AVM Fritz!Box Meine DS sicherer machen

[Hobbit.2]

Hallo!
Habe kürzlich eine neue FritzBox angeschaft die Wireguard VPN unterstützt.
Im Forum hier habe ich viele Beiträge gefunden die alle sagen dass VPN in der FB wohl der einfachste und sicherste Zugang zur DS von unterwegs ist.
Die Wireguard Installationsvideos in YouTube ermutigen mich, dass ich das auch hinkriegen kann.

Mein Dilemma: Ich habe nur ein sehr grobes Verständnis von dem ganzen Port Kram.
Auf meiner FB finde ich eine Liste von 5 geöffneten Ports von meiner Diskstation in Richtung Internet.
Ich benutze einige Synology Apps am iPhone (DS File, Photos Mobile, DS Cam) und habe wohl irgendwann mal irgendwo bestätigt dass Ports freigeschaltet werden dürfen.

Meine drei Fragen:
(1) Wenn ich die Wireguard VPN Verbindung am Handy starte, funktionieren dann meine Syno Apps auch ohne geöffnete Ports?

(2) Wo muss ich zum Schließen der Ports Änderungen vornehmen (auf FB? in der DS? in den iPhone Apps?)

(3) Und zum Schluss: Ist meine DS dann wirklich besser geschützt als Heute?

 

[alexhell]

1) Ja, du kannst dann alle Ports schließen. Es ist dann so, als ob du in deinem Netzwerk intern unterwegs wärst.
2) In der Fritzbox alle Ports löschen und am Besten direkt deaktivieren, dass Geräte selber Ports öffnen können.
3) Ja, weil sie ist dann nciht mehr übers Internet erreichbar.

 

[EDvonSchleck]

1. Bei IOS sogar automatisch und in der App einstellbar. Sobald du das WLAN verlässt, aktiviert sich WireGuard. Bei Android über extra Software wie Tasker und Derivaten (habe ich schon gepostet im Baikal-Docker-Thread)
2. Standardmäßig sind keine Ports geöffnet. Wenn du die schließen musst, hast du diese vorher auch selbst geöffnet.
3. Das kann man so nicht genau sagen, weil ein Angriff meist auf ein schwaches Gerät zielt. Das kann auch gerne ein China-IoT Smart Home Dings sein. Dann würde ein Angriff von intern kommen. Auch mit einer Portfreigabe kann man sich gut absichern, aber auch viel falsch machen. Das wurde aber schon mehrmals, fast täglich hier diskutiert.

Ich deaktiviere UPnP und die TR-Protokolle in der Fritz!Box ebenfalls. Auch bei MyFritz bin ich skeptisch und setze lieber auf einen anderen Anbieter.

 

[Hobbit.2]

Danke für Eure Tipps.
Dann traue ich mich mal.
Um die China IoT Dinger kümmere ich mich später.

 

[Hobbit.2]

Hat geklappt. WireGuard Zugang läuft.
@EDvonSchleck
Die WG App Funktion „Aktivierung auf Wunsch“, wenn ich WLAN verlasse
funktioniert am iPhone suboptimal. Schon nach einem Tag steht die App in der Hitliste
des Batterieverbrauchs ganz oben. Habe ich wieder deaktiviert und mache das wieder manuell.

 

[Monacum]

Das ist völlig normal, weil du dich im Zweifelsfalle mit dieser Einstellung ja ständig über das Mobilfunknetz mit VPN verbindest. Das ist zum Beispiel etwas, was ich nicht ständig brauche und deswegen deaktiviert habe. Nur in fremden WLANsverbinde ich mich automatisch mit meiner FRITZ!Box zu Hause.

Jede App, die dauerhaft im Hintergrund arbeitet, verbraucht Kapazität aus deiner Batterie, das ist bei Instagram nicht anders als bei WireGuard.

 

[*kw*]

Sobald du das WLAN verlässt, aktiviert sich WireGuard

Das fand ich das genialste „Abfallprodukt“ bei der ganzen Geschichte.

 

[Gulliver]

Ich habe (auf Android) per wireguard-App eine permanente VPN-Verbindung nach Hause (zum RPi mit pihole) und die Akkubeanspruchung liegt bei 4%. Dafür ist am Handy WLAN aus, sobald ich mein Heimnetz verlasse, Bluetooth nur im Auto an und das spart wohl mehr Akku als WG verbraucht.

 

[EDvonSchleck]

des Batterieverbrauchs ganz oben. Habe ich wieder deaktiviert und mache das wieder manuell.

Das kann man bestimmt vernachlässigen.

Ich habe (auf Android)

Schau einmal Automate an, das ist kostenlos gegenüber Tasker. Damit kannst du praktisch alles automatisieren.

 

[Gulliver]

Schau einmal Automate an

Danke, hatte ich schon probiert. Gefällt mir. Da ich aber WLAN nur noch in der DMZ habe, läuft WG auch zu Hause permanent, um pihole (Raspi ist im LAN) als DNS nutzen zu können. Der Verbrauch ist vernachlässigbar.

 

[plang.pl]

WLAN nur noch in der DMZ? Dann aber mit WireGuard aufs LAN zugreifen? Wär das da nicht sinnvoller, zwei SSIDs aufzuspannen? Ein WLAN im DMZ und eins im LAN. Ein Admin-WLAN sozusagen.
EDIT: Macht natürlich in Gegenden Sinn, wo man Angst hat, jemand könnte sich ins WLAN "hacken". Da helfen aber auch starke Passwörter und interne Firewalls an den Geräten (v.a. Servern).

 

[Gulliver]

WLAN nur noch in der DMZ

Hat sich so ergeben. Hatte ein paar WLAN-Steckdosen (von myStrom) im LAN, die ich inzwischen durch ZigBee-Switches ersetzt und in Home Assistant und z2m eingebunden habe. WLAN im Heimnetz brauche ich jetzt da nicht mehr.
Warum fändest du ein Admin-WLAN sinnvoller als die vpn-Lösung, die den Vorteil hat, von überall zu funktionieren?

 

[plang.pl]

Weiß nicht. Ich lege Wert auf Einfachheit. Ein "Gast-WLAN" mit mehreren Clients, die via WireGuard aufs LAN zugreifen, verursachen routingtechnisch wahrscheinlich mehr Overhead als ein Admin-WLAN. Und die Latenz ist geringer.
Wenn du aber eh nur Clients hast, bei denen sowieso WireGuard eingerichtet ist, mag das für dich anders aussehen. Bei mir ist das nicht der Fall. Ich müsste das auf vielen Geräten nachinstallieren.

 

[Gulliver]

auf vielen Geräten nachinstallieren.

Tatsächlich sind es nur zwei Handys und ein Laptop. Das ist überschaubar. PC, DS und Raspis haben Ethernet. Meine Frau appelt und googled wild herum, die darf nicht in mein Netz Deshalb WLAN in der DMZ.

 

[plang.pl]

Bei mir wäre halt auch das Problem, dass wir vom TV mittels DLNA von der DS streamen. Und von einem weiteren TV mittels DSVideo. Und meine Schwester greift mit dem iPad via DS File auf ihre Daten zu. Der aber einen VPN Zugang zu geben, werde ich tunlichst unterlassen

 

[Gulliver]

TV ist bisher aussen vor. Über das Streamen werd' ich mir noch Gedanken machen müssen... Komme dann sicher mit 'nem eigenen thread raus.

 

[plang.pl]

Alles klar. Dann sieht man sich da wahrscheinlich erneut
Ich habe das mit mittels Firewall auf der DS so eingestellt, dass nur gewisse Geräte auf SMB, die Web UI und weitere Dienste zugreifen dürfen. Lediglich DLNA und die VideoStation sind für das gesamte Netz erreichbar