Seite 1 von 4 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 32
  1. #1
    Anwender Avatar von HATI
    Registriert seit
    15.02.2013
    Beiträge
    116

    Standard DS per VPN. Unlogisches "Problem" mit DS-Firewall!?

    Hi,

    ich habe ein komisches "Problem" mit der Firewall der DS unter Verwendung einer VPN Verbindung.

    Am Router (Fritzbox 7490) habe ich folgendes freigegeben bzw. weitergeleitet.

    - DSM-Port: selbst definierter TCP Port (HTTPS)
    - WebDAV: selbst definierter TCP Port (HTTPS)
    - Die benötigten VPN UDP Ports (500, 4500, 1701)

    In der DS-Firewall habe ich folgende Dinge für die jeweilige Schnittstelle zugelassen

    LAN
    - Verwaltungsprogrammoberflächen: selbst definierter TCP Port (HTTPS), wie in Fritzbox
    - WebDAV: selbst definierter TCP Port (HTTPS), wie in Fritzbox
    - VPN Server UDP Ports: 500, 4500, 1701
    - Windows Dateiserver TCP Port: 445

    Wenn keine Regel zutrifft: Zugriff verweigern

    PPPoE
    - nix

    Wenn keine Regel zutrifft: Zugriff verweigern

    VPN
    - Verwaltungsprogrammoberflächen: selbst definierter TCP Port (HTTPS), wie in Fritzbox
    - WebDAV: selbst definierter TCP Port (HTTPS), wie in Fritzbox
    - VPN Server UDP Ports: 500, 4500, 1701
    - Windows Dateiserver TCP Port: 445

    Wenn keine Regel zutrifft: Zugriff verweigern

    Das Problem

    Mit diesen Einstellungen funzt alles was intern oder extern auf den NAS zugreift ohne Probleme. Verbindungen per WinSCP, Kodi Streams, Windows Netzlaufwerke etc...

    Sobald ich aber den VPN aktiviere wirds komisch.

    Handy
    - keine Connection mehr per Solid File Explorer (WebDAV)
    - Web sehr langsam
    - Manche Apps die ins Netz wollen funzen nicht. (Wetter App)

    Notebook
    - Web sehr langsam
    - WinSCP (WebDAV) braucht sehr lange zum Verbindungsaufbau aber wenn diese da ist kann ich mit vollem Speed kopieren
    - Kodi Streams laufen ohne Probleme

    Was mich so irritiert

    Wenn ich nun unter VPN Schnittstelle an Stelle von "Wenn keine Regel zutrifft: Zugriff verweigern" nun aber "Wenn keine Regel zutrifft: Zugriff erlauben" einstelle, läuft alles so als wäre der VPN aus. Also alles super fix und keine Probleme. Muss also irgendwas blockieren was die Probleme auslöst. Zum testen habe ich dann mal alle Ports die es in der Auswahl für freizugebende Anwendungen gibt freigegeben und unten dann aber wieder "Wenn keine Regel zutrifft: Zugriff verweigern" um mich Stück für Stück an den oder die Ports zu arbeiten die dafür verantwortlich ist. Aber es war keiner der in der Liste aufgeführten. Das Problem blieb. Nur wenn ich "Wenn keine Regel zutrifft: Zugriff erlauben" läuft auch alles über den VPN ohne Probleme. Das wundert mich sehr da ich ja im LAN auch "Wenn keine Regel zutrifft: Zugriff verweigern" eingestellt habe und da läuft ja alles. Zudem finde ich komisch das es überhaut so läuft. Warum dauert etwas einfach nur länger wenn etwas nicht freigegeben ist. Wenn etwas nicht läuft weil der Port zu ist OK aber das es dann langsamer läuft ist doch komisch. Oder er sucht etwas alternatives und nimmt dann doch den der offen ist!? Für mich unlogisch!

    Frage

    Muss ich überhaut "Wenn keine Regel zutrifft: Zugriff verweigern" einstellen? Also im LAN und per VPN? Weil in meinem Router sind ja eh nur die wichtigsten Ports freigegeben. Oder kann mir wer sagen woran das oben beschriebene liegt?

    Wäre echt super wenn mir da mal ein Profi etwas helfen könnte.

    DANKE!
    Geändert von HATI (01.07.2018 um 12:38 Uhr)
    DS218+ | DSM 6.2 | 2x 4 TB WD Red | btrfs
    DS214+ | DSM 6.2 | 2x 4TB WD Red | ext4
    Nvidia Shield | Kodi 17.6 | Fritzbox 7490

  2. #2
    Anwender Avatar von HATI
    Registriert seit
    15.02.2013
    Beiträge
    116

    Standard

    Hey, Jungens... keiner ne Idee? Oder is der Text nur zu lang .

    Würde mich freuen.
    DS218+ | DSM 6.2 | 2x 4 TB WD Red | btrfs
    DS214+ | DSM 6.2 | 2x 4TB WD Red | ext4
    Nvidia Shield | Kodi 17.6 | Fritzbox 7490

  3. #3
    Anwender
    Registriert seit
    21.06.2018
    Beiträge
    10

    Standard

    Hast du in der Firewall dein VPN-Netz freigegeben? Das musste ich z.B. machen um überhaupt was machen zu können... vielleicht ist da das Problem.

  4. #4
    Anwender Avatar von HATI
    Registriert seit
    15.02.2013
    Beiträge
    116

    Standard

    Siehe oben! Is alles was nötig ist freigegeben. Synology Support sagt ich soll es auf "erlauben lassen". In meinem Fall wohl auch OK da nur ich den VPN verwende und im Router ja nur die benötigten Ports freigegeben sind. Trotzdem komisch das es im LAN funzt.... Naja, egal.
    DS218+ | DSM 6.2 | 2x 4 TB WD Red | btrfs
    DS214+ | DSM 6.2 | 2x 4TB WD Red | ext4
    Nvidia Shield | Kodi 17.6 | Fritzbox 7490

  5. #5
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    1.599

    Standard

    Würde mal behaupten: Standardgateway zeigt gen VPN-Endpunkt, so dass sämtlicher Traffic durch den Tunnel geht und dann erst ins Internet, was zur Folge hat, das Du auf den "Upload" Deines VPN-Standortes beschränkt bist (da dieser Dir sämtliche Daten aus dem Internet weiterleiten muss) -> "Web sehr langsam".

  6. #6
    Anwender Avatar von HATI
    Registriert seit
    15.02.2013
    Beiträge
    116

    Standard

    Hmm... Also da ich ne 100/40er Leitung habe die auch recht gut anliegt sollte der Upload da nicht so das Problem sein.
    DS218+ | DSM 6.2 | 2x 4 TB WD Red | btrfs
    DS214+ | DSM 6.2 | 2x 4TB WD Red | ext4
    Nvidia Shield | Kodi 17.6 | Fritzbox 7490

  7. #7
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    1.599

    Standard

    1000Mbit vs. 40Mbit bzw. (theoretische) 125MByte vs 5MByte... macht schon einen kleinen dezenten Unterschied. "Unlogische" Probleme mit einer Firewall gibt es übrigens... "nicht" (ausser es ist ein Bug oder das Problem sitzt - wie so oft - einfach "davor" ). Was das WebDAV angeht, so schreibst Du, dass der Laptop sehr lange für den Verbindungsaufbau braucht, ggf. läuft die Handyapp schlichtweg in einen Timeout (vllt kann man das noch umstellen?). Ist halt auch eine Frage, was den VPN-Clients erlaubt ist und was nicht.

    Tendentiell würde es sich im Vorfeld aber wohl lohnen, erstmal eine Liste anzulegen, was wie wo erlaubt ist (pro Quellnetz und Zielnetz). Normalerweise sollte es ja irgendwas in diese Richtung sein (ganz grob, Feintuning kannst Du ja noch selbst vornehmen):

    (Quelle -> Dienst -> Ziel)

    LAN -> any -> any
    VPN-Netz -> any -> any
    any (oder nur Deutschland) -> <gewünschte extern erreichbare Dienste> -> Syno

    So würde ich erstmal starten. Alles dann erstmal "verbieten". Wenn das dann alles vernünftig klappt, kannst Du hingehen und Dich an ein Quellnetz setzen (z.B. VPN) und dort weiter einschränken (dann natürlich die entsprechende any-any-Regel deaktivieren). So lässt sich auch leichter ausmachen wo der Fehler liegt.

    Problematisch ist es natürlich, wenn Du z.B. folgende Regel hast: VPN -> https -> Syno... und keine weitere Regel via https. Dann kommt die Wetterapp auch nicht mehr an ihren Server (sofern dieser via https erfolgt), da der Zugriff via https nur auf die Syno gestattet ist. Unlogisch ist das also überhaupt nicht. Die Regel müsste dann eher lauten: VPN -> https -> any, damit Du aus dem VPN-Netz auch anderweitige Server ansprechen kannst.

    Wie gesagt, ein vernünftiger und gründlich durchdachter Aufbau der Regelsets der Firewall hilft

    Eine andere Lösung wäre natürlich, nicht sämtlichen Traffic durch das VPN zu jagen, sondern nur den Traffic, der auch wirklich ins VPN-Netz soll. DNS-Server aus dem LAN kannst Du ja durchaus nutzen, nur gehen die Pakete - die direkt ins Internet sollen, wie z.B. Wetterapp und Co - direkt ins Internet und nicht erst durch das VPN zu Dir nach Hause. Demnach bist Du auch nur auf 40MBit beschränkt, wenn es sich um Inhalte aus Deinem LAN handelt und nicht bei irgendwelchen anderen Inhalten aus dem Internet.

  8. #8
    Anwender Avatar von HATI
    Registriert seit
    15.02.2013
    Beiträge
    116

    Standard

    Also mir ist schon klar, dass ich das Problem bin . Nur leider bin ich zu doof als das mir deine Erklärung da weiterhelfen würde .

    Wie schon geschrieben funzt ja lokal alles. Und das auch wenn ich für das LAN alles außer die eingetragenen Ports blockiere. Das ist meine Basis. VPN geht auch mit "erlaube alles" per VPN in der Synology Firewall. Wenn das geht dann muss es ja theoretisch auch gehen wenn ich alle Anwendungen bzw. Ports die ich in der Firewall von Synology auswählen kann zulasse und dann sage "alles weitere blockieren". Aber das geht eben nicht. Und das verstehe ich nicht. Nun mag es sein das ich zu doof bin aber darum frage ich ja hier um diese Wissenslücke zu schließen . Und so ein Hexenwerk ist es ja eigentlich nicht. Also bilde ich mir ein. Router und NAS müssen reden können. Das können sie über die Ports. Also das was lokal ja funzt. Also was passiert genau wenn ich in der Synology Firewall sage "VPN und DSM-Oberfläche und Co. zulassen und den Rest nicht" genau? Welche Ports fehlen im da und warum? Ich beschränke ja auch nix oder so. Zugriff haben alle, also keine bestimmten IPs oder Länder etc... un so sehr viel mehr als die Ports kann ich doch bei der Syno Firewall gar nicht einstellen. Der Support Typ meinte auch, da müsse man so viele Ports freigeben damit das dann geht das ich es so lassen soll. Das ergibt für mich irgendwie keinen Sinn. So schwer kann das doch nicht sein!? Gibt ja genug Videos im Web wo das mit "blockiere alles außer" und VPN und Co. freigegeben funzt. Also warum bei mir nicht. Und wenn der iDomix-"Lümmel" das kann na dann ich doch mindestens auch . Und ich will schon das alles über den VPN läuft. Bin im Ausland im Urlaub und muss auf den NAS drauf kommen. Wenn die 5MB da "limitieren" is das OK. So fixes Netz hat man unterwegs (WLAN) ja eh nicht. Unterm Strich gehts ja so perfekt aber eben mit der Einstellung unter VPN-Schnittstelle: "Wenn keine Regel: erlauben" und das macht mich etwas unsicher. Die LAN-Schnittstelle hat ja "Wenn keine Regel: blockieren".

    Also danke für deinen Hilfeversuch aber gehts etwas konkreter!? Danke!
    DS218+ | DSM 6.2 | 2x 4 TB WD Red | btrfs
    DS214+ | DSM 6.2 | 2x 4TB WD Red | ext4
    Nvidia Shield | Kodi 17.6 | Fritzbox 7490

  9. #9
    Anwender
    Registriert seit
    23.01.2012
    Beiträge
    1.599

    Standard

    Ja klar, Auto selbst bauen, kein Ding, gibt ja n Youtube-Video, wo es so ein Typ erklärt hat... aber wenn es dann nicht funktioniert und man eine Antwort bekommt dann noch rumjammern, dass es nicht "konkret" genug ist. Ich werde hier jetzt mit Sicherheit nicht anfangen und alles zu IP, Ports, Routing und VPN zu erklären. Weisste was, lass das NAS einfach NAS sein (einfach nur LAN-Firewall-Regeln (wenn überhaupt)), nutz das VPN der Fritzbox (da gibt es dann auch eine IP aus dem LAN (192.168.178.x)) und gut ist, dann musst Du Dich auch mit weniger Firewall-Regeln rumschlagen. Zack, Thema erledigt. Denke, das wäre die weitaus praktikablere Lösung für Dich.

  10. #10
    Anwender Avatar von HATI
    Registriert seit
    15.02.2013
    Beiträge
    116

    Standard

    N Auto bauen wäre mein nächstes Projekt gewesen . Ich jammer ja nicht aber meine Logik zwingt mich nun mal dazu, dass wenn es woanders so funktioniert, es mir schwer fällt nachzuvollziehen das es eben in meinem Fall nicht so funzt. Zudem gibt es ja auch genug Negativbeispiele bei Synology die gezeigt haben das es eben manchmal durchaus an Synology liegt (Cloud Station, SSL Zertifikate, Hyper Backup Explorer etc...). In diesem Fall wohl nicht aber ich hatte auf eine einfach Lösung bzw. nette Hilfe gehofft. Also so wie du es versucht hast. Der Versuch der ggf. an meiner Dummheit gescheitert ist aber so ist das manchmal. Da es eh übermorgen in den Urlaub geht werde ich es jetzt so lassen wie es funzt bzw. wie der Synology-Supporter es mir empfohlen hat. Meine Sicherheitsbedenken, darum mach ich mir den ganzen "Stress" hier ja, seien in meinem Fall "unbegründet". Darum glaube ich dem Typ mal. Und für 14 Tage im Urlaub wird das wohl schon hinhauen. Gerade wenn nur ich den VPN nutze. So zumindest meine Logik. Und auf dem Weg hab ich ja auch, limitiert durch meinen UP bzw. das WLAN dort, guten Speed und keine Probleme. Um den Schalter "blockiere alles außer" kann ich mich bei bedarf dann auch noch danach kümmern. Fritz VPN hab ich auch schon überlegt aber warum einen anderen Anbieter bzw. "Dienst" inkl. MYFritz-Scheiß wenn ich das selbst machen kann. Und nu komm mir nicht mit kannste ja nicht . Läuft ja alles 1A. Frag hier ja nur um die "maximale" Sicherheit zu bekommen. Was ja, laut Support, "gar nicht" nötig ist. Naja nach dem Urlaub gehts weiter. Bin ja nicht doof und man sollte sich auch n bisl fordern und nicht immer den leichtesten Weg gehen. Hab bis jetzt noch alles hinbekommen.

    Ich danke dir trotzdem sehr für deine Bemühungen! Wenn noch Tipps oder passende Leseempfehlungen hat, nur her damit .
    DS218+ | DSM 6.2 | 2x 4 TB WD Red | btrfs
    DS214+ | DSM 6.2 | 2x 4TB WD Red | ext4
    Nvidia Shield | Kodi 17.6 | Fritzbox 7490

Seite 1 von 4 123 ... LetzteLetzte

Ähnliche Themen

  1. Antworten: 7
    Letzter Beitrag: 02.04.2016, 12:42
  2. Problem mit der Funktion "Syncronisierung gemeinsamer Ordner"
    Von jek_la im Forum Benutzer, Gruppen, gemeinsame Ordner
    Antworten: 0
    Letzter Beitrag: 10.08.2015, 09:28
  3. Antworten: 0
    Letzter Beitrag: 15.11.2014, 17:42
  4. Antworten: 6
    Letzter Beitrag: 22.09.2014, 20:40
  5. Antworten: 0
    Letzter Beitrag: 27.04.2011, 10:15

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •