Via OpenVPN auf Android zur DS111 - ich komm nicht klar

[hoodie]

Hi,

also, dachte ich mir "machste den ganzen kram sicherer" und hatte nun vor via VPN meine DS zu bedienen. Ausgangspunkt ist, dass ich mich darüber ärgere, dass DS Audio nicht per https funktioniert derzeit.
Also, VPN Paket geladen, aktiviert, OpenVPN Server eingestellt und Zertifikatsdaten exportiert, ca file bearbeitet und die IP (dyndns) eingetragen und aufs Android Phone (Galaxy S, root) kopiert und aktiviert. Flux noch im Router den UDP Port weitergeleitet.
Zig mal mit den nativen VPN Einstellungen probiert...nix geht.

Jetzt habe ich gelesen ich brauche OpenVPN. Nagut, runtergeladen, installiert, binaries sind druff. Nix geht.
Denn ab hier heissts für mich nur noch Bahnhof...ich habe die openVPN Settings installiert und da kann ich OpenVPn an/ausschalten. Schön.
Darunter steht dann noch "Turn on VPN Tunnel" und wenn ich das aktiviere will er einen Login. Also hab ichs mal mit dem DSM login probiert, dem ich zugriff gewährt hab im DSM.
Fehler -> "Cannot allocate TUN/TAP dev dynamically"

Da sind fantastische Wörter wie "Load tun kernel module" und sogar irgendwelche TUN settings kann ich bearbeiten...
Aber was zur Hölle MACHE ich da? Nix gescheites offenbar, aber ist das denn so schwer VPN einzurichten?

Würde mich freuen wenn mir einer helfen möchte wie ich vorzugehen habe.

 

[amarthius]

Verstehe ich es richtig, dass dein aktuelles Problem bei deinem Android-Smartphone und der Einrichtung von OpenVPN liegt und nicht bei der DS?

Hast du Alternativ mal PPTP probiert?

Nur damit keine Missverständnisse auftreten

 

[hoodie]

Exakt. Ich habe gehofft hier hat sich jemand damit schon gequält und kann mir konkret was dazu sagen. Ich ahne, dass das ein sehr Android spezifisches Ding zu sein scheint.

Ja, PPTP funktioniert wunderbar, aber mir wird da irgendwie der Sicherheitsaspekt nicht so recht klar. Wo besteht denn nun der Unterschied dazu sich einfach via Browser ins DSM einzuloggen?
Insbesondere, da ja irgendwie laienhaft von PPTP = unsicher gesprochen wird. Ich hab davon keine Ahnung

Und: angenommen PPTP ist ausreichend und aus mir derzeit noch unbekannten Gründen sicherer als der normale Login via Browser...muss ich dann alle ports zumachen (7001, 5001, 443) damit man NUR noch via VPN reinkommt?

Und NOCH eine Frage: Ich sehe gerade, dass ich aus dem Internet ja mein komplettes LAN ansprechen kann scheinbar...heisst ich kann mich sogar in meinen Router einloggen...ist das nicht eher ein GEGENargument sich via VPN einzuloggen?

 

[amarthius]

PPTP ist so sicher wie das gewählte Kennwort. Als weltumspannendes Unternehmen würde man es nicht nutzen, aber als Privatmann brauch man sich keine Sorgen machen.

Wenn du VPN nutzen willst, dann kannst du alle anderen Ports schließen. Ja es ist richtig, dass du alle Geräte in deinem Netz erreichen kannst. Das ist ja auch der Sinn und große Vorteil von VPN. Sobald du dich einloggst, befindest du dich in deinem Netzwerk. Egal von wo aus der Welt.

Bei VPN wird die komplette Datenübertragung aufwendig verschlüsselt. Sprich alles was rein und raus geht.

 

[hoodie]

Okay, dann verstehe ich langsam das Prinzip. Jetzt frage ich mich ob ich das in irgendeiner Weise noch einschränken kann.
Ich musste ja für den VPN so eine virtuelle IP festlegen ( 10.0.0.8 oder so ). Kann ich nun noch irgendwie mittels der Firewall des Routers oder gar der DS Firewall noch Einschränkungen erstellen, die SINN machen?
Z.B. dass man - sobald man im VPN ist - auf nix zugreifen kann ausser z.B. Leserechte für meine Musik & Photo Station? Irgendwie erscheint es mir gruselig einen Weg bereitzustellen aus dem Internet theoretisch meinen Router zu administrieren...

 

[lansing]

@ hoodie,

deine Frage zum zusätzlichen Schutz, durch eine zusätzlich Firewall-Config kann ich dir leider nicht beantworten. Bezüglich der Zugriffsrechte habe ich speziell für meinen PPTP einen eigenen Benutzer mit den von mir selbst definierten Privilegien angelegt. Dieser Benutzer hat auch nur User- und keine Adminrechte.

Ich hoffe, ich konnte dir ein wenig weiterhelfen.

 

[hoodie]

Ja, das auf alle Fälle. Hab nur einen "Lese" User mit massiv langem pw. Ich muss jetzt noch rausfinden mit welche IP ich eigentlich im Netzwerk bin via VPN (sprich: ich habe das Prinzip natürlich noch nicht verstanden), dann denke ich mir, dass ich theoretisch über einen IP Filter oder gar der Firewall eventuell den Zugriff auf den Router und andere Rechner AUSSER der DS sperren kann.
Ich stelle mir das gerade so vor (noch nicht überprüft ob das wirklich so ist):
192.168.1.1 = Router
192.168.1.2 = DS
... .3 - 6 = PCs usw
10.0.0.8 = VPN (?)
Und dann halt der 10.0.0.8 knallhart verbieten auf irgendeine IP zuzugreifen ausser der .2 (DS).
Hoffe das klappt irgendwie so

Danke auf alle Fälle fürs Feedback soweit.