Disktation von außen nur über VPN erreichbar?

[xyNNN]

Hallo,

erst einmal ein gepflegtes Moin Moin an alle Leute aus der Community, ich hoffe ihr könnt mir bei meinem Zielvorhaben helfen.

Meine Diskstation ist von außen via DDNS (name.synology.me) erreichbar. Um den Hostnamen noch etwas aufzuhübschen, habe ich eine Subdomain "cloud.meinedomain.de" via CNAME Record auf den DDNS Hostname weitergeleitet. Das funktioniert alles super. Einzig mich stört nun, dass die Box bzw. das Webinterface von außen erreichbar ist. Daher würde ich nun gerne VPN nutzen. Daher habe ich den VPN Server auf dem NAS installiert, L2TP konfiguriert und die Ports 1701, 500, 4500 an meine Diskstation weitergeleitet.

Ich habe nun noch das Problem, dass weiterhin die Box von außen erreichbar ist, ich aber intern via Hostname (nur noch direkt via IP) nicht mehr draufkomme. Innerhalb des Netzwerkes kann ich mich mit den Zugangsdaten im VPN anmelden, wobei das eh nicht das Problem ist, da die Box ja sowieso noch erreichbar ist.

Ich hoffe ich konnte mich einigermaßen erklären und freue mich auf ein positives Feedback!

Vielen Dank im Voraus und einen schönen Abend,
Grüße xyNNN

 

[Nima]

Welchen Router hast du? Ich würde ddns und VPN im Router und nicht in der ds konfigurieren

 

[xyNNN]

Hey,

ich habe einen Router von Kabel Deutschland, ich glaube die Marke ist HITRON. Leider habe ich da sehr geringe Einstellungsmöglichkeiten, eigentlich kam ich bis jetzt ohne Fritz!Box aus Aber es geht doch auch direkt über das NAS? Sollte doch theoretisch auch funktionieren?

 

[Tommes]

Hi!

Einzig mich stört nun, dass die Box bzw. das Webinterface von außen erreichbar ist.

Demnach hast du den Port 5000 und/oder 5001 nach extern freigeben, richtig?

Daher habe ich den VPN Server auf dem NAS installiert, L2TP konfiguriert und die Ports 1701, 500, 4500 an meine Diskstation weitergeleitet.

Weitergeleitet per UDP oder TCP?

Ich habe nun noch das Problem, dass weiterhin die Box von außen erreichbar ist...

Hast du evtl. immer noch den Port 5000/5001 weitergeleitet?

ich aber intern via Hostname (nur noch direkt via IP) nicht mehr draufkomme. Innerhalb des Netzwerkes kann ich mich mit den Zugangsdaten im VPN anmelden, wobei das eh nicht das Problem ist, da die Box ja sowieso noch erreichbar ist.

Das verstehe ich nicht ganz

Tommes

 

[Nima]

Systemsteuerung, externer Zugriff, Routerkonfiguration, Haken bei 5000 und 5001 raus.

 

[xyNNN]

Guten Morgen an alle,

erst einmal Vielen Dank für die zahlreichen Antworten.

Ich hatte einen kleinen Denkfehler, die VPN Verbindung funktioniert nun einwandfrei - ich habe die entsprechenden UDP Ports freigeschaltet und konnte mich dann via lokale IP Adresse auf meiner Box anmelden.
Ich hatte eigentlich den Wunsch, dass ich optional via meinedomain.ddns.xyz auf meine Box zugreifen kann, sobald eine Verbindung besteht. Wenn aber die Verbindung besteht, bin ich ja durch den VPN Tunnel in meinem lokalen Netzwerk und kann direkt via feste IPv4 Adresse auf die Box zugreifen. Soll heißen entweder ich nutze VPN und gebe auch nur die entsprechenden UDP Ports für das VPN frei, oder ich gebe entsprechenden Ports frei, um direkt via Domain auf meine Box zuzugreifen, dann brauche ich aber keine VPN Verbindung - oder wie habt ihr das ganze gelöst, um von extern zuzugreifen? Nutzt ihr VPN? Zu großes Sicherheitsrisiko den Port 5001 (Oder Default Port auf XYZ, wobei Port Scanner dann auch freien Weg haben) freizugeben? Lieber wirklich nur via VPN zugreifen?

Freue mich auf eure Antwort, würde mich echt interessieren wie Ihr das gelöst habt.

Grüße!

 

[heavy]

Ich habe sie normal offen, da auf ihr auch webseiten laufen, und nutze den VPN um sicher an Wlan Hotspots zu surfen und auf die anderen NASen zugreifen zu können.

 

[xyNNN]

Das heißt mehr als ein sicheres Passwot sowie Two-factor authentication tust Du nicht als Absicherung? Sobald Das System einmal geknackt wird, hat man Zugriff auf Deine ganzen Daten?

 

[Tommes]

Also... beim Thema Sicherheit im Internet geht es um viel mehr, als nur um starke Passwörter. Und sobald du deine DS (oder was auch immer für ein Gerät aus deinem lokalen Netzwerk) ins Internet schreien läßt, läufst du auch Gefahr angegriffen zu werden.

VPN bietet da eine sehr gute und vor allem sichere Möglichkeit, das ganz umzusetzen. Und ich würde Dinge wie die DSM-Administration, den SSH-Zugriff und wie sie alle heißen, wenn überhaupt, ausschließlich über VPN administrieren und nicht über Portfreigaben alá 5001, 22 usw. gehen. Aber das ist natürlich auch abhängig von seiner eigenen Paranoia.

Meine DS ist ausschließlich über VPN erreichbar, da ich als Webserver einen Raspberry Pi einsetze(siehe Signatur), wobei hier nur die Ports 80/443 im Router freigeben sind. Natürlich habe ich das ganze System gehärtet und arbeite aktuell noch an weiteren Sicherungsmaßnahmen.

Tommes

 

[heavy]

Also PPTP ist geknackt L2tp ist geknackt Ipsec ist geknackt und ich selber habe gesehen wie ein 31 Stelliges mit 2024 Bit AES 265 verschlüsseltes Passwort aus SonderZeichen innerhalb von Sekunden geknackt war, da auch AES hintertüren hat. Sobald ich einen VPN Tunnel zu meinem Netzwerk habe sind sowieso alle daten erreichbar. Aber in den 4 Jahren, seit dem meine DS erreichbar ist konnte ich keinen Hackangriff feststellen.

Ich habe alle Daten nochmal auf einer Zweiten DS die nur zum Backup hochfährt und ansonsten nicht erreichbar ist.

 

[Tommes]

@heavy
Ich kann deine Ausage weder bestätigen noch dementieren (ausgenommen PPTP) wobei sich mir auch hier die Frage stellt, ob sich der Aufwand wirklich lohnt, mein System damit auszuhebeln... aber gut.

Ich könnt jetzt auch auf die Straße gehen und würde von einem Auto überfahren. Ergo... no risk no fun!

Tommes

 

[xyNNN]

Ich befinde mich da ziemlich im Zwiespalt. Ich fand einfach den Overhead beim Ordnen und Archivieren von analogen Unterlagen immer schon zu hoch. Daher habe ich mich entschieden meine ganzen Unterlagen zu digitalisieren, um zum einen die Daten viel einfacher jederzeit Abrufbereit zu haben und auch den Aufwand beim Ordnen und Archivieren zu verkleinern. Somit muss ich meine analogen Unterlagen einfach nur in einen Jahresordner packen, als "Backup".

Da ich das ganze nicht bei meinem aktuellen Cloud Hosting Anbieter á la Google Drive machen wollte, kam die Synology Diskstation ins Spiel. Grundsätzlich will ich jetzt ein Kompromiss zwischen Komfort und Sicherheit haben. Theoretisch möchte ich genauso wie vorher auf meine Daten zugreifen können, ohne entsprechenden "Overhead" via VPN zu haben, anderseits soll das ganze natürlich entsprechend abgesichert sein. Wobei man sich dann natürlich auch fragen muss, wie akut die Gefahr ist das man Ziel eines Angriffs wird, aber das ist noch ein anderes Thema.

Ist eben nicht ganz einfach ...

Danke soweit schon mal für eure Antworten.

 

[heavy]

http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html (PPTP)
https://anonymweb.de/vpn-protokoll-vergleich-pptp-vs-l2tp-vs-openvpn-vs-sstp-vs-ikev2/ (l2tp) Es gab auch einen Artikel bei heise der entweder gelöscht wurde oder den ich einfach nicht mehr finde.
Für die Hintertür kann ich natürlich keinen Artikel liefern, da die aktiv von den Geheimdiensten ausgenutzt wird und die natürlich kein Interresse haben, das die bekannt wird.

 

[juwi]

@heavy
Ich kann deine Ausage weder bestätigen noch dementieren (ausgenommen PPTP) [...]

Tommes

Soweit ich weiß gilt nur die in Microsoft Server Versionen eingesetzte Verschlüsselung über "MS CHAPV2" als geknackt bzw. relativ schnell überwindbar?!?
Demzufolge sollten Linux (Server) Implementierungen von PPTP (z.B. auf dem Synology NAS) davon nicht betroffen sein auch wenn IPSEC sowie OpenVPN die deutlich sichereren sowie zu bevorzugenden VPN Varianten sind.

Link: http://www.heise.de/newsticker/meldung/Microsofts-PPTP-gehackt-41411.html
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.html