Toggle sidebar

Logwarnungen nach VPN-Server Update

Status
Für weitere Antworten geschlossen.
Puppetmaster

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.984
Punkte für Reaktionen
624
Punkte
484
jahlives schrieb:
ne genau anders rum ;-) Mit einem key (private Key) erfolgt die auth und mit einem Cert (public Key) wird verschlüsselt :)
Zum Vergrößern anklicken....

Ok, nochmal das Beispiel https. Ich melde mich von irgendwoher per https auf dem DSM meiner DS an. Es kommt eine Warnung des Browsers und ich füge eine Ausnahme hinzu (da ich keine weiteren Daten, keys oder was auch immer habe), damit ist die Verbindung doch verschlüsselt!?

Die Frage ist, wie ist das denn bei openVPN? Ich ginge davon aus, dass das dort ähnlich/genauso sei...
 
jahlives

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Puppetmaster schrieb:
Ok, nochmal das Beispiel https. Ich melde mich von irgendwoher per https auf dem DSM meiner DS an. Es kommt eine Warnung des Browsers und ich füge eine Ausnahme hinzu (da ich keine weiteren Daten, keys oder was auch immer habe), damit ist die Verbindung doch verschlüsselt!?
Zum Vergrößern anklicken....
verschlüsselt ja, denn dafür braucht es nur Certs (den Public Teil eines Public/Private-Keypaares). SSL ist ein symetrisches Verfahren d.h. zum Ver-und Entschlüsseln kommen dieselben Schlüssel zum Einsatz d.h. Server und Client müssen sich auf ein gemeinsames Geheimnis einigen können, welches dann der Schlüssel ist.
Das kann z.B. dadurch passieren, dass der Client eine mit dem Zerifikat (öffentlicher Schlüssel) des Servers verschlüsselte Zufallszeichenfolge an den Server schickt. Wenn sie der Server enschlüsseln kann (anhand seines private Keys), dann wird diese Zeichenfolge als Schlüssel für die weitere Kommunikation verwendet. Eine andere Möglichkeit für den Client und den Server sich auf ein gemeinsames Geheimnis zu einigen wäre der Schlüsseltausch im sogenannten Diffie-Hellmann-Verfahren.
 
Puppetmaster

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.984
Punkte für Reaktionen
624
Punkte
484
Danke für die ausführliche Antwort, jahlives!
Das deckt sich eigentlich auch mit dem mehr theoretischen Wissen, das ich dazu (inzwischen schon mehr vergessen als behalten) habe. In der Praxis habe ich damit aber noch nie wirklich "gearbeitet".
Also sollte auch OpenVPN 'by Synology' zumindest schonmal verschlüsselt sein. Wenn ich das ganze jetzt auch noch per Zertifikat betreiben möchte (damit spare ich mir ja dann u.a. die Eingabe Benutzer/PW), könnte ich dann einfach kostenlos ein Zertifikat generieren, ähnlich dieser Anleitung hier: How to generate custom SSL certificates

?
 
jahlives

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
ovpn Certs/Keys sind etwas anders :) Zum Erstellen derselbigen gibt es die ovpn Key-Tools. Nennt sich glaub easy-rsa und wird im Wiki beschrieben wie man diese mit der ovpn ipkg Version nutzt
 
Puppetmaster

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.984
Punkte für Reaktionen
624
Punkte
484
Ich merk schon: die IPKG-Variante ist am Ende die bessere Wahl solange das OpenVPN von Synology so wenig erklärend ist.
Ist zwar noch ein bißchen hin bis zum nächsten Wochenende, aber dann habe ich jetzt schonmal ein Projekt für meine Test-DS! :)

Wenn ich wieder ein bißchen schlauer geworden bin, dann komme ich sicher wieder... ;)
 
jahlives

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
du hast mit der ipkg Version deutlich mehr Möglichkeiten. Vieles würde sicher auch mit der Syno Version gehen, aber du kennst es ja, sobald man manuell etwas an der Konfig angepasst hat ist es nur eine Frage der Zeit bis das wieder überschrieben wird :) Eines der besten Features (zumindest für mich) ist es den Zugang zum OVPN Port mit einem static Key abzusichern. Somit ist es z.B. nicht mehr möglich den offenen UDP Port 1194 mit einem Portscanner zu finden. Denn ohne den korrekten Static Key bekommst du nicht eine Antwort vom OVPN-Server. Aber auch mit dem korrekten Static Key bist du noch nicht drin. Wenn du den Key hast, wird dir nur erlaubt bis zur Authentifizierung zu kommen. Dort musst du immer noch ein Passwort oder einen Client-Key präsentieren, um dich zu authentifizieren
 
Puppetmaster

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.984
Punkte für Reaktionen
624
Punkte
484
jahlives schrieb:
du hast mit der ipkg Version deutlich mehr Möglichkeiten.
Zum Vergrößern anklicken....

Aber darin liegt dann sicher auch die Gefahr, dass jemand, der nicht ganz genau weiß was er da tut, evtl. ein offenes Scheunentor hinterläßt. Oder meinst du nicht?

Eines der besten Features (zumindest für mich) ist es den Zugang zum OVPN Port mit einem static Key abzusichern.
Zum Vergrößern anklicken....

Das klingt in der Tat sehr gut!
Frage ist, ob der static key dann auch vom Smartphone aus funktioniert... :confused:

Muss mir die IPKG-Variante echt mal ansehen. Hoffe, das Wiki ist da auch noch halbwegs aktuell.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
 
 
Oben Unten
Zurück
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten. Dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit hohem technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive Werbung und bemühen uns um eine dezente Integration.

Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.

Du kannst uns auch über unseren Kaffeautomat einen Kaffe ausgeben oder ein PUR Abo abschließen und das Forum so werbefrei nutzen.

Vielen Dank für Deine Unterstützung!