VPN: Transportverschlüsselung zum Portmapper notwendig?

Status
Für weitere Antworten geschlossen.

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Hi,

muss mein OpenVPN über einen Portmapper-Dienst namens feste-ip.net laufen lassen, der den Traffic dann an ipv6:1194 (TCP) der Synology weiterleitet. Auf der Syno ist ein OpenVPN-Server eingerichtet und Verbindung funktioniert soweit auch ganz gut.
Nur brauche ich noch ein HTTPS Proxy, damit die Verbindung bis zu feste-ip.net Portmapper verschlüsselt ist oder sind die übertragenen Daten sicher verschlüsselt? Computer verschlüsselt ja theoretisch den gesamten Traffic und wird dann erst von der Syno entschlüsselt.
Die (internen) IPs und URLs die ich eingebe werden aber im Klartext für feste-ip.net lesbar richtig? Das wäre fatal.
Die Synology selbst list auf HTTPS konfiguriert.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
ganz genau, die Frage ist ob man das unbedingt braucht. Will halt nicht, dass feste-ip.net vertrauliche Daten mitlesen können.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254
Komme gerade nicht mit. Wenn du vom Handy eine http Anfrage absetzt, meinetwegen zum login auf die DS, dann liegt es doch an dir und dann hilft auch kein Proxy. Du bist doch selbst dafür verantwortlich ob du http oder https verwendest.
Oder habe ich jetzt dein Vorhaben falsch verstanden?
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
nene mir gehts nur um die Verbindung zu meinem Server. Im lokalen Netzwerk habe ich nicht überall HTTPS wenn ich mich mit der DS verbinde. Könnte feste-ip dank http von mir (remote) zu deren Server Anfragen mitlesen, z.B. von Windows (SMB)? Der Server ist bei mir zuhause und ich greife per VPN auf die Syno als Netzlaufwerk in Windows zu. Bei einer direkten Verbindung stellt sich keine Frage wegen der Sicherheit, aber jegliche Anfragen laufen bei mir ja über feste-ip Portmapper! Streamverschlüsselung hin oder her, Sachen wie angefragte URLs, IPs, Dateinamen usw. kann feste-ip.net dann doch wie ein MITM problemlos mitlesen?
Also wenn ich mit meinem VPN Server auf der DS verbunden bin, rufe ich bzw. Windows natürlich die interne IP der DS auf, z.B. 192.168.123.123
Ob beim SMB Protokoll eine ausreichende Verschlüsselung verwendet wird, weiß ich als Laie nicht.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254
Also wenn ich das jetzt richtig verstanden habe, geht es dir nur um eine Kompromittierung seitens feste_ip? Gehst du da nicht ein bischen zu weit? Wenn du deine Gedankengänge weiter verfolgst, dürftest du dann keinem externen Anbieter mehr vertrauen! OpenVPN, Synology, Google, Microsoft... Die Liste wäre endlos.

Wenn ich dir jetzt "dpi" vor den Latz knalle, schaltest du dann dein internet ab? ;)
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Ja genau^^ Naja man will das System ja so sicher wie möglich halten wenn man es schon ans Netz hängt. Zitat Heise: "Eine Technik gegen DPI ist der Einsatz von HTTPS strikt statt HTTP." :)
Jetzt mal zu SMB: DSM 6 unterstützt anscheinend Version 4 und ab Version 3 wird End-to-End Verschlüsselung (AES) unterstützt. Allerdings erst ab Windows 8, Windows 7 kann nur SMB 2.0 und damit keine SMB Verschlüsselung.

https://www.synology.com/de-de/knowledgebase/DSM/help/DSM/AdminCenter/file_winmacnfs_win
"SMB3: SMB3 wird seit Windows 8 und Windows Server 2012 unterstützt. Es handelt sich dabei um die erweiterte Version von SMB2. SMB3 unterstützt die AES-basierte Verschlüsselung der Datenübertragung und verbessert auf diese Weise die Sicherheit von Peer-to-Peer-Dateiübertragungen."

Irgendwie komme ich erst auf die richtigen Fragen und zur Lösung nachdem ich es im Forum poste :rolleyes:

Gruß vom Windows 10 PC :D
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Dazu ist wohl nichts mehr zu sagen, ausser vllt noch: Wenn es Dir Sorgen bereitet, dass feste-ip irgendwas via VPN mitlesen könnte... warum dann "ausgerechnet von denen" noch einen Proxy mieten? Das wäre schon echt arg hohl....Das erinnert mich ein wenig an älteres Thema, wo es darum ging, dass man doch bitte sämtliche Synology-Adressen, welche das Syno-NAS anfunken könnte sperren sollte... auf dem Syno-Router... :rolleyes:

Wenn Dir feste-ip als Dienstleister nicht zusagt, ganz einfache KIste: selbst machen! Ein VPS kostet auch nicht mehr die Welt und ewig viel Performance brauchst Du da für Dein Vorhaben wohl auch eher nicht, ergo wird die VPS-Kiste auch günstiger. Anbieter für VPS gibt's wie Sand am Meer, feel free (nur etwas auf den Traffic aufpassen, sonst wirds teuer ;)).
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Alo jetzt muss ich nochmal was hinzufügen: Sicherheitsproblem war ein totaler Denkfehler von mir. Es wird ja lediglich die Kommunikation per Port 1194 (OpenVPN) durchgeführt und die ist end-to-end mit eigenem SSL Zertifikat stark verschlüsselt. Da kann feste-ip nichts brauchbares abgreifen. Ein Login im Webbrowser auf der DSM Oberfläche ohne durchgehend HTTPS allerdings ist brandgefährlich und da sollte man definitiv mindestens ein HTTPS Proxy für den 5001er Port mieten.
Alternative wurde mir noch ein CHR (Cloud Hosted Router) z.B. Mikrotik empfohlen. Oder gleich ein VPS mit root wie du sagst aber den vor Angriffen sicher zu machen ist ne ziemliche Hausnummer.
Ich denke, sobald man sich per VPN eingeloggt hat kann man ohne Bedenken unverschlüsselt über die lokale IP auf DSM Oberfläche zugreifen. Wobei meine DS so eingestellt ist, dass HTTP Verbindungen automatisch auf HTTPS weitergeleitet werden.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.597
Punkte für Reaktionen
1.173
Punkte
254
Ein Login im Webbrowser auf der DSM Oberfläche ohne durchgehend HTTPS allerdings ist brandgefährlich

Ist das jetzt etwas neues? Http ist immer gefährlich in vielen Szenarien. Das mit dem Proxy leuchtet mir nicht ganz ein.
Wenn die Anfrage vom Client mit https erfolgt, ist die Verbindung verschlüsselt - Punkt.
Einzig was problematisch sein könnte / ist, ist die Aktivierung des "automatisch http auf https umleiten) Dienstes in DSM. Hier verhält es sich nämlich so, dass eine Anfrage über http erstmal unverschlüsselt zur DS gelangt und erst intern umgswitcht wird. Ich denke das könnte dahingehend gefährlich sein, wenn man Autologins verwendet.
Muss ich mal zu Ende Denken dieses ganze Szenario.
 

Loading--------

Benutzer
Mitglied seit
20. Mai 2018
Beiträge
145
Punkte für Reaktionen
1
Punkte
0
Nein, aber wohl etwas Offensichtliches. Ich hab nen Denkfehler gemacht ursprünglich mit der ganzen Fragestellung an sich.
Ein HTTPS Proxy beim Portmapping-Dienst ist ja nur für Port 443 damit man auf den HTTPS-Port der Syno kommt(5001). Beim VPN wird ja aber direkt der Rechner per IP mit Port 1194 angesprochen und die Kommunikation ist durch das VPN verschlüsselt. Sobald ich über VPN verbunden bin, ist der komplette Stream verschlüsselt. Bei SMB3 und lokal SSL via HTTPS zusätzlich im lokalen Netzwerk verschlüsselt. Da spielt es auch keine Rolle ob man HTTP "lokal" auf Port 80 anspricht. Der Stream wird ja vor dem Senden durch VPN verschlüsselt.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat