Toggle sidebar

[UPDATE] openVPN - Zugriff auf NAS, nicht auf Fritzbox

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
G

Ghost108

Benutzer
Registriert
27. Juni 2015
Beiträge
1.278
Reaktionspunkte
76
Punkte
68
Hallo zusammen,

ich habe auf meiner Synology DS718+ den VPN Server installiert und dort openvpn aktiviert.
Verbindung von iPhone und macOS funktioniert tadellos.

Allerdings komme ich nur zur Syno, von da aus aber nicht mehr auf die Fritzbox.
Erst wenn ich die Firewall auf der Syno deaktiviert klappt der Zugriff.

Was muss ich in der Syno freigeben?
Danke ! :)
 
Zuletzt bearbeitet:
Du musst für dein OpenVpn Netz (zB. 10.0.0.0/24) entsprechende Firewall Freigaben einrichten. ZB. einzelne oder alle IPs/Ports deines normalen LANs (192.168.1.x:443)
 
  • Like
Reaktionen: tschortsch
könntest du mir bitte ein Beispiel schicken, wie ich es einzustellen habe?
Danke !!
 
Da muss doch nur beim VPN Server die Option "clienten den Zugriff zum Server LAN erlauben" aktivieren. An der Firewall auf der DS muss da nix geändert werden wenn vorher nix herumgefrickelt wurde.
 
Was hast du in der Firewall der DS eingestellt bzw warum ist diese überhaupt aktiv.
Bei meinen beiden DS hab ich die Firewall nicht aktiv und es klappt.
Hat das einen Grund daß die Firewall aktiv ist?
 
Zuletzt bearbeitet:
Da man auch für VPN einzelne Ports extern öffnen muss, halte ich persönlich die Firewall für sinnvoll.

Ist eventuell im Router eingestellt, dass keine internen Adressen von „intern“ erreichbar sein sollen (DNS-Rebind-Schutz) ?
 
das mit der Firewall seh ich auch so. Externer Zugriff = Firewall aktiv !
Habe eine Fritzbox - wo kann ich das mit dem DNS-Rebind Schutz prüfen?

Oder anders gefragt:
Warum sollte der DNS Rebind Schutz eingreifen?
Ich greife ja via IP auf die Fritzbox zu - das hat in dem Moment mit DNS ja nichts zu tun
 
Zuletzt bearbeitet:
Das find ich jetzt interesant. Wenn meine folgende These blödsinn ist klärt mich bitte auf!
Für OVPN muß genau 1 Port aufgemacht werden und das bereits am Router. Folgedessen ist doch der Router das Einfallstor und nicht die DS. Die Datenpakete werden ja schon am Router per NAT von der externen Adresse auf die Interne übersetzt und an den VPN Server auf der DS übergeben.
Wovor schütz jetzt die Firewall auf der DS wenn diese übersetzte weitergeleitet Datenpakte empfängt die nur an einen Port gehen?

Ghost108 schrieb:
Externer Zugriff = Firewall aktiv !
Zum Vergrößern anklicken....
Worauf begründet sich das? Wo geht die Gefahr aus wenn jetzt nur 1 offener Port der durch NAT vom Router direkt an die DS weitergeleitet wird. Das Würde ja bedeuten das man der dahinter liegenden OPVN Server Software nicht vertrauen darf aber da ist es ja dann e schon zu spät weil der Angreifer schon in Netzwerk ist.

Demzufolge müßte man auch immer die Firewall aktivieren auch wenn keine OVPN genutzt wird da sämtliche moderne Geräte die so im Netzwerk hängen (Handy mit Apps, Alexa, Siri,..., FireTV, Fernseher, Billig-IoT, Hausautomation mit Bequemlichkeits-Cloud-App, automatische UPnP-Portfreigaben... usw) ständig Verbindungen nach aussen offen halten wenn man es Ihnen aktiv verbietet.

Die größte Gefahr für die Daten auf der DS stellen aber der User selbst (unachtsamkeit, Bequemlichkeit - klicki-bunti-muss-nix-dahinter-verstehen, kein Backup, ich-klicke-und-öffne-alles-ungefragt-was-per-Email/Internet/USBStick-kommt) und in der heutigen Zeit Verschlüsselungstrojana dar. Verschlüsselungstrojaner greifen aber über die normalen SMB-Freigaben mit den hinterlegten Bentuzerdaten am Clienten zu und davor schützt auch keine Firewall auf der DS.

Aktuell schütze ich mein Netzwerk wenn ich so wenig wie möglich notwendige Dienste auf der DS aktivieren und nur Geräte in meine Netz lasse denen ich vertraue oder ich selbst, mit genügende Wissen, eingerichtete habe.
Wenn ich einem Gerät nicht vertraue stecke ich das in ein separates Netz das keinen zugriff auf die DS hat. So hat zb der "schlaue" TV meiner Eltern nur Zugang zum Internet über das Gastnetzwerk. IoT Geräte wie eine schaltbare Steckdose mit eigener Firmware ohne China-Cloud läuft ebenfalls wiederum in einem eigenen WLAN. Alexa, und Co kommen mir sowieso nicht ins Haus (abgesehen von den digitalen Varianten am Mobiltelefon dennen man nicht auskommt).
Das bedeutet natürlich das ich dem Router entsprechend Vertraue, Einrichten und Warten muss und dort auch nur das nötigste aktiviere und Dinge wie UPnP niemals nutze.

Bisher bin ich mit der Strategie und mindestens 5 Backups/Kopien auf mehrern DSen und externen Festplatten sehr gut gefahren. Hatte in 11 jahren nur einen Ausfall von 2 Festplatten in der DS und einmal einen Datenverlust an einem Clienten weil der User aus unwissenheiteinen Fehler gemacht hatte. Bei beiden dingen hätte eine Firewall auf der DS auch nichts genützt.

Sollte jetzt in meiner Therorie und der darauf gründenenen praktischen Umsetzung ein grober Fehler sein der die Firewall auf der DS zwingend benötigt klärt mich auf!

(Sollte so eine Diskusion hier nicht gewünschte sein kann ich das gerne auch wo anders starten)
 
Naja, kurz und knapp gesagt:
Der Port der Fritzbox schleust dich ja lediglich zur NAS zum VPN Server, der hier ein VPN Zertifikat erwartet.
Abgesehen davon, würde ich gerne via Firewall unbefugte abfangen ,was ja aktuell "zu gut" klappt, denn ich selber komme ja auch nicht auf die Fritzbox, wenn ich die Syno Firewall aktivere. Somit sehe ich schon einen Sinn bei aktiver Firewall.
 
Heimnetz - Netzwerk - Netzwerkeinstellungen - Ganz nach unten scrollen.

Die Funktion scheint immer aktiv zu sein, man kann Ausnahmen eintragen.
 
habe dort den Hostnamen meiner Synology eingetragen. komme jetzt auf die Fritzbox mit aktiver Syno Firewall. scheint zu klappen ! :)
Danke :)
 
Wenn ich mein Netzwerk von außen erreichbar mache, sollten aus meiner Sicht alle sinnvollen Schutzfunktionen aktiviert werden.

Das ist auf der DS doch so simpel gelöst, dass das jeder hin bekommen sollte:

Erste Regel „alles sperren“
Als nächstes jeweils den Dienst freigeben, den ich auch benutzen will. Das ist ein Häckchen setzen, fertig
Dann noch mal prüfen, scharf setzen

Die Einrichtung war wesentlich einfacher als z.B. auf dem Raspberry Pi. Dort gehört zu einer Wireguard-VPN-Installation auch ein Eintrag in die IPTables, die Linux Firewall. Das ist dann tatsächlich Code-Kauderwelsch.
 
Gerne !
 
  • Like
Reaktionen: Ghost108
Auszug aus der AVM-Hilfe zu Ausnahmen zum DNS-Rebind-Schutz:

CB6FFD7C-7ED9-4E42-9A5A-F1E2D6E04770.jpeg
 
Falscher Alarm - geht leider doch nicht. Ging für einen Moment, jetzt komme ich wieder nicht drauf.
Firewall abgeschaltet - dann gehts wieder.
 
Finde deine VPN IP Range raus... (zB. 10.0.1.1-10.0.1.254) und mach für diese eine Regel, dass die Range vom VPN auf den IP Bereich vom internen Netz (Router, NAS) 192.168.1.1-192.1681.254 alle Ports darf.

Mach eine neue Firewall Regel dazu für alle Schnittstellen. Was benötigst du da mehr als Beispiel?
Die Ranges musst du selber rausfinden.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten