VPN hinter Fritzbox

[Ghost108]

Hallo zusammen,

ich möchte aktuelle eine VPN Verbindung Richtung Heimnetz realisieren.
Ich habe eine Fritzbox 6660 Cable - dahinter ein Synology DS718+

Die Fritzbox bietet von sich aus eine VPN Verbindung via IPSec
Funktioniert bei mir soweit auch - allerdings musste ich feststellen, dass wenn ich via VPN Verbindung von extern verbunden bin, das ALLES über den VPN Tunnel geht - auch Anfragen, welche nicht Richtung Heimnetz gehen - z.B. Internetseiten.
Das gefällt mir nicht so und habe gelesen, dass dies einfach so ist.

Jetzt die Frage: kann ich das besser realisieren, wenn ich den VPN Server der Synology nutze?
Und wenn ja, macht das Sinn, die VPN Verbindung erst bei der Syno zu beginnen und nicht beim Einstiegspunkt (Fritzbox) ?

 

[ottosykora]

allein damit, dass du im anderen Netz einen anderen Server installierst der zusammen mit dem Client einen Tunnel aufbaut wird sich nichts ändern

 

[Penthys]

Das OpenVPN der Synology ist für die Clients als Standard so konfiguriert, dass es nur die Anfragen für das Heimnetz in das VPN nimmt. Der Rest läuft über das normale Internet. Wenn man alles über das VPN laufen lassen möchte, muss man das in der Clientseitigen Konfiguration erst ändern.
Laut einem Kollegen ist das VPN der Synology auch perfomanter als das der FritzBox. Das habe ich selber aber noch nicht überprüft.

 

[Ghost108]

@Penthys
Das ist alles korrekt und kann ich auch bestätigen, da ich das so in der Praxis schon laufen hatte.
Frage ist allerdings, ob dies auch sicherer ist.

Vergleich:
Client baut VPN Verbindung direkt an der Fritzbox auf und setzt somit den Fuß ins Heimnetz
oder
Client baut VPN Verbindung auf, wird mit Hilfe des Port Forwardings durch die Fritzbox geschleust und stellt die Verbindung erst an der Synology her.

 

[Penthys]

In beiden Fällen eine verschlüsselte Verbindung die vom Client hin zum Heimnetz führt. Sofern das VPN Protokoll sicher genug ist, macht es in der Hinsicht keinen Unterschied.
Ich nutze beide Methoden, je nach Anforderung bzw. Verfügbarkeit der Clientsoftware. Vermehrt in letzter Zeit allerdings das OpenVPN der Synoplogy, da ich dort den Pi-Hole als DNS angeben kann und so auch per VPN meine Ruhe vor der Werbung, Bloatware usw. habe.

 

[ottosykora]

der Unterschied ist hier eher dass open VPN in der Konfig haben kann wer Gateway macht aber bei IPsec/L2TP solche Einstellung sicher möglich ist, aber da es da keine Konfig Datei gibt wie bei open VPN die man einfach so editieren kann

Ansonsten sehe ich kein Unterschied bei Sicherheit welcher Server die Aufgabe übernimmt.

 

[NSFH]

Das mit der Sicherheit sehe ich absolut nicht so! Wer hängt schon seinen File-Server direkt ins Internet?
Und wer sagt, dass man dann nur per VPN Protokoll auf diesen Port zugreift? Ein Hacker sicher nicht.

 

[bfpears]

Hi Gost,
habe mal die Suchmaschine bemüht:

Wer möchte, kann sämtliche Internet-Anfragen des Client-PCs über die entfernte Fritzbox leiten, wenn er dazu die Option Alle Daten über den VPN-Tunnel senden aktiviert.

Quelle:
https://www.windowspro.de/thomas-dr...m-home-office-sicher-firmennetzwerk-zugreifenkurz nach der Mitte.

BF

 

[ottosykora]

verstehe ich es richtig? das ist für eine VPN zwischen zwei FB?

 

[Ghost108]

nein. einfach nur vpn von extern ins Heimnetz

 

[ottosykora]

Ah, OK. Dann ist hier die gleiche Funktion wie diese redirect gateway bei OpenVPN.

Ich wähle mich halt ins VPN mit dem Windows Client, da gibt es keinerlei Einstellungen so viel ich weiss dafür.