DNS Einstellung für OpenVPN an der Diskstation

[michaelmueller123]

Tag zusammen, entschuldigt falls die Frage schonmal aufkam, aber ich hab ettliche Threads hier gelesen nund noch keine Antwort auf mein Problem gefunden. Vermutlich geht es allgemein um VPN und ich habe zu wenig Ahnung ;-(

Ich habe auf der Fritzbox einen DDNS Dienst laufen (Empfehlung hier war: Nutz die Fritzbox nicht die DS, die ist näher an der dynamischen IP und kann das besser) Verständlich für mich und kein Problem.

Ich habe OpenVPN in der DS eingerichtet. Ich denke es ist "sicherer" das auf der DS zu machen. 1. kann ich OpenVPN nutzen und zweitens ist die Freigabe auf der DS und für die DS somit ist im Zweifel nicht gleich das ganze Netz der Fritzbox kompromittiert. Außerdem muss ich keine weiteren Porweiterleitungen auf der Fritzbox einrichten.
UDP Port an der FB hab' ich freigegeben. VPN Verbindung läuft.

Jetzt fehlt mir nur noch das i-Tüpfelchen. Ich möchte die DS nicht über die 10.x aus dem VPN erreichen, sondern über meine ganz normale 192.x IP Adresse. Sonst müsste ich ja jedesmal in allen Apps die IP Adresse ändern wenn ich aus meinem WLAN ins VPN wechsle.

Aktuell funktioniert das natürlich nicht, weil mein VPN Client ja eine 10.x IP vom VPN hat. Wo und wie genau kann ich also die VPN-Server IP 10.x auf meine 192.x der DS Routen? DNS Server? Da blick ich nicht was die richtige Einstellung ist. Ich komm auch mit einem diskstation.local klar (das funktioniert im WLAN) aber auch hier hab' ich keinen Plan wo ich das wie weiterleiten müsste

Danke Euch!

 

[the other]

Moinsen,

Ich habe OpenVPN in der DS eingerichtet. Ich denke es ist "sicherer" das auf der DS zu machen.

Das Gegenteil ist der Fall, nur kann die Fritzbox eben kein openVPN. Alternativ mit AVM-VPN mal versuchen (oder muss es unbedingt openVPN sein?)
AVM biette da ne leichte Anleitung zu, einfach mal AVM VPN bei der Suchmaschiene deiner Wahl eingeben...

 

[michaelmueller123]

Warum ist der Gegenteil der Fall? Aktuell wird ein UDP Port auf die DS Durchgeschliffen. Wenn das jemand aushebelt hat er Zugriff auf die DS. Wenn ich die Kommunikation der Clients verbiete wars das dann.

Wenn ich den VPN in der Fritte einrichte müssen die Clients kommunizieren dürfen und wenn das jemand aushebelt, hat der doch kompletten Zugang zum LAN.
Außerdem muss ich sämtliche Ports auf der Fritte zur DS öffnen und jeder offene Port ist doch wieder ein potentielles Sicherheitsrisiko?

 

[the other]

Moinsen,
VPN Server sollten afaik immer eher auf der Peripherie liegen, eher nicht so in mitten des Netzwerkes, schon gar nicht auf dem Fileserver.
Warum solltest du (neben den VPN benötigten Ports) dann noch weitere öffnen müssen?
Wenn jemand den openVPN der DS aushebelt, dann ist er ja auch im Netzwerk...

Würd ich jedenfalls mal so denken (hab aber die Weisheit auch nicht mit dem Löffel gefressen)...

 

[blurrrr]

somit ist im Zweifel nicht gleich das ganze Netz der Fritzbox kompromittiert

Also darüber würde ich nochmal im stillen Kämmerlein nachdenken, wenn man bedenkt, dass sich "beide" Geräte im gleichen Netz befinden und die DS ebenfalls einen Zugang zum LAN hat ??

EDIT: Wenn Du so auf "Sicherheit" bedacht bist, solltest Du Dir vielleicht mal darüber nachdenken, dass Firewall-Thema auf ein extra Gerät auszulagern und Dich ggf. ein wenig in die Thema VLAN, etc. einzulesen.

 

[michaelmueller123]

Klar ist die DS im gleichen LAN, aber wenn ich die Kommunikation unterbinde hab ich einen Tunnel direkt auf die DS und dort die IP meines VPNs und damit eben kein Zugriff auf die anderen Geräte (dachte ich).
Ich bin OpenSource-Fan und allein deshalb schon Freund von OpenVPN. Wenns die Fritte könnte, würd' ichs darüber erledigen ;-)

 

[the other]

Moinsen,
naja...
ANGENOMMEN jemand kompromittiert den VPN Zugang und kapert darüber dein NAS, dann ist es auch ein kleiner Schritt, dein dann korruptes NAS mittels backdoor so zu nutzen, dass es (steht ja schließlich auch mit der LAN IP in deinem Netz) auch dein LAN weiter korrumpiert.
Und selbst wenn man jetzt mal nicht davon ausgeht, dass das so einfach wäre...dann ist der pöse Purche immerhin schon auf deinem NAS und damit deinem Fileserver.
WENN du paranoid genug bist (und glaub mir, dass meine ich gar nicht böse!) davon auszugehen, dass jemand den VPN Tunnel knackt und sich da einschleicht, dann solltest du eher daran gehen und dein Netzwerk umgestalten, etwa den Vorschlägen folgend, die @blurrrr genannt hat.
jm2c

 

[blurrrr]

aber wenn ich die Kommunikation unterbinde

Welche Kommunikation willst Du wo unterbinden? Hat man das NAS in Beschlag, kann man auch alle anderen Schnittstellen nutzen, oder geht es nur um den reinen "Zugang"? In diesem Fall kannst Du bei der Fritzbox auch händisch eine Config anlegen und diese importieren. Denke was für Dich dann an Parameter "interessant" wäre, wäre vermutlich jeder welcher hier: "accesslist". Nachteil ist eben, dass Du die gesamte Config händisch stricken darfst

EDIT: So ein VPN-Zugang ist übrigens definitiv nicht unter den Top10 der Einfallstore ?

 

[michaelmueller123]

Okay, das ist ne Argumentation die mich zum überlegen bringt. Auch wenn es nicht primär um den Fileserver geht.
Ich finds einfach doof, dass AVM nicht OpenVPN integriert, das hat so ein bisschen ein Geschmäckle von Hintertür für irgendwen. Auch wenn ich nichts ilegales betreibe und sich die NSA bei mir langweilen würde, trotzdem ...

 

[blurrrr]

Alternative sieht eben so aus, dass Du Dir extra Hardware besorgt, die hinter die FB wirfst und dort ein VPN machst inkl. vernünftiger Firewallsteuerung mit allem Zip und Zap (typische Vertreter wären hier pfSense/OPNsense, usw. - der eine wird jetzt dies schreien, der andere jenes... kannste machen wie Du lustig bist, hauptsache Du kommst damit klar)

 

[michaelmueller123]

Oder doch noch nen Synology Router gekauft ;-)

 

[michaelmueller123]

Es ist halt die Suche nach dem heiligen Gral, einerseits soll alles tippitoppi sicher und open source sein, andererseits soll der Pflegeaufwand wenig bis am liebsten null sein. Gibt es nicht, ist mir bekannt.

 

[the other]

Moinsen,

Ich finds einfach doof, dass AVM nicht OpenVPN integriert,

Und ich finds doof, dass mein Chef mir nicht das doppelte Gehalt überweist
Sorry, der musste sein.

Oder doch noch nen Synology Router gekauft

Ähhhh.....nein!
Das ist murks (ahem).
Kauf dir entweder für billig nen Raspi und mach openVPN darauf oder gleich was richtiges (Draytek, open/pfsense usw). Haste mehr von. Trust me.

 

[blurrrr]

einerseits soll alles tippitoppi sicher und open source sein, andererseits soll der Pflegeaufwand wenig bis am liebsten null sein

Willkommen in Utopia! Bis die Maschinen Deine Gedanken lesen und alles selbstständig umsetzen, ist es noch weeeeiiiiiter Weg, aber: Gib die Hoffnung nicht auf! Dennoch ein wenig Ernüchterung: Vermutlich wirst Du das nicht mehr erleben ?

(Ich würde alterstechnisch mal so ganz vermessen auf maximal 30 tippen (vermutlich noch jünger), das ist die Generation, wo viele meinen, dass Dinge doch "einfach so" funktionieren müssten - also die Generation die schon mit Smartphone groß geworden ist (*klick* installiert & *klick* benutzt & alles andere ist halt "magic happens", hat aber zu funktionieren!)) ?

EDIT: Korrigier mich gerne, wenn ich so derbe daneben liege ?

 

[michaelmueller123]

Da liegst du leider ganz daneben!
Ich bin eher mit dem C64 aufgewachsen und als Entwickler tätig. Ich will diese ganze automatisierte KI Scheiße nicht einfach akzeptieren und mich freuen dass ich mit dem iPad das Licht im Kühlschrank ausschalten kann, sondern einfach mein "eigenes Ding" nutzen. Dennoch verdiene ich mein Geld mit anderen Dingen und habe auch noch andere Hobbys, ich sitze also nicht jeden Abend Freude strahlend vor dem Raspi und friemel daran rum, da hack ich lieber Hoz.
Ich hab ja bewusst vom heiligen Gral geschrieben da mir schon klar ist dass das nicht funktioniert. Ich suche halt den richtigen Mittelweg zwischen Aufwand und Nutzen.
Die von dir beschriebene Zielgrupe braucht übrigens kein Nas, die speichern ihre 12 Milliarden schlecht geschossenen Fotos einfach in der Cloud und freuen sich wenn das neue iPhone ganz Magic den Kram einfach anzeigt ohne was zu tun.

 

[blurrrr]

Hehehe, ok, bin ich ein Stück weit bei Dir ?

 

[diver68]

Jetzt fehlt mir nur noch das i-Tüpfelchen. Ich möchte die DS nicht über die 10.x aus dem VPN erreichen, sondern über meine ganz normale 192.x IP Adresse. Sonst müsste ich ja jedesmal in allen Apps die IP Adresse ändern wenn ich aus meinem WLAN ins VPN wechsle.

Aktuell funktioniert das natürlich nicht, weil mein VPN Client ja eine 10.x IP vom VPN hat. Wo und wie genau kann ich also die VPN-Server IP 10.x auf meine 192.x der DS Routen? DNS Server? Da blick ich nicht was die richtige Einstellung ist. Ich komm auch mit einem diskstation.local klar (das funktioniert im WLAN) aber auch hier hab' ich keinen Plan wo ich das wie weiterleiten müsste

Danke Euch!

Statische Route in der FB:
ipV4 Netzwerk: 10.8.0.0
Subnetz: 255.255.255.0
Gateway: 192.x.x.x (ip Deiner FB)

 

[michaelmueller123]

Nach meinem Verständniss bin ich doch gar nicht auf der Fritzbox von daher bringt die Route dort auch nix oder?

 

[diver68]

Wieso bist Du nicht auf der FB? Dein OpenVPN client fragt die DynDNS ab und landet auf der FB.

 

[blurrrr]

Ich möchte die DS nicht über die 10.x aus dem VPN erreichen, sondern über meine ganz normale 192.x IP Adresse.

Soweit ich weiss, ging es hier drum und nicht darum, ob man sich erst via VPN einwählt, nur um dann wieder rauszugehen, um die DynDNS-Adresse anzusprechen, aber... ich mag mich auch irren ??