Toggle sidebar

Verbindung über VPN zum Internet nur wenn bei Firewall alles erlaubt

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
P

parapara

Benutzer
Registriert
03. Okt. 2016
Beiträge
5
Reaktionspunkte
0
Punkte
0
Hallo zusammen,

ich habe auf der DiskStation DS 114 den VPN Server laufen und nutze L2TP/IPSec.

Ich möchte gerne über VPN von außerhalb von der Diskstation aus ins Internet. Das funktioniert auch alles soweit, aber nur, wenn die Firewall ganz deaktiviert ist oder zumindest sämtliche Verbindungen aus dem IP-Bereich, der von dem VPN Server vergeben wird, erlaube. Sobald ich auch nur einen Port in der Firewall aus dem IP-Bereich der VPN Clients dicht mache, habe ich keinen Zugriff mehr.

Anbei Screenshots mit den Einstellungen.


Bildschirmfoto 2016-10-03 um 11.12.17.jpg

Bildschirmfoto 2016-10-03 um 11.12.32.jpg


Ist das so richtig? Ich kann es mir kaum vorstellen.

Beste Grüße
 
Wobei Deine Regeln aber auch etwas schräg sind. Verweigern kannst Du eigentlich mit der Option "Wenn keine Regel zutrifft" für die individuelle Schnittstelle. Und Deine zweite Regel öffnet bspw. das DSM für jede IP, also auch für externe Zugriffe - wenn es also jemand in Dein LAN schafft, bietet die Firewall keine Hürde mehr.

Man sollte eher ganz oben Regeln definieren, die das lokale Subnet des LAN komplett freigibt (bzw. einen Bereich, der von den lokalen Clients verwendet wird). Mit den nachfolgenden Regeln werden dann bestimmte Dienste für alle IPs (also auch externe) freigegeben, wenn man für diese den Zugriff von außerhalb braucht (dann die Ports auch im Router weiterleiten). Darunter fällt dann bspw. auch die Freigabe des VPN Servers für das jeweilige Protokoll.
Bei Bedarf regionale Einschränkungen treffen (Geo-Filter).

Ich habe mal mein Beispiel angefügt. Dabei wird der VPN-Server in der letzten Regel mit freigegeben.
PS: Und IPv6 nicht vergessen - dafür müssen separate Regeln definiert werden.

FW1.jpg
 
Zuletzt bearbeitet:
Vielen Dank und sorry dass ich mich jetzt erst melde. Hatte noch keine Zeit mich damit auseinander zu setzen. Ich melde mich noch mal inhaltlich die Tage.

Eine ähnliche Regel wie die letzte hat es bei mir immerhin zum Laufen gebracht. Ob das aber optimal ist muss ich dann noch mal sehen.

Gruß
 
Hallo Frogman,

ich habe mich noch mal rangewagt. So funktioniert es jetzt. Aber ist es auch sicher?

Picture0001.jpg
(bei der zweiten Regel habe ich die Benutzeroberfläche und den IPSec VPN Server freigegeben)

Picture0002.jpg

Picture0003.jpg

Gruß
 
Nanu, hackt ihr gerade fleißig mein NAS weil das alles Quatsch ist, oder sind die Einstellungen so korrekt? :D
 
Was heißt für Dich "sicher"? Allgemein gesagt ist es aber unvernünftig, die "Benutzeroberfläche" (worunter ich auch die DSM-GUI verstehe) für alle IP - und damit auch externen - freizugeben, wenn man auch ein VPN dafür nutzen kann.
 
Ich kann VPN leider oft nicht nutzen, weil ich mich von fremden Computern aus in die Diskstation einlogge. Deshalb habe ich die Benutzeroberfläche freigegeben. Ich habe aber 2FA aktiviert und am Router einen anderen Port auf Port 5001 der Diskstation umgeleitet.

Sicher heißt für mich, dass man nicht anders als über VPN oder über die Benutzeroberfläche von außen in die Diskstation kommt ;)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten