DSM 6.x und darunter Firewall Einstellungen
- Ersteller hitindags
- Erstellt am
Alle DSM Version von DSM 6.x und älter
Ich habe die globalen Regeln gelöscht und in LAN angelegt. Dort verhält sich nun alles so, wie es soll. Unter VPN habe ich ALLES geblockt. Trotzdem ist mein Plex aus dem Internet erreichbar und DS lädt Daten über die IP des VPN. Ich verstehe es einfach nicht. Der VPN ist als Schnittstelle unter Netzwerk angelegt (siehe Screenshot).
Anhänge
Diskstation - Firewall and VPN Server
Wenn ich diesen Artikel richtig verstehe, ist der VPN Tab lediglich für Clients, die sich auf das NAS als VPN Server verbinden.
Wenn ich diesen Artikel richtig verstehe, ist der VPN Tab lediglich für Clients, die sich auf das NAS als VPN Server verbinden.
https://community.synology.com/enu/forum/17/post/73463?page=3&sort=oldest
Es ist nicht möglich die Firewall aufzuschalten. Das müsste serverseitig passieren. Einziger Weg: VPN auf dem Router laufen lassen und dort eine Firewall zwischenschalten. Schade!
Es ist nicht möglich die Firewall aufzuschalten. Das müsste serverseitig passieren. Einziger Weg: VPN auf dem Router laufen lassen und dort eine Firewall zwischenschalten. Schade!
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.100
- Punkte für Reaktionen
- 541
- Punkte
- 154
Moinsen,
ja, das ist so. AFAIK behandelt die NAS Firewall allen (und nur den) eingehenden Verkehr. Da du dein NAS aber als VPN Client nutzt (warum doch gleich mit dem Anbieter??), baut ja dieser AUSGEHEND den Tunnel zum Server des VPN Providers auf. Da greifen die Regeln also null.
Du könntest also in der Tat den VPN Client auf einen potenten Router legen. Ob dieser dann aber eine Firewallfunktion bietet, welche den im Tunnel eingehenden Verkehr nach Ports blockt...hmmm. Denn eigentlich läuft zwischen Client und Server bei VPN ja alles über (bei openVPN zb) EINEN Port (meist TCP 443 oder UDP 1194).
Was genau willst du denn eigentlich machen? Wenn ich dich recht verstehe, dann willst du dein NAS im Heimnetz LAN definiert offen und geschlossen halten. Okay. Ist auch gut und scheint ja jetzt auch zu laufen...
Den Internetverkehr willst du so regeln, dass alles zwischen NAS und www durch den Tunnel geht. Da erschließt sich mir der Sinn nicht (mir fällt gerade kein legales Szenario ein, warum Netzverkehr des NAS über VPN gehen sollte, außer der Zugriff von Client auf NAS, aber du machst das ja andersherum).
Das Nutzen von VPN Providern wird ja meist damit beworben, Ländergrenzen aus dem Ausland zu umgehen oder mangels eigenem VPN Server "sicher" im Netz unterwegs zu sein. Wobei ich das "sicher" absichtlich in Häkchen setze, denn ob und was der VPN Provider mit den dort ankommenden Daten macht...who knows! Aber das ist hier nicht Thema.
ja, das ist so. AFAIK behandelt die NAS Firewall allen (und nur den) eingehenden Verkehr. Da du dein NAS aber als VPN Client nutzt (warum doch gleich mit dem Anbieter??), baut ja dieser AUSGEHEND den Tunnel zum Server des VPN Providers auf. Da greifen die Regeln also null.
Du könntest also in der Tat den VPN Client auf einen potenten Router legen. Ob dieser dann aber eine Firewallfunktion bietet, welche den im Tunnel eingehenden Verkehr nach Ports blockt...hmmm. Denn eigentlich läuft zwischen Client und Server bei VPN ja alles über (bei openVPN zb) EINEN Port (meist TCP 443 oder UDP 1194).
Was genau willst du denn eigentlich machen? Wenn ich dich recht verstehe, dann willst du dein NAS im Heimnetz LAN definiert offen und geschlossen halten. Okay. Ist auch gut und scheint ja jetzt auch zu laufen...
Den Internetverkehr willst du so regeln, dass alles zwischen NAS und www durch den Tunnel geht. Da erschließt sich mir der Sinn nicht (mir fällt gerade kein legales Szenario ein, warum Netzverkehr des NAS über VPN gehen sollte, außer der Zugriff von Client auf NAS, aber du machst das ja andersherum).
Das Nutzen von VPN Providern wird ja meist damit beworben, Ländergrenzen aus dem Ausland zu umgehen oder mangels eigenem VPN Server "sicher" im Netz unterwegs zu sein. Wobei ich das "sicher" absichtlich in Häkchen setze, denn ob und was der VPN Provider mit den dort ankommenden Daten macht...who knows! Aber das ist hier nicht Thema.
Verstehe die Frage nicht. Meinst du Express VPN?
Zu deiner anderen Frage: Anonymität und Sicherheit ist der Grund. Das Ding ist, wenn ich die Express VPN App als App nutze, schaltet sich ja auch meine OSX Firewall Little Snitch dazwischen. Ich verstehe nicht so ganz, warum DSM das nicht ermöglicht.
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.100
- Punkte für Reaktionen
- 541
- Punkte
- 154
Moinsen,
danke für deine Antwort. Nein, ich meinte nicht den speziellen Anbieter, sondern allgemein, warum für den Standard-Internetzugang überhaupt VPN nutzen. Ich kenn VPN besonder eben nur, um spezielle Dienste wegen ggf. Länderbeschränkung nutzen zu können (NetflixPrimeWasweißich aus Italien erreichen als doofes Beispiel) oder eben, um sich von extern sicherer auf das Heimnetz zu schalten als mit PWLs. Oder auch um von extern einen Tunnel auf den eigenen VPN Server aufzubauen, um etwas sicherer zu surfen...oder den Tunnel zur ständigen verschlüsselten Verbindung zweier entfernter Netzwerke als statischen Tunnel aufzubauen. Das will man dann ja auch ganz bewußt. Daher die Frage, was da jetzt die Firewall genau für eine Funktion erfüllen soll...Aber vielleicht ist es hier auch nur zu heiß und ich zu müde....
danke für deine Antwort. Nein, ich meinte nicht den speziellen Anbieter, sondern allgemein, warum für den Standard-Internetzugang überhaupt VPN nutzen. Ich kenn VPN besonder eben nur, um spezielle Dienste wegen ggf. Länderbeschränkung nutzen zu können (NetflixPrimeWasweißich aus Italien erreichen als doofes Beispiel) oder eben, um sich von extern sicherer auf das Heimnetz zu schalten als mit PWLs. Oder auch um von extern einen Tunnel auf den eigenen VPN Server aufzubauen, um etwas sicherer zu surfen...oder den Tunnel zur ständigen verschlüsselten Verbindung zweier entfernter Netzwerke als statischen Tunnel aufzubauen. Das will man dann ja auch ganz bewußt. Daher die Frage, was da jetzt die Firewall genau für eine Funktion erfüllen soll...Aber vielleicht ist es hier auch nur zu heiß und ich zu müde....
Ganz grundsätzlich:
https://vpnoverview.com/de/vpn-informationen/was-ist-ein-vpn/
Vielleicht beantwortet das deine Frage
https://vpnoverview.com/de/vpn-informationen/was-ist-ein-vpn/
Vielleicht beantwortet das deine Frage
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.100
- Punkte für Reaktionen
- 541
- Punkte
- 154
Moinsen,
yup, das umfasst ja etwa alles Gesagte.
Und dabei eben die Einschränkung: du vertraust dich einer weiteren Zwischenstation (dem VPN Provider) an und kannst nur hoffen, dass der deine Anonymität und Sicherheit auch wirklich ernst meint. Klar kann dann im Cafe neben dir nicht einfach einer mitlesen, das kannst du aber auch ohne VPN Dienstleister erreichen.
Dein NAS als Client ist also "anonym" unterwegs im Netz...
Jetzt versteh ich trotzdem (wie gesagt, die Hitze oder allgemeine Dummheit) nicht, was die Firewall dabei soll?
yup, das umfasst ja etwa alles Gesagte.
Und dabei eben die Einschränkung: du vertraust dich einer weiteren Zwischenstation (dem VPN Provider) an und kannst nur hoffen, dass der deine Anonymität und Sicherheit auch wirklich ernst meint. Klar kann dann im Cafe neben dir nicht einfach einer mitlesen, das kannst du aber auch ohne VPN Dienstleister erreichen.
Dein NAS als Client ist also "anonym" unterwegs im Netz...
Jetzt versteh ich trotzdem (wie gesagt, die Hitze oder allgemeine Dummheit) nicht, was die Firewall dabei soll?
Also erst stellst du grundsätzlich einen VPN infrage und jetzt die Firewall. Das hilft mir echt nicht weiter.
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.100
- Punkte für Reaktionen
- 541
- Punkte
- 154
Moinsen,
sorry! Das war nicht mein Ansinnen, im Gegenteil!!
Ich bin großer Fan und Verfechter von VPN und betone das hier im Forum so sehr, dass einige bestimmt schon genervt sind. Da bin ich voll bei dir. Allerdings geht es in 99% immer um den Zugriff auf das NAS von extern dabei. Ich würde dabei IMMER zu VPN raten, wenn ich von außerhalb auf mein Heimnetz zugreife.
Auch bin ich großer Fan sicherer Netzwerkstrukturen. Ich selber nutzedaher eine eigenständige Firewall (pfSense) und würde ebenfalls in heutigen Zeiten empfehlen, das Netzwerk bestmöglich abzusichern. Auch da hab ichmich wohl zu schwammig ausgedrückt!
Mir ging es nur um die Intention, erst einen anonymeneren und sichereren Zugang einzurichten und diesen dann für Torrent mit Firewall zu sperren, wenn doch ausdrücklich alles über den Tunnel gehen soll. Nur da rutscht der Groschen bei mir nicht...wie gesagt, schätze ich brauche ein Eis.
sorry! Das war nicht mein Ansinnen, im Gegenteil!!
Ich bin großer Fan und Verfechter von VPN und betone das hier im Forum so sehr, dass einige bestimmt schon genervt sind. Da bin ich voll bei dir. Allerdings geht es in 99% immer um den Zugriff auf das NAS von extern dabei. Ich würde dabei IMMER zu VPN raten, wenn ich von außerhalb auf mein Heimnetz zugreife.
Auch bin ich großer Fan sicherer Netzwerkstrukturen. Ich selber nutzedaher eine eigenständige Firewall (pfSense) und würde ebenfalls in heutigen Zeiten empfehlen, das Netzwerk bestmöglich abzusichern. Auch da hab ichmich wohl zu schwammig ausgedrückt!
Mir ging es nur um die Intention, erst einen anonymeneren und sichereren Zugang einzurichten und diesen dann für Torrent mit Firewall zu sperren, wenn doch ausdrücklich alles über den Tunnel gehen soll. Nur da rutscht der Groschen bei mir nicht...wie gesagt, schätze ich brauche ein Eis.
Also wenn ich den VPN Service richtig verstehe, dann muss ich mir über ungewollten inbound Traffic eh keine Sorgen machen, da der VPN Server ja quasi wie eine Firewall funktioniert. Ich möchte aber gar nicht, dass jeder Service auf meinem NAS oder damit verbundene Geräte unlimitierten Zugang auf das VPN und damit das Internet haben. Das würde ich gerne verhindern. Da greift die DSM Firewall aber seltsamerweise nicht.
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.100
- Punkte für Reaktionen
- 541
- Punkte
- 154
Moinsen,
und genau deswegen hab ich ja gefragt, warum Firewall auf VPN sein soll...
Du könntest (aber ob das lohnt?) genau so vorgehen, wie du ja bereits selber in Erfahrung gebracht hast: ein Router wird als VPN Client eingetragen, dieser baut den Tunnel auf und sendet als Gateway allen Verkehr durch den Tunnel. Hinter dem Router bzw. aus Sicht des NAS noch vor dem Router steht eine Firewall. Diese schaut sich auf dem NAS Interface den Verkehr an...und das Regelwerk sagt dann auf dem Torrentport: NÖ, läuft nicht. Es wird also immer noch der Verkehr im LAN gefiltert, bevor es dann durch den Tunnel geht.
Im Tunnel selber kann da wenig gefiltert werden, ist ja schließlich alles verschlüsselt...
Ich persönlich (achtung, Meinungsmache) finde, dass das Nutzen dieser Anbieter nur dann wirklich greift, wenn man keinen eigenen VPN Server betreiben kann oder will oder aber Dinge tut, die eben die IP komplett anonymisieren. AFAIK kann man das allerdings nicht verhindern, vielleicht erschweren...das kommt eben auf die Policies des Dienstleisters an...
Wenn ich mit etwas mehr Datensicherheit von zu Hause aus unterwegs sein möchte, dann reicht mir persönlich zum Surfen und Co eigentlich mein https, mein Pihole und mein unbound Server, der alle DNS Anfragen an die Hautp-DNS Server schickt und gesicherte Verbindungen dafür nutzt.
Von extern gehe ich nur über den eigenen VPN Server online. Damit bin ich zwar nicht anonym (denn der nutzt ja die heimische Adresse vergeben durch meinen ISP), das brauch ich selber aber auch nicht.
Ist aber eben MEIN Szenario. Insofern, alles off-topic.
So, und jetzt gibts wirklich n Eis.
Schönen Feierabend!!
und genau deswegen hab ich ja gefragt, warum Firewall auf VPN sein soll...
Du könntest (aber ob das lohnt?) genau so vorgehen, wie du ja bereits selber in Erfahrung gebracht hast: ein Router wird als VPN Client eingetragen, dieser baut den Tunnel auf und sendet als Gateway allen Verkehr durch den Tunnel. Hinter dem Router bzw. aus Sicht des NAS noch vor dem Router steht eine Firewall. Diese schaut sich auf dem NAS Interface den Verkehr an...und das Regelwerk sagt dann auf dem Torrentport: NÖ, läuft nicht. Es wird also immer noch der Verkehr im LAN gefiltert, bevor es dann durch den Tunnel geht.
Im Tunnel selber kann da wenig gefiltert werden, ist ja schließlich alles verschlüsselt...
Ich persönlich (achtung, Meinungsmache) finde, dass das Nutzen dieser Anbieter nur dann wirklich greift, wenn man keinen eigenen VPN Server betreiben kann oder will oder aber Dinge tut, die eben die IP komplett anonymisieren. AFAIK kann man das allerdings nicht verhindern, vielleicht erschweren...das kommt eben auf die Policies des Dienstleisters an...
Wenn ich mit etwas mehr Datensicherheit von zu Hause aus unterwegs sein möchte, dann reicht mir persönlich zum Surfen und Co eigentlich mein https, mein Pihole und mein unbound Server, der alle DNS Anfragen an die Hautp-DNS Server schickt und gesicherte Verbindungen dafür nutzt.
Von extern gehe ich nur über den eigenen VPN Server online. Damit bin ich zwar nicht anonym (denn der nutzt ja die heimische Adresse vergeben durch meinen ISP), das brauch ich selber aber auch nicht.
Ist aber eben MEIN Szenario. Insofern, alles off-topic.
So, und jetzt gibts wirklich n Eis.
Schönen Feierabend!!
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
