Drive - Port 10003 - sicher oder lieber VPN

[macuser]

Hallo, ich migriere gerade von Google Office unsere sämtliche Logistik, wo 40 Leute an Online-Dokumenten arbeiten, auf unsere 715+.
Eigentlich wollte ich alle mit VPN ausstatten, damit alle auch von zu Hause arbeiten können. Jedoch ist der Aufwand riesig, es gibt nur 15 Open-VPN-Zugänge in der DS.
Die restlichen müsste ich im Lancom-Router anlegen, wobei ich jedesmal eine separate Gegenstelle und Firewallregeln erstellen muss....
Ich bin davon ausgegangen, dass man Drive (alias Google Office) nur mit 5001 erreichen kann. Dieser Port wird nie freigegeben, viel zu heiß.
Durch Zufall habe ich entdeckt, dass man durch die Freigabe von 10003 (https) nur die App Drive freigibt. Wer sich einloggt hat nur das Office und dein DSM vor der Nase.
Habt ihr Erfahrungen diesbezüglich mit der Sicherheit? Auf alle Fälle würde ich die Kollegen zu einer 2 Faktoren Authentifizierung nötigen.

Über ein Feedback würde ich mich freuen. Ich kann mir auch vorstellen, dass die Last auf der DS extrem ist, wenn die 15 VPN-Tunnel ausgelastet sind.

Viele Grüße Macuser

 

[blurrrr]

s. PN

 

[NSFH]

Ähnliches habe ich bereits hinter mir. OpenVPN via Synology kommt aus den von dir aufgeführten Gründen nicht in Frage. Ausserdem wollte ich nicht den Server selbst mit VPN belasten.
Ich habe den Router gegen einen Draytek VPN Router Vigor2960 ausgetauscht. Der Vigor bekommt alle Nutzerdaten (>60) via Radius von der Syno. Das reduziert die Nutzerverwaltung auf ein Minimum.
Die Nutzer greifen via L2TP/IPSec auf das Netzwerk zu. Es geht aber auch VPN via SSL, was ganz praktisch ist.
Die 2FA kannst du für die Nutzer in der Syno selbst einstellen, denn der erste Zugangsschritt ist die Auth beim VPN Server, der zweite Schritt die Auth an der Syno.
Das läuft absolut stabil und zufriedenstellend!
Und nicht vergessen, der Internetanschluss muss im Uplink schnell sein und auch der Router muss eine enstprechende Bandbreite für VPN besitzen!
Was du aber überdenken solltest ist deine Vorgehensweise, halte ich für höchst kritisch.
Zuerst mal solltest du ein neues System aufbauen und ausgiebig testen, bevor du anfängst Daten zu migrieren. Das ist in einer Produktivumgebung höchst fahrlässig!
Heisst grob:
1. Analyse der wirklich benötigten Hardware und ggf. auch Software, Web Anbindung
2. Analyse der eingesetzten Clients, BS und lokale Sicherheit (Bedenke, dass die externen PCs in das LAN eingebunden werden!)
2. Beschaffung und Konfiguration
3. ausgiebiger Test
4. Testbetrieb mit wenigen ausgewählten Nutzern
5. Migration und Umstellung

 

[macuser]

Hallo, Danke für das Feedback. Privat habe ich ebenfalls einen Draytek Vigor 2680ac (mit den dickeren Antennen ANT1207 und zwei AP902ac dazu). Die sind wirklich Klasse.
Jedoch baut die gesamte Vernetzung auf Lancom (1781 VAW) auf. Vier Standorte sind per VPN über eine Zentrale vernetzt. Über den VPN-Server des Lancom habe ich einen Client-Zugang. Ich bekomme das Grausen, allen einen VPN-Zugang einzurichten und beizubringen, wie man damit arbeitet. Die Firewall-Regeln (Lancom) für die VPN-Zugängen soll in diesem Fall den Zugriff auf die DS beschränken...das ist technisch kein Problem.

Das einzige was momentan nach außen offen ist, wäre sftp, DDNS, 7001 (Filestation) und neu 10003 (Drive-App). Eventuell könnte man auch die Drive-App auf einen anderen Port umlenken, eventuell über 10003? Die 2-Faktor-Authentification sollte doch eigentlich genügend Sicherheit bringen? Nach 5 fehlgeschlagenen Logins ist sowieso Feierabend.

Die Leitung ist fix, 100/40. Wir hoffen auf Glasfaser irgendwann....

Grüße Macuser

 

[NSFH]

Verstehe das jetzt nicht. Warum nutzt du OpenVPN von Synology, wenn die Lancoms als VPN Server arbeiten?
Ausserdem müssten die LANCOM auch Radius können. Dann hast du mit wenigen Klicks aus der Syno alle Anmeldedaten in dem Router.
Die Anmeldung aller Nutzer via VPN kannst du selbst vorbereiten.
Dazu nutz du den Freeware VPN Client von Shrewsoft. Dort kannst du für jeden die Anmeldedaten eintragen und dann als File exportieren (Fleissarbeit).
Dem Nutzer schickst du nur den Downloadlink für Shrewsoft und das Config-File mit einer einfachen Anleitung. Das war's.
Idealerweise legst du noch eine Batchdatei bei, welche via UNC-Pfad ein Nw-Laufwerk für den Serverzugriff einrichtet, nachdem der Login über den VPN Client erfolgt ist.

Einzige, vereinfachte Alternative ist WebDav, was ich auch im Einsatz für externe Clients habe. Das lässt sich einfach mit Bordmitteln von Win7-Win10 einrichten.
Was du unbedingt machen solltest ist ein Port Redirection auf den Routern, also auf keinen Fall die Original-Ports nach Aussen zeigen lassen. Dann besser Ports im hohen 5-stelligen Bereich raussuchen, die noch nicht fix belegt sind und darüber die Verbindung herstellen. Intern bleibt dann alles wie es ist.
Für MACs ist WebDav nicht gerade der Bringer. Entweder nutzt du Cyberduck für die Zugriffe oder kaufst zB NetDrive Clients, womit es super funktioniert.

 

[macuser]

Hallo, Danke für die Erläuerungen. Shrewsoft habe ich schon mit einigen Kollegen in Verwendung und alle VPN-Kanäle des Lancom ausgereitzt.
Der Zugriff von Außen soll sich nur auf die Drive-App konzentrieren, kein Webdav etc., mittels https://domain.de:10003
Arbeit mit Dokumenten und Tabellen wie bei Googledrive.
Wenn ich meinen Kollegen Shrewsoft mit einer Config sende..... für uns einfach, für die meisten böhmische Dörfer. Wie kann man den Port 10003 im Router maskieren? Das wäre vielleicht ein sehr guter Ansatz. Danke und Grüße

 

[NSFH]

Nennt sich Port Redirection.
Der nach Aussen zeigende Port ist dann zB 23005, der nach Innen zeigende 10003.
Ist eine ganz einfache Geschichte.
So kannst du auch direkt über einen Internetbrowser mit https://meinedomain.de:23005 auf Drive zugreifen, ohne VPN. Der Nutzer muss nur in der Syno registriert sein.
Wenn du dann noch in der Firewall der Syno (ich gehe davon aus, dass du sie komplett zu machst bis auf die benötigten Ports) als Zugriffsland nur D auswählst und 2FA aktivierst bist du eigentlich schon gut unterwegs.
Eines darfst du bei unbedarften VPN Nutzern niemals vergessen: Ist er per VPN in deinem Server-LAN kann jegliche IP-basierte Schadsoftware von seinem PC in deinem LAN Schaden anrichten.
Jetzt kannst du dir aussuchen ob dir Pest oder Cholera lieber ist

Zum Schutz des eigenen LANS habe ich einen der LAN-Ports im Router als VLAN konfiguriert und in der Syno das gleiche VLAN auf einem der vier Nw-Ports eingerichtet. Von Aussen kommt man also nur noch durch den Router direkt auf den speziellen Internet-Port der Syno. Der ist dann entsprechend mit der Firewall verrammelt. So bleibt das Server-LAN vom Internetverkehr unbehelligt.
Ich denke das geht mit dem Lancom auch.

 

[macuser]

Hallo, dann schaue ich mal nach der Änderung des Außenports, ansonsten ist nur Deutschland aktiviert, 2FA muss ich noch einrichten. Die Kollegen mit VPN-Zugang werden vom Lancom-Router nur auf die DS geleitet, für alle anderen Bereiche im Netzwerk gesperrt. Das geht gut per F-Regel. Dann habe ich doch die Lösung, allerbesten Dank, Port maskieren, nur die Drive-App freigen, 2FA und fertig.

Den VPN-Server habe ich in der DS deaktiviert, schluckt ganz schön viel Power. Das geht über den Lancom wesentlich besser.

Grüße M

 

[NSFH]

Das ganze mit VPN zu machen um sich dann erst lokal auf den Server einzuloggen ergibt in meinen Augen nicht viel sicherheitstechnischen Sinn, so wie du das Clientel beschreibst.
Ich habe das gleiche Problem. Auf Firmen-PCs läuft VPN, aber die Drittnutzer mit ihren eigenen PCs auf VPN umzustellen und das dann auch nur per Fernwartung hat sich als Katastrophe heraus gestellt. Dann doch lieber die Kröte ohne VPN schlucken
Dann viel Erfolg bei der Umstellung.

 

[macuser]

So werde ich es machen, ich überlege noch, ob ich alle selber versuchen lasse die 2-FA-A einzurichten

 

[NSFH]

geht das? ohne Zugang zum DSM?
Nur grundsätzlich wird das wohl kaum einer freiwillig machen, da es den Zugang verkompliziert.

 

[macuser]

Klar geht, habe jetzt leider keinen PC hier um zu sehen. Apps/Berechtigungen, die entsprechenden Haken setzen, Drive funktioniert ohne DSM-Login. Grüße

 

[NSFH]

das Drive ohne DSM geht ist klar, das ist bei allen Apps so, aber das man 2FA als Nutzer aktivieren kann ist mir neu.

 

[macuser]

Jetzt habe ich aber einen nächtlichen Schreck bekommen nach deiner Nachricht und bin noch einmal an den Rechner... es geht bei normalen Usern. Sonst wäre mein Konstrukt implodiert. Grüße

 

[NSFH]

Ist mir schon klar, dass 2FA bei allen usern geht, mich hat irritiert, dass die Nutzer dies selbst einstellen sollen. Das kann doch nur der Admin im Nutzerprofil.
Ich glaube wir reden hier irgendwie aneinander vorbei.

 

[FrAntje]

In den Einstellungen erzwingt man dies für alle Nutzer. Beim nächsten Login eines Benutzers, wird dieser dann genötigt es einzurichten oder er kann nicht weiter.

 

[macuser]

Auch nicht schlecht, dann müssen sich die Nutzer mit der Materie befassen.

 

[macuser]

Hallo, mittlerweile ist alles durch. Die Einrichtung findet so statt. Ich habe jetzt noch keine automatisierte Backup-Funktion. Benötigt man die die Spiegelung ein identisches NAS? Das wird schwierig, da wir eine 715+ haben. Geht die Kombination beispielsweise 715 mit 815?

Grüße

 

[NSFH]

Dazu hat Synology eine Kompabilitätsliste und ein whitepaper veröffentlicht. Die Anforderungen an gleiche Hw sind extrem hoch, die kleinste Abweichung bei HDs und RAM kann Probleme bereiten.

 

[macuser]

Hallo, unserer Keller-Google läuft hervorragend. Nächstes Jahr kommen in den Keller zwei baugleiche DS, eine als Ausfallserver. Kleiner Wehrmutstropfen, caldav geht mit IOS nicht. Unter Windows mit Thunderbird, emclient und unter Mac mit ical kein Problem. Nur das iphone zickt. Gibt es da eine Lösung? Verbinden tut sich alles problemlos, aber keine Kalender syncen. Eigenartigerweise geht der Carddav-Sync. Grüße M