Das war nicht meine Frage
@plang.pl und @Ronny1978 haben hier bereits alles gesagt - viel Erfolg bei deiner Umsetzung
openVPN zu Wireguard wechseln / DS925+
- Ersteller opheltes
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
@plang.pl und @Ronny1978 haben hier bereits alles gesagt - viel Erfolg bei deiner Umsetzung
Hallo opheltes,
Bücher und Hardware zum Thema gibt es bei Amazon: openVPN zu Wireguard wechseln / DS925+
Bücher und Hardware zum Thema gibt es bei Amazon: openVPN zu Wireguard wechseln / DS925+
Moin,
Ich selbst (Ort A) nutze die fritz.box 7520. Ort B nutzt die 6490.
Durch den Verlauf hier habe ich mich mit wireguard in der fritzbox beschäftigt. Mir war gar nicht bekannt, dass ich die Verbindung(je nach Gerät) separieren kann. Ein Nachteil hat die 6490 - sie hat nur ipsec und kein Wireguard aber es funktioniert. Somit könnte ich von openvpn in der DS925+ weg. Damit hab ich mein Ziel fast erreicht.
Ronny1978, und tailscale nutze ich nicht, wegen Datenschutz. Es werden Metadaten und Hostnamen etc. ausgelesen, sonst würde die Technik nicht funktionieren.
Eine Frage noch an die Argumentation des VPN-Servers auf den NAS selbst. Nehmen wir hypothetisch an, dass 1194 frei ist für obenvpn. Es existiert aber hinter dem Port keine Adminoberfläche für den file-server. Aus welchem Grund wird die Besorgnis hier geschrieben? Denn Port 25565 habe ich ebenfalls frei für minecraft, sowohl 443 aussschließlich über reverse proxy für rocket.chat.
Danke an Euch für den Gedankenstoß - ich bin bin nun ein Stück weiter.
Grüße und einschönes Wochenende.
Ich selbst (Ort A) nutze die fritz.box 7520. Ort B nutzt die 6490.
Durch den Verlauf hier habe ich mich mit wireguard in der fritzbox beschäftigt. Mir war gar nicht bekannt, dass ich die Verbindung(je nach Gerät) separieren kann. Ein Nachteil hat die 6490 - sie hat nur ipsec und kein Wireguard aber es funktioniert. Somit könnte ich von openvpn in der DS925+ weg. Damit hab ich mein Ziel fast erreicht.
Ronny1978, und tailscale nutze ich nicht, wegen Datenschutz. Es werden Metadaten und Hostnamen etc. ausgelesen, sonst würde die Technik nicht funktionieren.
Eine Frage noch an die Argumentation des VPN-Servers auf den NAS selbst. Nehmen wir hypothetisch an, dass 1194 frei ist für obenvpn. Es existiert aber hinter dem Port keine Adminoberfläche für den file-server. Aus welchem Grund wird die Besorgnis hier geschrieben? Denn Port 25565 habe ich ebenfalls frei für minecraft, sowohl 443 aussschließlich über reverse proxy für rocket.chat.
Danke an Euch für den Gedankenstoß - ich bin bin nun ein Stück weiter.
Grüße und einschönes Wochenende.
Ich halte das persönlich für unbedenklich. Der Netzwerkverkehr ist vollkommen End-to-End verschlüsselt. "Normale" Login Daten von Tailscale selbst gibt es ja nicht, sondern das passiert mit einem Account von Google, Microsoft oder Github oder einem Passkey.
Sei es drum. Hier hat jeder so seinen Ansichten. Ich persönlich halte Tailscale für sicherer, wie ein VPN Server auf dem NAS. Aber das ist Ansichtssache. Jeder offene Port in der Firewall stellt immer eine Schwachstelle dar - für mich zumindest. Aber das mag auch jeder anders sehen. Man weiß ja nicht, wozu die Technik in der Zukunft fähig sein wird.
Was zum Schluss für deine VPN Verbindung hergestellt wird und wie sicher diese ist, lässt sich auf diversen Seiten nachlesen. Zum Schluss ist es besser eine VPN Verbindung auf dem NAS zu haben, wie keine. Ähnlich wie bei der 2FA: SMS ist mist, aber besser als keine 2FA.
- Registriert
- 28. Okt. 2020
- Beiträge
- 16.047
- Reaktionspunkte
- 6.224
- Punkte
- 609
Ein File-Server gehört m.E. einfach nicht ins Internet. Wenn da ne Sicherheitslücke im VPN-Server oder DSM vorhanden ist, sind Angreifer direkt auf dem NAS.
Ich lege ja auch nicht den Haustürschlüssel unter die Fußmatte, sondern habe ihn bei mir sicher verwahrt.
Ich lege ja auch nicht den Haustürschlüssel unter die Fußmatte, sondern habe ihn bei mir sicher verwahrt.
Ronny1978
Es ist tatsächlich in Maßen unbedenktlich, wie du es schilderst - wenn ich keine andere Möglichkeit hätte, würde ich den Kompromis eingehen. Und es kommt auf die Einrichtung an, wie sicherer etwas ist (bezüglich auf dein Vergleich)
plang.pl
Wenn du von Sicherheitslücken sprichst, dürfen wir alles in Frage stellen, bezüglich auch bis zur AVM fritzbox (wireguard-serv). Die Angriffsfläche ist nicht gleich, eine Tür ist offen, wenn ein Port auf ist - wichtig ist was hinter dieser Tür ist. Wie zum beispiel meine offenen Ports für gewisse Einsatzgebiete. Wenn ich beispielsweise den 443 offen habe mit revers proxy für den Rocketchat, landet man nicht auf den "file-server", sondern auf die Fläche des Server-Chats(über https).
Anders würde es aussehen, wenn ich 443 bzw. 5000/1 auf meine DSM-Weboberfläche legen würde - das wäre ein erhöhtes Risiko aber nicht komplet , wenn https und 2fa angelegt ist - was natürlich nicht zu empfehlen wäre.
Aber schon einmal gut, dass ich die vpn auf der fritz.box auslagern konnte, um Ressourcen zu sparen, was mein Ziel war. Dass die alte cable-fritzbox nur ipsec kann, ist leider nicht ganz so schön, weil die Performance darunter leidet - da ist wireguard deutlich schlanker.
maxblank,
ich werde das später einmal testen, ob das funktioniert - habe dein Posting nicht überlesen.
Grüße
Es ist tatsächlich in Maßen unbedenktlich, wie du es schilderst - wenn ich keine andere Möglichkeit hätte, würde ich den Kompromis eingehen. Und es kommt auf die Einrichtung an, wie sicherer etwas ist (bezüglich auf dein Vergleich)
plang.pl
Wenn du von Sicherheitslücken sprichst, dürfen wir alles in Frage stellen, bezüglich auch bis zur AVM fritzbox (wireguard-serv). Die Angriffsfläche ist nicht gleich, eine Tür ist offen, wenn ein Port auf ist - wichtig ist was hinter dieser Tür ist. Wie zum beispiel meine offenen Ports für gewisse Einsatzgebiete. Wenn ich beispielsweise den 443 offen habe mit revers proxy für den Rocketchat, landet man nicht auf den "file-server", sondern auf die Fläche des Server-Chats(über https).
Anders würde es aussehen, wenn ich 443 bzw. 5000/1 auf meine DSM-Weboberfläche legen würde - das wäre ein erhöhtes Risiko aber nicht komplet , wenn https und 2fa angelegt ist - was natürlich nicht zu empfehlen wäre.
Aber schon einmal gut, dass ich die vpn auf der fritz.box auslagern konnte, um Ressourcen zu sparen, was mein Ziel war. Dass die alte cable-fritzbox nur ipsec kann, ist leider nicht ganz so schön, weil die Performance darunter leidet - da ist wireguard deutlich schlanker.
maxblank,
ich werde das später einmal testen, ob das funktioniert - habe dein Posting nicht überlesen.
Grüße
plang.pl
ich möchte keine Missverständnisse auslösen. Es sprach niemand hier, dass der "File"-Server per Portwarding geöffnet wurde. Im Eingangspost kann nur abgeleitet werden, dass openvpn als Server benutzt wurde und dafür die entsprechenden Protokolle benutzt werden, in dem Falle Port 1194 und Protokoll udp. Im Verlauf wurde die Anwendung minecraft und rocketchat hinzugefügt aber keine File Applikation (inkl. Ports + Protokolle).
Vl. haben wir einander vorbei geredet? Streng genommen ist das natürlich richtig, wenn ein Dienst in das Netz gestellt wird, egal was, wird jede Exponierung die Angriffsfläche erhöhen.
Grüße
ich möchte keine Missverständnisse auslösen. Es sprach niemand hier, dass der "File"-Server per Portwarding geöffnet wurde. Im Eingangspost kann nur abgeleitet werden, dass openvpn als Server benutzt wurde und dafür die entsprechenden Protokolle benutzt werden, in dem Falle Port 1194 und Protokoll udp. Im Verlauf wurde die Anwendung minecraft und rocketchat hinzugefügt aber keine File Applikation (inkl. Ports + Protokolle).
Vl. haben wir einander vorbei geredet? Streng genommen ist das natürlich richtig, wenn ein Dienst in das Netz gestellt wird, egal was, wird jede Exponierung die Angriffsfläche erhöhen.
Grüße
- Registriert
- 28. Okt. 2020
- Beiträge
- 16.047
- Reaktionspunkte
- 6.224
- Punkte
- 609
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
