separater benutzer für open vpn benutzer?

[aportmann]

hallo zusammen

bislang hatte ich port 443 und 5001 für meine ds geöffnet. nun möchte ich jedoch ein lieber ein vpn anlegen (für mich gefühlt sicherer).
die wahl ist auf open vpn gefallen.

in der konfiguration kann festgelegt werden, welche benutzer sich einloggen dürfen. nun meine frage: wäre es nicht sicherer, für jeden vpn-user einen eigenes benutzerkonto anzulegen?

so hätte im fall der fälle jemand, der sich zutritt ins tunnel verschaffen würde noch keinerlei zugriff auf die dienste der ds, da diese zugangsdaten anders sind. mache ich einen denkfehler oder bin ich paranoid?


gruss andi

 

[Galileo]

Ja, das geht.

Allerdings hat der VPN-Server der Synology erstmal als Benutzerbasis die Benutzer der DS.

Das kannst du aber ändern wenn du den LDAP-Server installierst, dafür ist er zwar nicht vorgesehen aber du kannst ihn dazu mißbrauchen.

Im LDAP-Server legst du dann eigene Benutzer fürs VPN an, der admin ist zwar automatisch auch drin aber den deaktivierst du dort.

Dann stellst du im VPN die Benutzerbasis auf LDAP Directory Server um.

 

[aportmann]

danke für die antwort.
im prinzip könnte ich aber auch einfach einen zusätzlichen benutzer ohne irgendwelche rechte (ausser vpn) geben ... oder worin besteht der unterschied zu einem ldap-benutzer?

gruss andi

 

[jahlives]

ich seh das vielleicht ja falsch, aber imho bringt dir das nicht unbedingt mehr Sicherheit. Du legst einen dezidierten User für den VPN an. Der verbindet sich und ruft über die VPN Verbindung den DSM Login auf. Dann meldet er sich als admin an, natürlich nur wenn er das PW kennt. Ich glaub das kannst du mit einem dezidierten User nicht verhindern

 

[aportmann]

mein gedanke geht in eine andere richtung. der admin-account sollte ja so oder so separat laufen.
mir geht es eher darum, dass benutzer x rechte für filestation und photostation hat. sind nun die logindaten für vpn und ds die selben, so hat jemand mit zugriff aufs vpn automatisch zugriff auf die ds.

sind die benutzer jedoch verschieden ist «er» zwar im vpn, hat aber noch immer keinen zugriff auf filestation und photostation.

denke ich zu weit?

 

[Galileo]

Ok, habe es gerade mal ausprobiert, ich denke das geht schon so wie du das planst.

Du richtest einen neuen User ein. Der kann sich dann zwar auf der DS einloggen, aber wenn du ihm sämtliche möglichen Rechte entziehst kann er auf der DS sonst praktisch nicht viel machen.

Im VPN-Server gibst du dann allein diesem User VPN-Zugang, allen anderen nicht.

Somit brauchst du sowohl den VPN-User als auch einen DS-User mit normalen Rechten um an die Daten zu kommen.

Das mit dem LDAP-Server kannst du dir dann sparen, geht auch ohne.

 

[joku]

wäre es nicht sicherer, für jeden vpn-user einen eigenes benutzerkonto anzulegen?

Hallo, was ist da sicherer ?
Ich habe Benutzer, jeder seinen
Der eine darf VPN und der andere nicht.

Gruß Jo

 

[aportmann]

Hallo, was ist da sicherer ?

per se nicht das vpn. jedoch ist die ds, falls jemand unerwünscht im vpn ist nicht gleich erreichbar mit den gleichen daten.

Ich habe Benutzer, jeder seinen

Der eine darf VPN und der andere nicht.

es geht auch nicht um benutzer, die bewusst nicht ins vpn gehen sollen.

im grunde ist es eine art 2-weg-autorisierung. habe ja für meinen router und allem anderen was im netzwerk ist auch nicht die selben zugangsdaten wie die vpn zugangsdaten. aber wohl jedem das seine


gruss andi