iPhone VPN

[nerd123]

Guten Abend zusammen,

ich möchte einige Apps, wie zum Beispiel DS photo, Drive, DS file, Photos Mobile", auf dem iPhone nutzen.

So wie ich das verstehe gibt es dafür zwei Möglichkeiten:
1. Man gibt die dafür benötigten Ports (siehe https://kb.synology.com/en-global/D...ts_are_used_by_Synology_services#x_anchor_id6) auf dem Router UND auf der Firewall der NAS frei.
2. Man erstellt auf dem iPhone eine VPN Verbindung zum Router, an dem die NAS angeschlossen ist.

Möglichkeit 2 ist sicherer, da keine Ports freigegeben werden müssen und damit das Netzwerk nicht so leicht gehakt werden kann.

Stimmt das bis hierher noch alles?

Das VPN zu meinem Speedport Smart 4 Router funktioniert über Windows bereits. Ich habe auf dem iPhone bereits eine VPN Verbindung per L2TP aufgebaut. Das klappt auch. Soweit ich weiß ist aber IPsec deutlich sicherer als L2TP. Ist das so richtig?

Das VPN über IPsec klappt aber leider nicht.

Ich habe bei dem Screenshot "Eingabe" folgende Eingaben gemacht:
Typ: IPsec
Beschreibung: VPN1
Server: Die externe IPv4-Adresse von meinem Speedport Smart 4
Account: speedportvpnuser
Passwort: Das Passwort, das ich auf der Website meines Speedport Smart 4 für VPN festgelegt habe
Gruppenname: Nicht angegeben
Shared Secret: Den PreShared Key, der auf der Website meines Speedport Smart 4 unter VPN steht

Er wirft mir dann aber immer eine Fehlermeldung aus.

Was mache ich falsch?


Viele Grüße

nerd123

 

[Stationary]

Wenn an Deinem Router als Protokoll L2TP eingestellt ist, kannst Du auf dem iPhone nicht einfach IPSec nehmen. Das mußt Du natürlich auch mit L2TP konfigurieren.

 

[ebusynsyn]

Protokoll: Du musst überall das gleiche Protokoll eintragen, sonst klappt das nicht.
Server: Bei mir habe ich im Feld "Server" nicht die IP-Adresse eingegeben, sondern den von Router vorgegebenen Benutzernamen. Dieser wurde mir vom Router vorgegeben, nachdem ich die VPN-Funktion eingeschaltet habe.

In der aktuellen Bedienungsanleitung Deines Routers steht geschrieben, dass Dein Router die Zugangsdaten automatisch generiert, sobald die Funktion aktiviert wird. Siehe Seite 220. Das weitere Vorgehen ist Schritt für Schritt ab Seite 225 beschrieben. Halte Dich daran und es wird klappen.

 

[synfor]

Server: Bei mir habe ich im Feld "Server" nicht die IP-Adresse eingegeben, sondern den von Router vorgegebenen Benutzernamen. Dieser wurde mir vom Router vorgegeben, nachdem ich die VPN-Funktion eingeschaltet habe.

Da gehört mit Sicherheit kein Benutzername hinein.

 

[ebusynsyn]

@synfor

Ich muss Dir widersprechen! Siehe hier: https://www.swisscom.ch/de/privatkunden/hilfe/internet/vpn-server.html

 

[synfor]

Zeige bitte die Stelle auf der von dir verlinkten Seite, bei der steht, dass in das Feld für den Server der Benutzername hineingehört.

 

[Stationary]

Da verwechselt jemand den DNS-Namen (Punkt 5: Server) mit dem Benutzernamen (Punkt 3: Account).

 

[nerd123]

Hallo, ich habe nun geschafft beide VPN einzurichten, also über L2TP/IPsec unter über WireGuard.

WireGuard ist denke ich etwas schneller, aber da liest man immer etwas von einem offenen Port. Ist das dann unsicherer als L2TP/IPsec?

 

[Synchrotron]

Ein offener Port ist erst mal nicht unsicher. Was unsicher sein kann, ist die Applikation, die man auf diesem Port erreicht. Wird etwas am Port abgeliefert, muss er immer noch mit der Applikation interagieren. Entweder es sind Zugangsdaten, oder es ist Schadcode, der ausgeführt wird.

Bei den Zugangsdaten kommt es eben darauf an, dass man sie entsprechend schützt. Schadcode wird dann gefährlich, wenn er von der Anwendung ausgeführt wird. Das Risiko steigt, wenn man seine Anwendungen nicht aktuell hält. Oft lassen bestimmte Ports Rückschlüsse auf die Anwendungen zu, die dahinter laufen.

Daher ein paar Regeln, ohne Anspruch auf Vollständigkeit. Nicht alles geht mit allen Anwendungen:

• Der sicherste Port ist einer, der überhaupt nicht geöffnet ist.
  Nur funktioniert dann so einiges nicht ….
• Wenn einen Port öffnen, einen im höheren 5-stelligen Bereich wählen, der keinen Rückschluss auf die Anwendung zulässt. Diesen Port dann intern entsprechend weiter leiten.
• Gute Zugangsdaten verwenden: Starke, einzigartige Passwörter, Standardanmeldungen wie den beliebten „Admin“ User deaktivieren, zusätzliche Hürden wie 2FA einbauen, große Schlüsseldateien etc. - je nachdem, was die Anwendung ermöglicht.
• Starke Firewall aufsetzen - zuerst die Regel (das ist dann in der Abarbeitung die letzte) „Alles weitere ist verboten“ setzen, davor die Ausnahmen einfügen, die zugelassen werden.
• Weitere Schutzfunktionen nutzen, wie nur bestimmte IP-Bereiche (deutsche IPs ?!) zulassen, IP-Blockade nach Anmeldeversuchen, DDOS-Schutz aktivieren etc.
• System und Pakete aktuell halten, egal ob Router, DS oder selbst installierte Software.

 

[nerd123]

Ok. Also brauche ich mir letztendlich mit WireGuard keine Sorgen machen?

 

[Synchrotron]

Wenn es richtig eingerichtet wurde, ist ein VPN-Zugang die sicherste Art, von außen auf ein lokales Netzwerk zuzugreifen. Darum verfahren ja auch die meisten Unternehmen so.

 

[nerd123]

Wenn es richtig eingerichtet wurde

Was genau meinst du damit? Wie erkenne ich ob es richtig eingerichtet ist?

Also es funktioniert zumindest so wie ich es mir vorstelle.

 

[Synchrotron]

Wenn es funktioniert, ist es erst mal richtig eingerichtet. Wenn dann noch die Firewall entsprechend gesetzt ist, kommt auch niemand daran vorbei.

Es gibt da auch keine großen Unterschiede, alle VPNs benötigen mindestens 1 offenen Port.