Open VPN Zugriff eingerichtet - bisherige Portweiterleitungen deaktivieren?

[THZBS]

Hallo
ich habe bei meiner DS220+ soeben Open VPN erfolgreich installiert, habe jetzt aber eine Frage zum Zugriff von extern: was muss ich nun deaktivieren, damit ich nur noch via Open VPN von aussen her auf die DS komme? Muss ich alle Portweiterleitungen ausser die VPN löschen?

 

[Thonav]

Mit VPN benötigst Du keine Weiterleitungen wenn das VPN auf dem Router läuft.

 

[THZBS]

Vielen Dank. Ich habe nun mal die Weiterleitungsregeln für DS File deaktiviert, jetzt komme ich aber nicht mehr auf diese App. Die Anmeldedaten in der App sind:
meine_dns_Adresse:7001
Auf DS Drive und Photos komme ich.

 

[plang.pl]

Wenn du die Portweiterleitung ausschaltest, geht natürlich der DDNS nicht mehr. Zugriff erfolgt dann so:
VPN aufbauen und dann mit IP verbinden

 

[THZBS]

Hat geklappt! Danke.

Bei der Gelegenheit hätte ich noch eine Frage... vielleicht kann ich sie gleich hier stellen, sonst müsste ich einen neuen Thread aufmachen: in der Firewall der Synology habe ich meine Regeln definiert - zuunterst soll gemäss Anleitungen eine Regel 'Deny ALL' hinzugefügt werden, so dass alles blockiert wird, was nicht in einer der obigen Regeln erlaubt wird. Wenn ich das mache, bekomme ich aber immer die Meldung, dass mein Computer ausgesperrt würde, und somit diese DENY ALL Regel zurückgesetzt (deaktiviert) wird. Was muss ich da machen?
Ich habe die Regeln unter Firewall -> Alle Schnittstellen ergänzt

 

[Thonav]

Naja - wenn Du Deinen Rechner aussperrst kannst Du Di ja vorstellen was passiert.
Mal nicht manisch werden - von außen bist Du ja schon gut gesichert und ich glaube, dass Du Deinen eigenen Geräten traust, oder?

 

[THZBS]

ja, ich vertraue meinen Geräten... Hab mich einfach gewundert, als ich gelesen habe, dass diese Regel unbedingt hinzugefügt werden soll.

 

[Thonav]

Welche Regel genau? Präzise bitte, welcher Dienst, welcher Port?
Deny all würde ich tunlichst unterlassen…

 

[rednag]

Die erste Regel der Firewall sollte eine Ausnahmen des LANs sein. LAN ->Any ->Allow
Unten kann man dann aktivieren "Wenn keine Regel zutrifft blockieren".

 

[Benares]

Kommt diese Warnung nicht nur, wenn der aktuell zugreifende Client nicht bereits in einer der Regeln darüber erlaubt wurde?
Manche waren auch schon z.B. über QuickConnect verbunden und wollten die Firewall konfigurieren

 

[THZBS]

Ich habe in der Firewall > unter LAN/PPPoE/VPN überall : ALLOW ALL
Unter alle Schnittstellen > hab ich all meine Regeln definiert.

Zum VPN noch etwas: ich muss für das Secure Signin aber dennoch eine Portweiterleitung auf die DS aktivieren, Secure Signin funktioniert nicht mit IP-Adressen.

 

[the other]

Moinsen,
ich sag mal, wenn du die Firewall aktivierst und dann als erste (!) und einzige (!!) Regel Alle dürfen alles einträgst, dann kannst du das Ding auch gleich wieder deaktivieren.
Ein kurze Anleitung hierzu gibt es hier (für die basics):
https://www.heimnetz.de/anleitungen/nas-netzwerkspeicher/synology/synology-firewall-einrichten/

Du benötigst später nur noch Portweiterleitungen
a) auf den VPN Server mit dem entsprechenden Port
b) ggf. etwas für Zertifikate bzw. deren Aktualisierung
Denn alles andere läuft dann ja immer durch den VPN Tunnel...

 

[THZBS]

Also nein, ich habe nicht als einzige Regel 'Alle dürfen alles' erstellt. Ich habe es so gemacht: ich habe in den einzelnen Schnittstellen keine Regeln angelegt, ausser in PPPoE, dort habe ich DENY ALL angelegt.
Ich habe in der CUSTOM FIREWALL die von mir benötigten Regeln angelegt.

Meine Frage ist dann: ich habe 2 völlig gegensätzliche Tutorials gelesen, im einen (siehe Punkt 3 unter https://www.wundertech.net/how-to-set-up-the-firewall-on-a-synology-nas/) steht, dass die Firewall nur nützt, wenn zusätzlich am Ende eine Blockiere-Alles-Regel angelegt wird.
Hier aber https://hometechblogger.com/how-to-secure-synology-nas/ steht, dass nur die Regeln die man wünscht, angelegt werden müssen, andere Verbindungen werden automatisch blockiert:
"In the screenshot below are some rules that I have set up. I don’t need to have a ton of rules to explicitly block traffic, I only need to make rules to allow certain traffic. If traffic does not match one of these rules, it is dropped anyway."
Was ist dann nun richtig?

 

[the other]

Moinsen,
Im link zu Beitrag #12 ist es (auf deutsch) nochmal erklärt...bzgl interface, regeln, und deny all als abschließende Regel. Schau dir das nochmal an, es sollte deine Fragen eigentlich erklären.

 

[THZBS]

Moinsen - vielen Dank, hab's geschafft! Der Fehler war, dass ich die Regel für den Zugriff auf die 'Verwaltungsoberfläche' nicht aktiviert hatte. Nachdem ich diese hinzugefügt habe, kann ich nun in allen Schnittstellen den Zugriff verweigern, sofern keine Regel zutrifft.

 

[Dirk71]

Ich hänge mich mal an das Thema, weil ich für die Frage kein neues Thema aufmachen möchte. Ich habe bei mir testhalber OPEN VPN auf dem DSM eingerichtet. Funktioniert soweit auch alles. Als Port habe ich für OpenVPN nicht den Standardport, sondern einen höheren 54xxx genommen. Auch das klappt. Was ich jedoch nicht verstehe....ich muss die Portweiterleitungen nur in meinem Router einrichten, nicht jedoch in der Firewall im DSM. Wie kann das sein? In allen Anleitungen, die ich bisher gelesen habe, steht, dass man die Ports auch als Ausnahmeregel in der Firewall eintragen muss. Habe ich vielleicht irgendwo eine Einstellung aktiv, die sich über die Firewall hinwegsetzt?

 

[plang.pl]

Wenn die Firewall nicht aktiv ist am NAS oder generell alles durchlässt, musst du da nix freigeben.
Ansonsten schon

 

[Dirk71]

Doch, sie ist aktiv. Und trotzdem komme ich von außen auf die Ports, z.B. 8083 (freigegeben auf dem Router).

 

[plang.pl]

Zeig doch mal deine Firewall-Regeln als Screenshot

 

[Dirk71]

Da gibt es eigentlich nicht viel zu sehen....