DS per VPN. Unlogisches "Problem" mit DS-Firewall!?

[HATI]

Hi,

ich habe ein komisches "Problem" mit der Firewall der DS unter Verwendung einer VPN Verbindung.

Am Router (Fritzbox 7490) habe ich folgendes freigegeben bzw. weitergeleitet.

- DSM-Port: selbst definierter TCP Port (HTTPS)
- WebDAV: selbst definierter TCP Port (HTTPS)
- Die benötigten VPN UDP Ports (500, 4500, 1701)

In der DS-Firewall habe ich folgende Dinge für die jeweilige Schnittstelle zugelassen

LAN
- Verwaltungsprogrammoberflächen: selbst definierter TCP Port (HTTPS), wie in Fritzbox
- WebDAV: selbst definierter TCP Port (HTTPS), wie in Fritzbox
- VPN Server UDP Ports: 500, 4500, 1701
- Windows Dateiserver TCP Port: 445

Wenn keine Regel zutrifft: Zugriff verweigern

PPPoE
- nix

Wenn keine Regel zutrifft: Zugriff verweigern

VPN
- Verwaltungsprogrammoberflächen: selbst definierter TCP Port (HTTPS), wie in Fritzbox
- WebDAV: selbst definierter TCP Port (HTTPS), wie in Fritzbox
- VPN Server UDP Ports: 500, 4500, 1701
- Windows Dateiserver TCP Port: 445

Wenn keine Regel zutrifft: Zugriff verweigern

Das Problem

Mit diesen Einstellungen funzt alles was intern oder extern auf den NAS zugreift ohne Probleme. Verbindungen per WinSCP, Kodi Streams, Windows Netzlaufwerke etc...

Sobald ich aber den VPN aktiviere wirds komisch.

Handy
- keine Connection mehr per Solid File Explorer (WebDAV)
- Web sehr langsam
- Manche Apps die ins Netz wollen funzen nicht. (Wetter App)

Notebook
- Web sehr langsam
- WinSCP (WebDAV) braucht sehr lange zum Verbindungsaufbau aber wenn diese da ist kann ich mit vollem Speed kopieren
- Kodi Streams laufen ohne Probleme

Was mich so irritiert

Wenn ich nun unter VPN Schnittstelle an Stelle von "Wenn keine Regel zutrifft: Zugriff verweigern" nun aber "Wenn keine Regel zutrifft: Zugriff erlauben" einstelle, läuft alles so als wäre der VPN aus. Also alles super fix und keine Probleme. Muss also irgendwas blockieren was die Probleme auslöst. Zum testen habe ich dann mal alle Ports die es in der Auswahl für freizugebende Anwendungen gibt freigegeben und unten dann aber wieder "Wenn keine Regel zutrifft: Zugriff verweigern" um mich Stück für Stück an den oder die Ports zu arbeiten die dafür verantwortlich ist. Aber es war keiner der in der Liste aufgeführten. Das Problem blieb. Nur wenn ich "Wenn keine Regel zutrifft: Zugriff erlauben" läuft auch alles über den VPN ohne Probleme. Das wundert mich sehr da ich ja im LAN auch "Wenn keine Regel zutrifft: Zugriff verweigern" eingestellt habe und da läuft ja alles. Zudem finde ich komisch das es überhaut so läuft. Warum dauert etwas einfach nur länger wenn etwas nicht freigegeben ist. Wenn etwas nicht läuft weil der Port zu ist OK aber das es dann langsamer läuft ist doch komisch. Oder er sucht etwas alternatives und nimmt dann doch den der offen ist!? Für mich unlogisch!

Frage

Muss ich überhaut "Wenn keine Regel zutrifft: Zugriff verweigern" einstellen? Also im LAN und per VPN? Weil in meinem Router sind ja eh nur die wichtigsten Ports freigegeben. Oder kann mir wer sagen woran das oben beschriebene liegt?

Wäre echt super wenn mir da mal ein Profi etwas helfen könnte.

DANKE!

 

[HATI]

Hey, Jungens... keiner ne Idee? Oder is der Text nur zu lang .

Würde mich freuen.

 

[no8ody]

Hast du in der Firewall dein VPN-Netz freigegeben? Das musste ich z.B. machen um überhaupt was machen zu können... vielleicht ist da das Problem.

 

[HATI]

Siehe oben! Is alles was nötig ist freigegeben. Synology Support sagt ich soll es auf "erlauben lassen". In meinem Fall wohl auch OK da nur ich den VPN verwende und im Router ja nur die benötigten Ports freigegeben sind. Trotzdem komisch das es im LAN funzt.... Naja, egal.

 

[blurrrr]

Würde mal behaupten: Standardgateway zeigt gen VPN-Endpunkt, so dass sämtlicher Traffic durch den Tunnel geht und dann erst ins Internet, was zur Folge hat, das Du auf den "Upload" Deines VPN-Standortes beschränkt bist (da dieser Dir sämtliche Daten aus dem Internet weiterleiten muss) -> "Web sehr langsam".

 

[HATI]

Hmm... Also da ich ne 100/40er Leitung habe die auch recht gut anliegt sollte der Upload da nicht so das Problem sein.

 

[blurrrr]

1000Mbit vs. 40Mbit bzw. (theoretische) 125MByte vs 5MByte... macht schon einen kleinen dezenten Unterschied. "Unlogische" Probleme mit einer Firewall gibt es übrigens... "nicht" (ausser es ist ein Bug oder das Problem sitzt - wie so oft - einfach "davor" ). Was das WebDAV angeht, so schreibst Du, dass der Laptop sehr lange für den Verbindungsaufbau braucht, ggf. läuft die Handyapp schlichtweg in einen Timeout (vllt kann man das noch umstellen?). Ist halt auch eine Frage, was den VPN-Clients erlaubt ist und was nicht.

Tendentiell würde es sich im Vorfeld aber wohl lohnen, erstmal eine Liste anzulegen, was wie wo erlaubt ist (pro Quellnetz und Zielnetz). Normalerweise sollte es ja irgendwas in diese Richtung sein (ganz grob, Feintuning kannst Du ja noch selbst vornehmen):

(Quelle -> Dienst -> Ziel)

LAN -> any -> any
VPN-Netz -> any -> any
any (oder nur Deutschland) -> <gewünschte extern erreichbare Dienste> -> Syno

So würde ich erstmal starten. Alles dann erstmal "verbieten". Wenn das dann alles vernünftig klappt, kannst Du hingehen und Dich an ein Quellnetz setzen (z.B. VPN) und dort weiter einschränken (dann natürlich die entsprechende any-any-Regel deaktivieren). So lässt sich auch leichter ausmachen wo der Fehler liegt.

Problematisch ist es natürlich, wenn Du z.B. folgende Regel hast: VPN -> https -> Syno... und keine weitere Regel via https. Dann kommt die Wetterapp auch nicht mehr an ihren Server (sofern dieser via https erfolgt), da der Zugriff via https nur auf die Syno gestattet ist. Unlogisch ist das also überhaupt nicht. Die Regel müsste dann eher lauten: VPN -> https -> any, damit Du aus dem VPN-Netz auch anderweitige Server ansprechen kannst.

Wie gesagt, ein vernünftiger und gründlich durchdachter Aufbau der Regelsets der Firewall hilft

Eine andere Lösung wäre natürlich, nicht sämtlichen Traffic durch das VPN zu jagen, sondern nur den Traffic, der auch wirklich ins VPN-Netz soll. DNS-Server aus dem LAN kannst Du ja durchaus nutzen, nur gehen die Pakete - die direkt ins Internet sollen, wie z.B. Wetterapp und Co - direkt ins Internet und nicht erst durch das VPN zu Dir nach Hause. Demnach bist Du auch nur auf 40MBit beschränkt, wenn es sich um Inhalte aus Deinem LAN handelt und nicht bei irgendwelchen anderen Inhalten aus dem Internet.

 

[HATI]

Also mir ist schon klar, dass ich das Problem bin . Nur leider bin ich zu doof als das mir deine Erklärung da weiterhelfen würde .

Wie schon geschrieben funzt ja lokal alles. Und das auch wenn ich für das LAN alles außer die eingetragenen Ports blockiere. Das ist meine Basis. VPN geht auch mit "erlaube alles" per VPN in der Synology Firewall. Wenn das geht dann muss es ja theoretisch auch gehen wenn ich alle Anwendungen bzw. Ports die ich in der Firewall von Synology auswählen kann zulasse und dann sage "alles weitere blockieren". Aber das geht eben nicht. Und das verstehe ich nicht. Nun mag es sein das ich zu doof bin aber darum frage ich ja hier um diese Wissenslücke zu schließen . Und so ein Hexenwerk ist es ja eigentlich nicht. Also bilde ich mir ein. Router und NAS müssen reden können. Das können sie über die Ports. Also das was lokal ja funzt. Also was passiert genau wenn ich in der Synology Firewall sage "VPN und DSM-Oberfläche und Co. zulassen und den Rest nicht" genau? Welche Ports fehlen im da und warum? Ich beschränke ja auch nix oder so. Zugriff haben alle, also keine bestimmten IPs oder Länder etc... un so sehr viel mehr als die Ports kann ich doch bei der Syno Firewall gar nicht einstellen. Der Support Typ meinte auch, da müsse man so viele Ports freigeben damit das dann geht das ich es so lassen soll. Das ergibt für mich irgendwie keinen Sinn. So schwer kann das doch nicht sein!? Gibt ja genug Videos im Web wo das mit "blockiere alles außer" und VPN und Co. freigegeben funzt. Also warum bei mir nicht. Und wenn der iDomix-"Lümmel" das kann na dann ich doch mindestens auch . Und ich will schon das alles über den VPN läuft. Bin im Ausland im Urlaub und muss auf den NAS drauf kommen. Wenn die 5MB da "limitieren" is das OK. So fixes Netz hat man unterwegs (WLAN) ja eh nicht. Unterm Strich gehts ja so perfekt aber eben mit der Einstellung unter VPN-Schnittstelle: "Wenn keine Regel: erlauben" und das macht mich etwas unsicher. Die LAN-Schnittstelle hat ja "Wenn keine Regel: blockieren".

Also danke für deinen Hilfeversuch aber gehts etwas konkreter!? Danke!

 

[blurrrr]

Ja klar, Auto selbst bauen, kein Ding, gibt ja n Youtube-Video, wo es so ein Typ erklärt hat... aber wenn es dann nicht funktioniert und man eine Antwort bekommt dann noch rumjammern, dass es nicht "konkret" genug ist. Ich werde hier jetzt mit Sicherheit nicht anfangen und alles zu IP, Ports, Routing und VPN zu erklären. Weisste was, lass das NAS einfach NAS sein (einfach nur LAN-Firewall-Regeln (wenn überhaupt)), nutz das VPN der Fritzbox (da gibt es dann auch eine IP aus dem LAN (192.168.178.x)) und gut ist, dann musst Du Dich auch mit weniger Firewall-Regeln rumschlagen. Zack, Thema erledigt. Denke, das wäre die weitaus praktikablere Lösung für Dich.

 

[HATI]

N Auto bauen wäre mein nächstes Projekt gewesen . Ich jammer ja nicht aber meine Logik zwingt mich nun mal dazu, dass wenn es woanders so funktioniert, es mir schwer fällt nachzuvollziehen das es eben in meinem Fall nicht so funzt. Zudem gibt es ja auch genug Negativbeispiele bei Synology die gezeigt haben das es eben manchmal durchaus an Synology liegt (Cloud Station, SSL Zertifikate, Hyper Backup Explorer etc...). In diesem Fall wohl nicht aber ich hatte auf eine einfach Lösung bzw. nette Hilfe gehofft. Also so wie du es versucht hast. Der Versuch der ggf. an meiner Dummheit gescheitert ist aber so ist das manchmal. Da es eh übermorgen in den Urlaub geht werde ich es jetzt so lassen wie es funzt bzw. wie der Synology-Supporter es mir empfohlen hat. Meine Sicherheitsbedenken, darum mach ich mir den ganzen "Stress" hier ja, seien in meinem Fall "unbegründet". Darum glaube ich dem Typ mal. Und für 14 Tage im Urlaub wird das wohl schon hinhauen. Gerade wenn nur ich den VPN nutze. So zumindest meine Logik. Und auf dem Weg hab ich ja auch, limitiert durch meinen UP bzw. das WLAN dort, guten Speed und keine Probleme. Um den Schalter "blockiere alles außer" kann ich mich bei bedarf dann auch noch danach kümmern. Fritz VPN hab ich auch schon überlegt aber warum einen anderen Anbieter bzw. "Dienst" inkl. MYFritz-Scheiß wenn ich das selbst machen kann. Und nu komm mir nicht mit kannste ja nicht . Läuft ja alles 1A. Frag hier ja nur um die "maximale" Sicherheit zu bekommen. Was ja, laut Support, "gar nicht" nötig ist. Naja nach dem Urlaub gehts weiter. Bin ja nicht doof und man sollte sich auch n bisl fordern und nicht immer den leichtesten Weg gehen. Hab bis jetzt noch alles hinbekommen.

Ich danke dir trotzdem sehr für deine Bemühungen! Wenn noch Tipps oder passende Leseempfehlungen hat, nur her damit .

 

[blurrrr]

Jut, dann noch der Tip am Rande: Lass die einzelnen Schnittstellen aussen vor, Regeln gelten für ALLE Schnittstellen, das gestaltet es ein wenig einfacher (und weniger fehleranfällig). Damit hättest Du grundsätzlich erstmal jede Regel doppelt (für jeweils LAN + VPN) für die "internen" Geschichten, zzgl. den Regeln für die "externen" Zugriffe (wobei ich aus dem Ausland vermutlich sowieso alles via VPN machen würde). Erstell zuerst eine allgemeingültige Regel (über "alle Schnittstellen") wo Du den Zugriff aus dem LAN erlaubst (damit Du nicht Dich nicht aussperrst), dann löscht Du erstmal alle anderen Regeln auf allen Interfaces und legst diese neu für "alle Schnittstellen" an. Damit hast Du zumindestens schon mal alles direkt im Blick. Unten der Radiobutton wandert dann zu "Wenn keine Regel zutrifft: Zugriff verweigern" (aber bloss vorher die erste Regel setzen, damit Du Dich nicht aussperrst! (Ich kann es nicht oft genug erwähnen )). Theoretisch könntest Du auch hingehen und grundsätzlich 2 Regeln definieren: LAN darf alles, VPN darf alles. Zugriff von extern aus (ANY) halt eben so, wie schon die Portfreigaben der Fritzbox geschaltet sind. Daraus ergäbe sich (ohne Nennung spezieller Schnittstellen, sondern für "alle Schnittstellen") folgendes:

(Quelle -> Dienst -> Ziel -> Regel)

LAN -> ANY -> ANY -> erlauben
VPN -> ANY -> ANY -> erlauben
ANY -> <Dienstangabe> -> Syno -> erlauben (Dienste natürlich entsprechend den Portfreigaben auf der Fritzbox)
ANY -> ANY -> ANY -> verbieten

Damit dürfen die Clients aus dem LAN und dem VPN-Netz auf sämtliche Dienste zugreifen (inkl. VPN-Netz auf das Internet, wird hier allerdings kein Masquerading (NAT) genutzt, fehlt ggf. in der Fritzbox noch die Rückroute zum VPN-Netz), von extern darf man an die freigegebenen Dienste dran und alles andere ist verboten. Das wäre soweit erstmal das einfachste Konzept diesbezüglich. Natürlich kannst Du auch hingehen und die Dienste aus LAN/VPN einschränken, als kleines Beispiel sei hier mal der SSH-Zugriff genannt, welcher mitunter aus dem LAN erreichbar sein sollte, aber ggf. aus dem VPN-Netz nicht, aber all diese Dinge unterliegen der eigenen Paranoidität. (Das mit den "Routen" kannst Du übrigens von der Windows-Eingabeaufforderung mittels "tracert" testen, bei den meisten anderen Systemen wäre es dann "traceroute".)

Frag hier ja nur um die "maximale" Sicherheit zu bekommen.

Du solltest Dir vor Augen halten, dass es mitunter Begrifflichkeiten wie "gefühlte" Sicherheit gibt und "gefühlte Sicherheit" und "reale Sicherheit" sind zwei ganz verschiedene Paar Schuhe. Ich will Dir das mal ein weniger erläutern: Dieses ganze Gekasper mit Einschränkungen der Dienste im LAN und VPN ist ja total toll. Die Sicherheitsprobleme sind aber meist ganz anderer Natur. Als kleines Beispiel: Wenn ich jemandem ein entsprechend Gerät einrichte, gibt es z.B. für die Mobilgeräte (nur Handy+Tablet, nicht Laptops) i.d.R. nur "lesenden" Zugriff (mit einem extra User für Mobilgeräte). Warum? Weil 99% aller Benutzer (das ist natürlich vorher abzuklären) sowieso "nur" lesend auf das NAS zugreifen. Grade Mobilgeräte erleben derzeit einen richtigen Hype was Malware angeht und die wenigsten haben Virenscanner o.ä. laufen. Kurzum: falsche App installiert und schon gehts los: dank dem schreibenden Zugriff des Mobilgeräte-Users können sämtliche Daten auf dem NAS verseucht oder verschlüsselt werden. Schon mal drüber nachgedacht? Du fixierst Dich hier wirklich "sehr" auf irgendwelche Firewall-Regeln, doch die allein bestimmen definitiv nicht das Maß an gewünschter Sicherheit. Verhält sich - wo wir doch so schön beim Autobeispiel waren - ein wenig so, als würdest Du nochmal ein extra Schloss vor die Autotür hängen. Das mag mitunter ein "mehr" an Sicherheit bringen, keine Frage, jedoch schützt das nicht, vor allem anderen. Ebenso wenig schützt es vor Webseiten, welche ggf. div. Hintertürchen nutzen (als Beispiel sei einfach mal ein Aufruf von 192.168.178.1 mit entsprechenden Parametern zur Veränderung der Konfiguration von einer externen Website genannt, besonders toll, wenn Logininformationen dann noch automatisch ausgefüllt und umgesetzt werden (Autologin)). Mag bei Dir nicht zutreffen, aber es ist - nach wie vor - eben eine "theoretische" Möglichkeit. Der Großteil der "richtigen" Angriffe basiert auch vornehmlich nicht unbedingt auf "technischen" Sicherheitslücken, sondern ist eher dem Thema Social Engineering zuzuschreiben. Sicher mag es da entsprechende anderweitige Vorfälle geben, aber durch die Vielzahl von technischen Sicherheitsmaßnahmen macht das einfach nicht mehr soviel Spass. In der Theorie solltest Du auch vor jedem WLAN Abstand halten, welches die Kommunikation der WLAN-Teilnehmer untereinander "nicht" unterbindet (ist weitaus weniger verbreitet in kleineren bis mittleren Hotels als man meint, Geiz ist halt geil, da nimmt man gerne "günstige" Anbieter). Ich könnte hier noch unzählige Beispiele aufzählen, aber das würde den Rahmen bei weitem sprengen. Fakt ist jedenfalls: allein die Firewallregeln bestimmen bei weitem nicht das Maß an Sicherheit. Man kann Zugriffe einschränken, sicher, grundsätzlich erstmal eine "gute" Variante. Dementsprechend muss man sich aber auch um die Clientseite kümmern, denn ohne sich auch um die Clientseite Gedanken zu machen, bringt all der Firewall-Kram auf dem NAS herzlichst wenig. Kurzum: sich nur um "eine" Seite zu kümmern bringt so ziemlich... garnichts.

Schlusswort: Den Myfritz-"Scheiss" kann man übrigens soweit runterbrechen, dass es "nur" noch als DDNS fungiert (ohne den ganzen Freigabemist), aber das nur mal so am Rande. Wäre jedenfalls eine Lösung die innerhalb von 15 Minuten erledigt wäre und "funktioniert", denn dort gilt auch: LAN/VPN -> ANY -> ANY -> erlauben. Ist natürlich auch total super, so kurzfristig vor dem Urlaub damit anzufangen. Merke: "mal eben schnell" geht meistens "völlig" in die Hose

 

[HATI]

Danke für die Mühe. Aber ich glaube du unterschätzt mich ein wenig . Ich stimme dir zu 100% zu. Nur beginne ich meine Reise der Absicherung meines NAS nicht mit jetzigen Anpassung der Regeln der Firewall sondern beende eben diese. Ich nutze den NAS alleine und bis vor ein paar Monaten ausschließlich lokal. Der externe Zugriff in DE bzw. "sicheren" Netzen (Haus Familie nebenan) funzt ohne Probleme über WebDAV oder Browser per https. Per Handy (nur mein Handy) gehts nur mit einem nicht Admin auf bestimmte Ordner und zum schreiben nur in einen Share Ordner. Sowas wie nen Auto-Login gibts natürlich auch nicht. Also mein NAS ist schon sehr gut abgesichert und von extern per DDNS nur zu erreichen wenn ich es brauche. Da das nicht oft der Fall ist sind die externen Ports dann natürlich im Router zu.

Den Anfang den du beschreibst hab ich ja. Ob nu für alle Schnittstellen oder eben je für LAN und VPN macht ja keinen Unterschied nur eben das ich es 2x machen muss. Und wie du im ersten Post sehen kannst hab ich genau das gemacht.

LAN
- Verwaltungsprogrammoberflächen: selbst definierter TCP Port (HTTPS), wie in Fritzbox
- WebDAV: selbst definierter TCP Port (HTTPS), wie in Fritzbox
- VPN Server UDP Ports: 500, 4500, 1701
- Windows Dateiserver TCP Port: 445

Wenn keine Regel zutrifft: Zugriff verweigern

VPN
- Verwaltungsprogrammoberflächen: selbst definierter TCP Port (HTTPS), wie in Fritzbox
- WebDAV: selbst definierter TCP Port (HTTPS), wie in Fritzbox
- VPN Server UDP Ports: 500, 4500, 1701
- Windows Dateiserver TCP Port: 445

Wenn keine Regel zutrifft: Zugriff verweigern


Der Zugriff von extern ohne VPN also per WebDAV (WinSCP oder Windows direkt oder Kodi per Notebook oder Shield etc...) funzt ja auch mit der Konfiguration ohne Probleme! Alles funzt ohne Probleme. Nur der VPN lässt sich egal welche Ports ich freigebe dazu bewegen zu laufen wenn ich "Wenn keine Regel zutrifft: Zugriff verweigern" einstelle. Wenn ich das nicht mache, also nur bei VPN (ich trenne das ja mit Absicht) dann funzt auch das 1A. Das ist ja das was mich so wundert. Es bleibt nur ein logischer Gedanke über. Es fehlt im etwas was ich freigeben muss. Nur was? Und eben nur dem VPN bei "Wenn keine Regel zutrifft: Zugriff verweigern"! Alles andere, auch externe Zugriffe eben ohne VPN, funzen ohe Probleme. Das ist mein Problem. Und das ergibt für mich keinen Sinn. Und so kurz vor dem Urlaub ist das nu auch nicht passiert. Hab hier erst am 01.07 gefragt aber vorher natürlich schon intensiv versucht mein Zeil zu erreichen.

Aber wie gesagt du hast vollkommen Recht. Nur nach meinem Empfinden habe ich genau das was du sagst gemacht!

LAN -> ANY -> ANY -> erlauben
VPN -> ANY -> ANY -> erlauben

LAN > jeder der anfragt darf > alles was ich nutze (das ist ja nicht so viel, siehe oben)
VPN > jeder der anfragt darf > alles was ich nutze (das ist ja nicht so viel, siehe oben)

Aber sobald ich dann sage ANY -> ANY -> ANY -> verbieten wird es nix mit dem VPN. Egal ob für jede Schnittstelle oder eben für alle zusammen.

Essenz: Alle Dinste funktionieren lokal wie extern mit ANY -> ANY -> ANY -> verbieten (damit meine ich die Ports oben dürfen und sonst nix). Aber eben der Scheiß VPN nicht. Das ist ja der Witz.

 

[blurrrr]

"Ob nu für alle Schnittstellen oder eben je für LAN und VPN macht ja keinen Unterschied" -> "Doch, macht es."
"Nur nach meinem Empfinden habe ich genau das was du sagst gemacht!" -> "Nein, hast Du nicht."

Wie gesagt, ist auch nur ein freundlicher Rat, mach halt wie Du meinst, Du weisst es eh besser

Du solltest aber die "Gateway"-Geschichte überdenken und die Ansprechpunkte, wenn Du via VPN eingewählt bist.

 

[HATI]

Weil du meinst das wenn ich es für die jeweilige Schnittstelle mache die sich gegenseitig stören?

Vielleicht bin ich zu doof aber nicht mehr lange . So schwer kann das doch nicht sein. Wobei es schwer genug dafür ist das sich hier jemand anderes äußert. Also versteh mich bitte nicht falsch. Ich finde es sehr nett das du mir deine Zeit "opferst"!

Ich werde es nach dem Urlaub noch mal in Ruhe über alle Schnittstellen versuchen und mich langsam rantasten. Auch wenn das immer viele sagen werde ich mich dann diesbezüglich hier melden .

 

[blurrrr]

Ich sage nicht, dass sich die Regeln gegenseitig "stören", sondern, dass es durchaus einen Unterschied macht, auf welcher Schnittstelle die Regeln liegen. Daher auch der Rat die Regeln einfach global über "alle" Schnittstellen zu setzen (= weniger Fehlermöglichkeiten). Wünsche viel Erfolg

 

[Robsi12]

Hi blurrrr. Du scheinst dich zu dem Thema hervorragend auszukennen. Ich hätte auch eine Frage an dich was das Thema "VPN und Sicherheit" angeht. Ich würde auch gerne nur noch über den VPN-Tunnel der Fritzbox auf meine DS zugreifen.
Somit wäre ich doch in der Lage, alle bis jetzt offenen Ports der Fritzbox zu schließen? Ich kann ja dann schließlich nur noch über VPN auf meine Fritzbox und die DS zugreifen.
Brauche ich dann überhaupt noch die Firewall der DS?
Bietet der VPN-Tunnel ein Maximum an Sicherheit?
Alle Geräte, die bis jetzt am LAN oder WLAN im Heimnetzwerk eingebunden sind, können aber weiterhin ohne VPN-Zugang kommunizieren oder?

Danke & Gruß

Robsi12

 

[NSFH]

Ich antworte schon mal vorab für meinen Bruder im Geiste

Richtig, wenn du VPN mit der Frit machst brauchst du keine weiteren Ports ausser die bisher genutzten auch, also die Standard Ports für Surfen und Mailen.
Die Firewall der Syno schützt nochmals deine Daten. Sollte es jemand in dein LAN schaffen kann er sich über alle Ports her machen. Von daher ist diese Stück Sicherheit nicht unwichtig.
Hast du die Syno so verrammelt hast du alles getan, was in deiner Macht steht um deine Daten zu schützen.
Auf dein Heimnetzwerk hat das logischer Weise keinen Einfluss, schliesslich landest du mit deinem VPN ja auch da. Heisst alles was du im Heimnetz noch machen kannst kann auch der VPN Client.

Dazu hast du noch einen anderen Vorteil, wenn du über unsichere WLANS surfst, Ausland, Hotel, McDoof usw. Du wählst dich mit VPN in deine Fritz ein und ab dann surfst du über deine Heimleitung, absolut sicher.

 

[Robsi12]

Hallo NSFH. Danke für deine Antwort.
1.Ich war bisher der Meinung, VPN wäre vergleichbar mit einem LAN-Kabel. Innerhalb meines Heimnetzes bräuchte ich ja auch keine offenen Ports. Muss ich tatsächlich die jetzt weitergeleiteten Ports auch mit VPN so belassen? Ich habe halt jetzt die Ports offen, die ich für den Betrieb der DS brauche, dazu noch DS File und DS Drive.
2. Wenn ich VPN an der Fritzbox aktiviere, kann ich dann auch nur noch über VPN die Verbindung herstellen oder auch über die bisher möglichen Wege? Ich möchte halt nicht mehr, dass jemand nur durch das Eintippen meiner Domäne auf das DSM kommt. Der einzige Weg um auf meine NAS vom Internet her zu kommen, soll der VPN-Tunnel sein.

 

[blurrrr]

@NSFH

Ich antworte schon mal vorab für meinen Bruder im Geiste

@robi
1) jain, es verhält sich "nicht ganz" so, wenn lediglich das remote-Netz eingebunden wird. Wird alles weitergeleitet ist es schon eher so. Es gibt zwar noch ein paar "Feinheiten" (wie z.B. Broadcasts), aber es kommt ganz darauf an, für welche Zwecke Du das VPN nutzt. Bei Zugriff auf z.B. irgendwelche Dokumente wirst Du vermutlich keinerlei Unterschied feststellen, allerdings kannst Du via VPN z.B. auch direkt via SMB/CIFS (z.B. Netzlaufwerk) zugreifen. Ebenso als wärst Du Zuhause im LAN. Die Geräte, welche sich sowieso im LAN befinden, sind davon nicht betroffen, da läuft alles so weiter wie bisher.
2) Das VPN ersetzt "sämtliche" Portfreigaben, diese werden also garnicht mehr benötigt, ausser Du möchtest, dass jemand von aussen Zugriff auf bestimmte Dienste der Synology erhält. Abzuschalten wären demnach: Portfreigaben auf dem Router, Quickconnect und sonstige Dienste, welche den Zugriff von aussen auf das NAS erlauben (bis auf VPN natürlich).

 

[Fusion]

Nein, dann brauchst du keine Portweiterleitungen im Router mehr. Du kommst nur noch per VPN auf deine DS.
Innerhalb des LAN sind automatisch alle Ports offen, solange sie keine Firewall blockiert.