zwischen der DS und deinem Client zu verschlüsseln, sonst wäre sie nutzlos.
Was eben nicht versteckt wird ist wer mit wem redet und welche Dienste genutzt werden.
Im Falle deiner DS würde also zumindest letzteres via VPN noch verschleiert, dass du mit deiner DS kommunizierst läßt sich aber nicht verstecken.

Wenn du per VPN verbunden bist kannst du alle Dienste der DS so nutzen als wärst du im LAN/WLAN zu Hause.
Du kannst also via z.B. 192.168.178.10 auf deine DS. Dann kannst du über diese IP auch die Cloud Station verbinden lassen. Ports musst du weder weiterleiten noch sonst wie berücksichtigen. Einzige Voraussetzung: Die VPN Verbindung muss vorher stehen.

 

[Busta2]

Mit einem VPN wirkt es auf deine Geräte so, als wärst du im lokalen Netzwerk, dir wird auch eine lokale IP zugeordnet. Also zum Beispiel. DS hat die 192.168.4.1 und du bekommst die 192.168.4.150.

Cloudstation müsste dann unabhängig davon funktionieren, ob du über VPN verbunden bist oder nicht. Eventuell ist noch ein DNS nötig, damit Anfragen zur Cloudstation aus dem lokalen Netz nicht über extern laufen, oder macht das die Cloudstation selbst? Das weiß ich nicht genau. (Hoffe das war deine Frage, bin mir nicht ganz sicher, was du hören willst.)

 

[Nomad]

Als Internet langsam war konnten Router die Datenmengen noch sehr gut bewältigen wenn es um Verschlüsselung ging. Mit höheren Geschwindigkeiten haben die Router aber Schwierigkeiten.

So komme ich aktuell zwischen Fritzbox 7490 und 6490 auf etwas mehr als 10 MBIT/s obwohl 50 MBIT/s möglich wären. Natürlich ist Fritzbox ein Traum wenn es um VPN geht. Speziell Site 2 Site ist mit wenigen Mausklicks zusammenkonfiguriert.

Da bietet sich Synology als Alternative an weil man die gewünschte Rechenleistung kaufen kann. Leider ist VPN noch nicht so flexibel aber für die meiste Nutzungsszenario dürfte sie gut geeignet sein.

Die Idee hinter VPN ist, man bohrt nur ein Loch ins Netz. So muss man nur dieses eine Loch bewachen. Natürlich haben die meisten Serveranwendungen mittlerweile ihre eigene Sicherheitskonzepte entwickelt und stellen nicht sofort ein Sicherheitsproblem dar wenn man sie direkt ins Internet stellt aber man muss alle Löcher ständig im Auge haben wenn sie aus dem Internet erreichbar sind.

 

[Busta2]

Interessanter Punkt, ich muss mal bei mir die Geschwindigkeit testen.

 

[blurrrr]

DNS nicht vergessen! *nur mal kurz einwerf*

 

[Busta2]

Eventuell ist noch ein DNS nötig, damit Anfragen zur Cloudstation aus dem lokalen Netz nicht über extern laufen, oder macht das die Cloudstation selbst?

Dafür?

 

[blurrrr]

Nein, es wird gern der Fehler gemacht, dass der DNS noch aus dem lokalen Netz genutzt wird. Dieser sollte dann natürlich beim push der Config mit übertragen werden, damit der DNS Zuhause/im Büro genutzt wird und kein anderer. Andernfalls ist man weniger "unsichtbar" als man meint, denn die DNS-Abfragen kann man sehr schön im Klartext lesen

EDIT: Die Cloudstation könnte man auch schlichtweg über die eigene private Adresse ansprechen (via VPN).

 

[Busta2]

eigene private Adresse = busta.myds.me?

Aber wird das dann nicht standardmäßig über den Router nach draußen und dann wieder rein geschickt? Ich dachte dazu wäre ein DNS erforderlich, der dann ggf. erkennt, dass man im lokalen Netz ist und statt auf die öffentliche auf die interne IP auflöst.
Es wäre aber wohl auch möglich, dass der Cloudstation Client das selbst macht, zumindest laufen meine VoIP Clients so. (extern wird an dyndns geleitet, intern an die lokale IP, beides wird im Client konfiguriert)

 

[blurrrr]

Kommt darauf an, wie Du es benutzt... extern/intern macht Quickconnect so. DynDNS macht sowas nicht. Dabei geht es auch generell um DNS-Anfragen (nicht um das heimisches Netz).

Cloudstation sprichst Du via URL, Quickconnect-ID oder direkt via IP an. Bist Du im VPN verbunden (und wird nur Dein lokales Netz als Route übertragen) fährst Du wohl am besten, wenn Du einfach nur die IP benutzt. Alles andere lässt sich im (fremden) DNS-Server ablesen. Aber ganz ehrlich... ich werde hier jetzt kein riesen Fass aufmachen und die DNS-Dinge in Verbindung mit VPN erklären. Entweder findet sich ein anderer, oder Du liest Dich ein, oder wie auch immer. So wie Du Deine Firma hast, hab ich auch meine und ich verdiene mit genau sowas mein Geld und wir unterhalten uns hier schon in zwei verschiedenen Threads, also nix für ungut

 

[Busta2]

Das ist doch nichts anderes als ich gesagt habe, funktioniert nur für den Threadersteller nicht ideal, da er ja nur in manchen (könnte man hinterfragen, dann lasse ich halt immer den VPN an und nehme einen möglichen Geschwindigkeitsnachteil in Kauf) Netzen auf den VPN setzen will und dann immer zwischen dynDNS und IP wechseln muss.

DNS ist mir schon klar, nur bei der QuickConnect ist mir die Funktionsweise nicht ganz klar. Würdest du die bei iPv4 empfehlen? Ich habe da noch im Hinterkopf, dass man die besser nur bei iPv6 einsetzt, wobei ich das bis vor kurzem ohne Schwierigkeiten so hatte?

Mir geht es da nicht um Funktionen fürs Büro und (leider) verdiene ich auch kein Geld damit

Edit: Ganz interessanter Artikel zu Quick Connect: https://blog.synology.com/?p=2283
Klingt ehrlich gesagt etwas suspekt für mich :/

 

[blurrrr]

Quickconnect... (das ist jetzt hier schon der 3. Thread... vllt telefonieren wir besser einfach ) ist ein Relay- und Hole-Punching-Verfahren (genaueres findet man dazu auf der Synologyseite im Whitepaper), womit eine dritte Partei involviert ist. Sofern es sich vermeiden lässt, würde ich darauf verzichten. Allerdings ebenso auf Portfreigaben und der Sicherheit halber alles via VPN machen.Beim VPN nutzt es halt nicht viel, wenn die DNS-Anfragen trotzdem über das Netz gehen, in welchem man sich grade befindet. Da gibt es aber etliche Seiten, welche auf diese "Lecks" hinweisen bzw. testen, hier ein Beispiel.

 

[Busta2]

vllt telefonieren wir besser einfach

Wär vielleicht sinnvoller

Kannst du mir die Begründung gegen Quick Connect hier erklären: https://www.youtube.com/watch?v=UCHZGF2C6zo&t=1000s
Auch nach dem 10. x verstehe ich nicht, wieso er es bei iPv6 einsetzt und iPv4 nicht.


VPN vs Portfreigabe ist auch so eine Sache. Ich dachte wie du, hab jetzt aber öfters gehört, dass eine Portfreigabe sinnvoller ist. Ich bin aber viel zu wenig in der Materie, um zu verstehen wieso jetzt der eine A, der andere B sagt.

So..... danke dir für die Infos. Leider sollte ich mich jetzt wieder einem Feld widmen, das weniger interessant ist, aber deutlich berufsrelevanter ist. ^^

Edit: Muss doch nochmal nachfragen, nachdem du den Link gepostet hast..... Klar, mein DNS könnte nachvollziehen, auf welchen Websites ich war. Deswegen nutze ich nicht den meines Providers, sondern dns.watch oder einen vom CCC und vertraue darauf, dass die nichts mit meinen Daten anstellen. Deswegen schlägt der Test deines Links fehl, nur... der VPN Anbieter kann doch ganz genauso nachvollziehen, welche DNS requests ich sende? Somit ändert sich doch nur die Partie, der ich vertrauen muss?

Aber ich schätze dir ging es auch weniger darum, sondern mehr um das Szenario indem mein Device in einem fremden Netz (sagen wir Gast-WLAN des Restaurants) ist und ich nicht will, dass die meine DNS Anfragen abfangen, deswegen nutze ich einen VPN, zum Beispiel zu meinem eigenen Netzwerk daheim, und somit kann das Restaurant nichts mehr abfangen. Mein DNS Provider daheim kann das aber weiterhin. Korrekt? Dann klopf ich mir mal auf die Schulter und gönne mir zwei Stunden Schlaf

 

[blurrrr]

Das ist vermutlich, weil der Typ nur immer die Hälfte erklärt (und eigentlich auch nur verkaufen will, s. Affiliate-Links überall bei seinen Beiträgen ), von daher hat der bei mir keinen allzu hohen Stellenwert.
Und jetzt mal im ernsthaft: aufgrund einer Inkompatibilität (und ISP(Internetprovider)-seitigen Gründen), ist es der einfachste Weg für Laien einen Zugang zum eigenen IPv6-basierten Anschluss zu herzustellen.

Bei einer Portfreigabe ist ein Dienst dauerhaft von aussen erreichbar (und somit auch angreifbar), z.B. Webserver. Beim VPN ist erstmal garnichts ausser dem VPN von aussen erreichbar. Frag Dich einfach, ob Du Deine Autoschlüssel nicht doch lieber ans offene Fenster legen möchtest, oder doch lieber erstmal die Haustür aufschliesst, um an die Schlüssel zu kommen

Das Feld ist hier ist berufsrelevant (auch wenn nur seeeeeeeehr sachte ).

 

[Busta2]

Er hat einen großen Anteil daran, dass ich es damals geschafft habe eigenständig auf die DS umzusteigen. (Wenn auch nicht problemlos, ich musste einige seiner Lösungen in Frage stellen und mir selbst was überlegen, da ich damit nicht zufrieden war.) Das hier macht mir aber wirklich Kopfschmerzen: https://www.youtube.com/watch?v=0H5LrF8PIeg&frags=pl,wn (tl;dr: "Backup"-Konzept: USB-Dockingstation 24/7 an der DS, daran 24/7 eine HDD, auf die versioniert gesichert wird, dann regelmäßig 2. HDD in die Dockingstation und mit deren Klon-Tool wird die 1. HDD 1:1 auf die 2. geklont) Ich finde es auch ok, dass er was verdienen will, mit den Videos wird er einigen helfen, die sonst die DS nicht einrichten könnten. Wobei das hier genauso geschieht. Ich behaupte mal, dass er zumindest einige Threads mit "Wie richte ich meine DS von A bis Z ein" verhindert.


Ok, ich mach mich am Wochenende an den VPN (Portfreigaben werden wohl dann fast alternativlos sein, wenn Dritte Zugriff brauchen.)