ExpressVPN auf NAS einrichten

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.400
Punkte für Reaktionen
389
Punkte
129
@blurrrr hat da schon das richtige Dokument verknüpft. Es beschreibt die Einrichtung des Synology VPN-Pakets als OpenVPN-Client, um so ExpressVPN als Server zu erreichen. Das passt ...
 

synfor

Benutzer
Mitglied seit
22. Dez 2017
Beiträge
4.112
Punkte für Reaktionen
389
Punkte
163

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.400
Punkte für Reaktionen
389
Punkte
129
@synfor Wortklauberei ... es wird ein OpenVPN-Profil auf der DS angelegt, mit dem man dann den ExpressVPN-Server erreichen kann.

Wäre es WireguardVPN, wäre es ein Peer, weil WG Peer to Peer aufgebaut ist. OpenVPN hat eine Server - Client - Struktur. Ist ExpressVPN dein Server, bist du ein Client. In diesem Fall ein OpenVPN-Client. Daran beißt die Maus kein USB-Kabel ab.
 

synfor

Benutzer
Mitglied seit
22. Dez 2017
Beiträge
4.112
Punkte für Reaktionen
389
Punkte
163
OpenVPN hat eine Server - Client - Struktur. Ist ExpressVPN dein Server, bist du ein Client. In diesem Fall ein OpenVPN-Client. Daran beißt die Maus kein USB-Kabel ab.
Darum ging es gar nicht, sondern um deine Behauptung "Es beschreibt die Einrichtung des Synology VPN-Pakets als OpenVPN-Client, um so ExpressVPN als Server zu erreichen." die nun mal falsch ist. Das einzige Synology VPN-Paket ist der VPN-Server, der weder benötigt wird, noch deren Einrichtung als Client beschrieben wird. Da hilft es nichts, sich mit Wortklauberei herausreden zu wollen.
 

emp217

Benutzer
Mitglied seit
16. Nov 2019
Beiträge
67
Punkte für Reaktionen
0
Punkte
6
Hallo Leute.

Noch läuft hier gar nix, hatte noch keine Zeit dafür. Muss ich mir jetzt mal zu Gemüte führen.

Das, was ich gefunden hatte, war wohl das Falsche. Ich will ja tatsächlich nicht aus meinem NAS einen VPN Server machen, sondern mich mit einem verbinden. Beim Anbieter nachzuschauen, darauf bin ich ehrlich gesagt nicht gekommen. Danke schon mal dafür. Die ganze NAS-Welt ist ziemlich neu für mich. Das alles kann so viel, wovon ich nicht mal ansatzweise Ahnung habe. ;-)

Ich will mich eben der Sicherheit wegen am NAS mit ExpressVPN verbinden, da mein NAS ständig online is und dadurch gehackt werden könnte. Dem will ich halt damit vorbeugen und hoffe, ich bin da auf dem richtigen Weg.

Kann mir bitte jmd erklären, was dieser Hinweis bedeuten soll?
Important: The OpenVPN manual configuration does not offer the same security and privacy benefits as the ExpressVPN app. If your router does not support AES-NI (e.g., Asus RT-AX88U and RT-AC86U), you may experience occasional speed issues while using the OpenVPN manual configuration.
Am PC bin ich ja über die App verbunden, mein Router kann kein VPN. Die Speed Issues betreffen mich dann nur, wenn ich von außen darauf zugreife oder auch im lokalen Netzwerk dann? Aber so schnell läuft mein NAS ohnehin nicht.
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.084
Punkte
248
Dat heisst nur, dass wenn die NAS-CPU AES-NI nicht unterstützt (Hardware-gestützte Verschlüsselung), dass es dann software-seitig gemacht wird und dann ziemlich auf die Performance drücken kann. Also schau nach, welche CPU in Deinem NAS ist und ob diese AES-NI unterstützt. Betrifft halt die VPN-Verbindung. Wenn das Express-Moped so ein IP-Verschleierungszeug ist, dann wird das auch nur die Verbindung der Syno ins Internet betreffen.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.780
Punkte für Reaktionen
441
Punkte
109
Moinsen,
Ich will mich eben der Sicherheit wegen am NAS mit ExpressVPN verbinden, da mein NAS ständig online is und dadurch gehackt werden könnte. Dem will ich halt damit vorbeugen und hoffe, ich bin da auf dem richtigen Weg.
...verstehe ich nicht richtig.
Ist dein NAS nach außen offen, oder meinst du mit online nur, dass es immer an ist und nur im internen Heimnetz online?
Wenn du es Hackern schwer(er) machen willst, dann ist imho anderes wichtiger:
wenn (nur wenn) du dein NAS von außen gar nicht erreichen musst/willst, dann isses egal
wenn du anonymer surfen willst, dann kannst du dir so einen Dienstleister angeln (bist aber nicht wirklich anonym, da ist viel Werbeunfug dabei)
wenn du dein NAS für spezielle Dienste und überschaubare Menschenmengen aus dem Netz erreichbar machen willst, dann ist VPN das Mittel der Wahl (gerade wegen Sicherheit)
wenn du das Ding permanent online im www haben willst / musst, dann musst du an anderen Ecken schrauben

Insgesamt macht es Hackern das Leben schwerer, wenn du a) ne gute Netzwerkstruktur pflegst b)ne Firewall nutzt (ggf. bei immer aus dem www erreichbarer NAS zusätzlich ne eigene, zb ipfire/opensense/pfsense/usw) und besonders c) du diszipliniert und vorsichtig als User bist, denn heute kommen die meisten Angriffe nicht mehr so Maatrix mäßig daher, heute heisst es stattdessen "Sie haben Post, möchten Sie den Anhang öffnen"...
 
  • Like
Reaktionen: blurrrr

emp217

Benutzer
Mitglied seit
16. Nov 2019
Beiträge
67
Punkte für Reaktionen
0
Punkte
6
Mit online meine ich eingeschaltet und da der Router ja auch verbunden ist, ist es somit online. Durch die Seite von Synology hab ich auch den Fernzugriff auf das NAS gewährt. Natürlich nicht mit dem Standardbenutzer. Die Menschenmenge ist sehr überschaubar, das betrifft nur einzelne Nutzer.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.780
Punkte für Reaktionen
441
Punkte
109
Moinsen,
das wäre ja schröcklich....
Nein, dein Router hat da in aller Regel was eingebaut, das sich kurz gesagt NAT nennt und ein gaaaanz einfache Barriere darstellt, um effektiv alles abzustoppen, was ungefragt von außen kommt. Ende. Wenn dahinter (in deinem Heimnetz) was aktiv und mit dem Router verbunden ist, dann kommt da von außen keiner ran.
ES SEI DENN, du durchlöcherst diese Barriere, etwa indem du viele Portfreigaben und -weiterleitungen einrichtest. Das machen viele, etwa um bestimmte Dienste nach außen eben erreichbar zu machen. Ist aber doof und überflüssig. Denn dafür gibt es eben VPN: du öffnest somit entweder keinen (wenn der VPN Server auf dem Router ist) oder maximal eine Tür (wenn der VPN Server hinter dem ROuter ist). Alles wird dann durch diese VPN Verbindung gereicht und ist somit auch noch zwischen den Stationen verschlüsselt.
Du kannst also: dir eine immer erreichbare Adresse besorgen (DynDNS / alternativ Synology oder AVMmyfritz), dir dann zu Hause einen eigenen VPN Server aufstellen/einrichten, allen Menschen, denen du da vertraust die benötigten Infos zur Einwahl zur Verfügung stellen. Dann kommt nur noch rein, wer von dir "eingeweiht" wurde. Alle anderen bleiben draußen. Da aber dieser VPN-Server durch die (einzige) Portfreigabe und-weiterleitung erreichbar ist, sollte der nicht auf dem NAS liegen, sondern wie gesagt entweder auf dem Router oder zB auf nem Raspberry PI.

edit: bevor es Mecker gibt, das ist super vereinfacht dargestellt, also nicht kreuzigen...
 
  • Like
Reaktionen: Synchrotron

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.400
Punkte für Reaktionen
389
Punkte
129
Ertränken und vierteilen wäre noch im Angebot ... oder ´ne Woche Raspi-Entzug :oops:

Eine Verbindung zu XXX-VPN (setze beliebigen VPN-Anbieter ein) nützt nichts, um von außen sicher ins Heimnetzwerk zu kommen. Das nützt nur etwas, um z.b. den eigenen Netzbetreiber nicht sehen zu lassen, wo ich so rum surfe. Oder um aus einem unsicheren fremden / öffentlichen Netzwerk eine sichere Verbindung aufzubauen.

Um von außen sicher ins eigene Netz zu kommen, muss ich tatsächlich einen eigenen VPN-Server einrichten, und mich damit von außen verbinden. Für den Anfang empfehle ich da gerne den auf der FritzBox integrierten VPN-Server. Der ist einfach einzurichten, und weil er auf dem Router selbst läuft, muss ich keinen Port aufmachen. Damit kann dabei wenig(er) schief gehen.
 
  • Like
Reaktionen: blurrrr und the other

emp217

Benutzer
Mitglied seit
16. Nov 2019
Beiträge
67
Punkte für Reaktionen
0
Punkte
6
Relativ sicher komme ich von außen ja über die Funktion von Synology auch auf mein NAS.
Mein Gedanke war eher, wenn ich am Laptop mich mit dem VPN verbinde, um vor Hackern geschützt zu sein, so muss das doch auf dem NAS den gleichen Effekt haben. Nicht? Mir geht's ja darum, dass meine Daten nicht ausspioniert werden können - weder die am Laptop noch die auf dem NAS.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.780
Punkte für Reaktionen
441
Punkte
109
Moinsen,
wie sollen die Daten denn ausspioniert werden?
a) auf dem NAS:
- jemand bricht in dein Heimnetzwerk ein (dagegen: sichere Passwortwahl, lang, konplex, fürs WLAN)
- jemand logt sich auf dem NAS ein (dagegen: Benutzer anlegen, starke Passwortwahl)
- jemand hackt sich von extern in dein Netzwerk ein (dagegen: keine PWLs anlegen, lieber VPN, alles andere an Ports zumachen)
- Updates immer einspielen, nur Dienste nutzen, die du wirklich benötigst, Firewall im LAN anmachen und sauber konfigurieren

b) auf dem Client Laptop:
- jemand klaut es oder nutzt es unbefugt (dagegen: starke Passwortwahl, nicht als admin angemeldet sein für alltägliches)
- Updates einspielen

c) jemand belauscht den Netzwerkverkehr und hofft so, Passworte auszulesen oder Daten auszulesen / abzugreifen
- dagegen: auch im eigenen Netzwerk https nutzen, von extern nur mit VPN, keine credentials "mal eben" via email weitergeben

Wenn aber jetzt jemand sagt, HA! emp217 wird gehackt, koste es was es wolle! dann je nach Kenntnisstand null bis wenig Chancen. Aber WARUM??
Wenn du die üblichen Gepflogenheiten berücksichtigst, verschlüsselte Verbindungen (https, SFTP, ssh, VPN) nutzt und den Kopf einschaltest, dann passiert idR auch nix.
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.400
Punkte für Reaktionen
389
Punkte
129
Bei Nutzung deines Heimnetzwerks und Internetzugangs geh davon aus: Solange dich dein Internetprovider nicht hackt, bist du mit oder ohne VPN genauso sicher. Wenn du dir per Mail oder Webseiten-Download einen Trojaner auf den Rechner holst, nützt es 0,0, dass das über ein VPN passiert.

Und dann ist noch die Frage: Welchen ausgehenden Traffic soll der VPN-Anbieter denn schützen, bezogen auf dein NAS ? Denn eingehender Traffic läuft nicht über den VPN-Service (außer du selbst wählst dich von außen ein, aber das ist eine andere Baustelle, dazu muss auf dem Handy oder Notebook der VPN Dienst installiert sein, nicht auf der DS).
 

emp217

Benutzer
Mitglied seit
16. Nov 2019
Beiträge
67
Punkte für Reaktionen
0
Punkte
6
Das klingt soweit ja logisch. Der Meinung war ich bisher auch. Dennoch soll man ja mit einem VPN auf der sichereren Seite sein, was Hackerangriffe betrifft, PW-Spionage etc.

@the other: Was meinst du mit PWLs? Die Abkürzung ist mir nicht geläufig.

Von einer Freundin habe ich gehört, ein ITler habe ihr geraten, die externe Festplatte nur gelegentlich (schon regelmäßig natürlich) anzuhängen und ihre Daten zu sichern, denn wenn sie sie permanent dranlasse, könnte es sein, dass sie nix mehr hat. Anscheinend hatte er wohl einen Fall, bei dem jmd so durch einen Hackerangriff alle Daten verlor. Ob das nun ein Privatkunde war oder nicht, weiß ich nicht. Sie jedenfalls ist Privatkunde und er hat es ihr trotzdem geraten. Daraus schließe ich auch eine Gefahr fürs NAS, denn das hängt ja wirklich ständig drin.
 

the other

Benutzer
Mitglied seit
17. Okt 2015
Beiträge
1.780
Punkte für Reaktionen
441
Punkte
109
Moinsen,
PWL = Portweiterleitung
Du kommst mit DynDNS auf den Router. So. Und dann? Willst ja zur login Seite vom NAS. Also sagts du dem Router: wenn hier was ankommt für diesen Port, dann bitte direkt weiterleiten zu XYZ. Mal ganz ganz einfach gesagt...
Ja, da hat der ITler überraschenderweise auch voll recht gehabt. :ROFLMAO:;)
Bei den modernen "Hackerangriffen" kommt meist kein nerdig aussehender Typ mit matrix-ähnlichen Aktivitätetn an, sondern du bekommst ne sehr echt aussehende Mail von jemanden, den du zu kennen meinst, öffnest doof wie Brot den Anhang und BAM: Verschlüsselungstrojaner und Freunde auf dem System. Wenn dann dein backup auf externer usb immer dran hängt, tja, doof. Daher immer abstöpseln und ggf. jeden Monat abwechselnd ne andere hdd (Monat gerade A, ungerade B)...
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.400
Punkte für Reaktionen
389
Punkte
129
Reines Bauchgefühl: Du sammelst aktuell alle möglichen „was könnte passieren wenn“ Geschichten auf, machst dir Sorgen, suchst noch mehr von dem Kram, und riskierst jetzt, dir deine bis jetzt schöne kleine Heim(netz)Welt komplett zu verbasteln.

Am Ende hast du vermutlich vieles eingerichtet, was wenig nützt, aber kostet, keinen Spaß mehr, weil die Performance weg ist und vielleicht sogar noch Türen aufgemacht, die bisher geschlossen waren.

Hier sind 8 einfache Dinge, die dabei helfen, Probleme zu verhindern. Dabei geht es im wesentlichen um Dinge, die man selbst umsetzen kann, und die dabei helfen, das eigene kleine Netzwerk sauber zu halten.

https://xo.tc/asds-essential-eight.html
VPN für daheim ist nicht dabei, weil es für den Privatanwender auf der Couch wenig hilfreich ist. Das ist eher relevant, wenn du selbst von außen auf dein Heimnetzwerk zugreifen willst - oder 50 Kollegen im HomeOffice oder im Außendienst Verbindung zum Server brauchen.
 
  • Like
Reaktionen: the other