Toggle sidebar

OpenVPN mit LG TV

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Klar, geht auch, die neueren Router haben in der Regel diese Möglichkeit. Ich bin da noch „old school“ - DHCP-Server ohne Adressreservierung und Lease Times von wenigen Stunden.

Je nach Land, in das dein VPN routet, kann es natürlich passieren, dass die Mediatheken der ÖR nicht funktionieren (sofern du sie am Fernseher nutzt).
 
Sollte man nicht auch ans Thema Sicherheit denken? Steht die DS über den Tunnel jetzt nicht ungeschützt im Internet?
 
  • Like
Reaktionen: Benie
Wenn Du di IP aus dem DHCP Bereich auf dem Router fest zuordnet und in der DS als feste IP hinterlegt, brauchst Du Dir keine Gedanken machen, da passiert da nichts.
 
Benares schrieb:
Sollte man nicht auch ans Thema Sicherheit denken? Steht die DS über den Tunnel jetzt nicht ungeschützt im Internet?
Zum Vergrößern anklicken....
Sinn und Zweck einer VPN-Verbindung über NordVPN ist ja gerade die Anonymität im Internet. Dafür lässt die Firma sich bezahlen. Ich würde jetzt davon ausgehen, dass über den VPN-Tunnel prinzipiell keine Rückverbindungen aufgebaut werden können. Würde so etwas bekannt werden, wäre deren Geschäftsmodell ganz schnell dahin.
Letztlich muss man aber der Firma NordVPN vertrauen. Mit der Firewall auf dem NAS könnte man sich zusätzlich absichern, also nur ausgehende Verbindungen über den VPN-Tunnel zulassen.

Aus sicherheitstechnischen Überlegungen wäre ein dediziertes Gerät (VPN-Router) der Softwarelösung auf dem NAS vorzuziehen.
 
  • Like
Reaktionen: Benares
Da hast du Recht. Ich nutze NordVPN auch, aber nur temporär über deren PC-App. Wenn der Tunnel steht, ist ziemlich viel verbogen, sogar DNS läuft dann über deren eigene Server.
 
NordVPN versucht schon bisl Sicherheit einzubauen.
Geht so in die Richtung einer NextGen UTM .

Verlassen würde ich mich da aber ni drauf.
 
Hagen2000 schrieb:
Klar, geht auch, die neueren Router haben in der Regel diese Möglichkeit. Ich bin da noch „old school“ - DHCP-Server ohne Adressreservierung und Lease Times von wenigen Stunden.
Zum Vergrößern anklicken....
Klar das wäre auf jeden Fall sauberer :).
Benares schrieb:
Sollte man nicht auch ans Thema Sicherheit denken? Steht die DS über den Tunnel jetzt nicht ungeschützt im Internet?
Zum Vergrößern anklicken....
Ja Sicherheit sollte immer mit dabei sein.
Allgemein steht bei mir nichts im Internet, außer mein Raspi ist per VPN von außen erreichbar.

Allgemein muss man sich halt entscheiden ob die VPN Anbieter wie Tailscale, Surfshark , NordVPN vertrauenswürdig sind. Ich mein allgemein geht jetzt der Traffic durch deren Server.
So ein ON Demand VPN aufbauen kann die Synology soweit ich weiß leider nicht bzw. habe ich keine Einstellungen gesehen, aber ist meine Synology durch den Tunnel wirklich von außen erreichbar?

Ich habe jetzt keine kritischen Sachen auf meiner Synology weil ich aktuell es "nur" als RAID System für meine Bilder verwende, aber cool würde ich es natürlich finden
 
  • Like
Reaktionen: MichaelMueller
Ich habe ein ähnliches Setup laufen und - weil es mich selber interessiert - ein paar Tests durchgeführt.

Vom angesprochenen Gateway (bei Dir war das 10.100.0.1) ist durchaus eine Rückverbindung zum VPN-Client (also dem NAS) möglich.
Wenn Du also dem VPN-Anbieter nicht blind vertrauen willst, solltest Du die Firewall auf dem NAS aktivieren und Regeln erstellen, die Zugriffe von außen verhindern.

Das könnte beispielsweise so aussehen (beachte, dass die Schnittstelle auf "VPN" steht und nicht auf "Alle Schnittstellen"):
  • Die erste Regel erlaubt das ICMP-Protokoll, damit die Steuerung über den VPN-Tunnel nicht gestört wird (ICMP ist nicht nur ping, sondern auch MTU-Erkennung, Steuerung der Fragmentierung u.a.).
  • Die zweite Regel verbietet dann einfach alles andere.
Probier doch mal, ob mit diesen Einstellungen deine VPN-Verbindung noch einwandfrei funktioniert. Das sollte jetzt sehr restriktiv sein.

VPN-Firewall.png
 
  • Like
Reaktionen: MichaelMueller
Interessant. Ich habe das eben auch mal getestet, allerdings mit dem NordVPN-Cllient auf meinem PC.

Also NordVPN-Client gestartet und z.B. Österreich gewählt. Es gibt dann einen NordLynx-Adapter auf dem PC mit folgenden Eigenschaften
Code: 
Unbekannter Adapter NordLynx:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : NordLynx Tunnel
   Physische Adresse . . . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::723e:7ca:789d:a5aa%54(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.5.0.2(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . : 0.0.0.0
   DNS-Server  . . . . . . . . . . . : 103.86.96.100
                                       103.86.99.100
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
"NordLynx" scheint ein modifiziertes Wireguard zu sein.
Wenn ich damit auf www.wieistmeineip.de gehe, wurde mir als IP 194.35.121.18 aus Österreich angezeigt.
Vom Handy aus, kann ich die IP zwar anpingen, aber ein Portscanner sagt, alle Ports seinen zu. Die IP bleibt weiterhin anpingbar, wenn ich die Verbindung trenne.
Das gibt mir ein gutes Gefühl. Ich vermute, dass die evtl. doppeltes NAT machen. Kann natürlich sein, dass evtl. andere NordVPN-Kunden trotzdem Zugang haben könnten.
 
  • Like
Reaktionen: Hagen2000 und MichaelMueller
Danke für die Mühen. Ich teste mal die Firewall-Regel sicher ist sicher.

Support habe ich mal angeschrieben

Aber läuft bisher echt sauber auch beim streamen

Hagen2000 schrieb:
Probier doch mal, ob mit diesen Einstellungen deine VPN-Verbindung noch einwandfrei funktioniert. Das sollte jetzt sehr restriktiv sein.
Zum Vergrößern anklicken....
Sieht so aus als ob alles läuft mit den Regeln. Die anderen habe ich einfach leer gelassen und "nur" die zwei von oben reingemacht
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Benares
Du meinst die anderen Schnittstellen? Die sind bei mir auch leer.
Ich habe gerade gesehen, dass man die Regeln noch optimieren kann:
Den Radio-Button „Wenn keine Regel zutrifft:“ auf „Zugriff verweigern“ stellen, dann kann man die zweite Firewall-Regel weglassen. Aber so wie abgebildet ist es vielleicht klarer. Beides funktioniert.

Auf dem Synology NAS nutzt NordVPN wohl OpenVPN als Protokoll und mit OpenVPN habe ich auch getestet.
Im Netzwerkadapter sieht man ja das Transfernetz, das die VPN-Strecke nutzt. Dahinter ist mit Sicherheit ein NAT mit einer IP im gewählten Zielland, was den Rückwärts-Zugriff vom Internet verhindert. Die Firewall-Regeln schützen halt davor, dass sich ein Angreifer bei NordVPN befindet, der über das Transfernetz zugreifen würde.
 
  • Like
Reaktionen: MichaelMueller
Hier mal noch die Antwort ungefiltert:
After connecting to a VPN server a NAS device will only be accessible by using the IP address assigned to this device.

The hostname option to access the device will not work because of the VPN connection. This is because of how the VPN itself works - after you connect to a VPN server, your device appears as the VPN server that is not on your internal network.

This characteristic means that resolving hostnames from your internal network is not possible because of the VPN connection.
Zum Vergrößern anklicken....
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten