VPN Server auf DS 1621xs oder RT2600AC als VPN Server
- Ersteller twoparts
- Erstellt am
Hallo twoparts,
Bücher und Hardware zum Thema gibt es bei Amazon: VPN Server auf DS 1621xs oder RT2600AC als VPN Server
Bücher und Hardware zum Thema gibt es bei Amazon: VPN Server auf DS 1621xs oder RT2600AC als VPN Server
Nur weil beide Router IPv6 eingehend blockieren, heißt das noch lange nicht, dass es im lokalen Netz kein IPv6 gibt.
- Mitglied seit
- 29. Apr 2018
- Beiträge
- 184
- Punkte für Reaktionen
- 17
- Punkte
- 24
Danke, ich versuche gerade ein Gefühl für das Thema zu bekommen, was da alles noch mit rein spielt und vor allem, was bei mir hier überhaupt Sinn machen würde. Von der eher dünne 50er Leitung und einem möglichen Performancegwinn mall mal abgesehen, ist mir das Thema Sicherheit schon recht wichtig, zumal ich hier in meinem Atelier sehr viel über die DS laufen lasse.
Ich bin übriges begeistert, wie man sich hier, in diesem Forum, sachlich zu verschiedenen Themen austauschen kann und Unterstützung erhält.
Das möchte ich an dieser Stelle einfach mal loswerden.
- Mitglied seit
- 29. Apr 2018
- Beiträge
- 184
- Punkte für Reaktionen
- 17
- Punkte
- 24
Habe gerade festgestellt, das es eigentlich von AVM garnicht vorgesehen ist die FritzBox nur als reines Modem laufen zu lassen. Es geht wohl mit etwas Bastelei.
FricklerAtHome
Benutzer
- Mitglied seit
- 01. Okt 2017
- Beiträge
- 583
- Punkte für Reaktionen
- 42
- Punkte
- 54
NUN DANN zum ANFANG: --- VPN Strategie Teil 1
Bevor ich kleinteiliger auf meine Anbindung in das Internet eingehe zunächst ein paar Gedanken was wir wollten und wie es sich historisch entwickelt hat.
ACHTUNG: Das alles gilt nur wenn IPv6 weitgehend im internen Netz (also hinter dem primären Zugang ins Internet) nicht genutzt wird, lediglich ein private und nicht globale IPv6 Adressen genutzt werden bzw. die Übergänge zwischen den Netzwerksegmenten rein IPv4 abhängig sind. Über Möglichkeiten mittels IPv6 als Zugriff auf das HeimNetz soll/kann hier nicht berichtet werden
Zunächst gab es Bedürfnisse die wir abgedeckt haben wollten.
1. Wir nutzen einen Router unseres Internet-Providers: Man kann zum Provider Vertrauen haben, muss man aber nicht. Der Router ist durch den Provider fernadministrierbar. Das ist im Sinne des Vertrages auch so sinnhaft. Also soll der Router nur die Aufgaben erfüllen die auch für das eigene Sicherheits- und Autarkheitsgefühl geeignet sind. So bleiben für den Provider-Router nur der Internet-Zugang und die Telefonie-Dienste via SIP (also Voice over IP). Kein WLAN, kein VPN. Aber auch kein Zugriff des Internet-Provider auf irgend eine Struktur des Privaten Netzwerkes.
VOIP-Telefon funktioniert via DECT im ganzen Haus.
2. Das private HeimNetz braucht einen Zugang zum Internet. Somit ist ein weiterer Router der Grenzhüter zwischen den bereits "AVM sicheren Netzwerk" der primären FritzBox und dem nochmals durch das Gateway gesicherten HeimNetz. Auf der Fritzbox ist dieses zweite Gateway/Router der einzige Client. Das interne IP Netzwerk der Fritzbox hat nichts mit dem IP Netzwerk hinter dem privaten Gateway Router gemeinsam. Zum Beispiel IP NETZ FB = 192.168.178.0/24, IP NETZ Privater ROUTER = 172.15.15.0/24. Kann also die Fritzbox kompromitiert werden, muss auch noch der private Router/Gateway kompromitiert werden um direkt von aussen Zugriff in das HeimNetz zu erhalten.
3. Mit den Punkten 1 und 2 ist das interne private HeimNetz zunächst vor den lauernden Gefahren des internets und auch vor einem gehackten Provider erstmal abgesichert. Es gibt aber Wünsche auch selbst von aussen auf die internen Angebote des HeimNetz zugreifen zu können.
Bei uns waren das:
A: Private-Cloud-Dienste für den Datei-Austausch (auch mit Dritten mittels "Teilen")
B: Ein konsistentes Mail System für alle eingesetzten Betriebssysteme für die Inhalte: MAIL, NOTICE, CALENDAR, CONTACTS und AUFGABEN
Für den Bereich A wählten wir NEXTCLOUD für den BEREICH B wählten wir KOPANO. Somit waren lediglich 2 Server Angebote ins Internet zu machen die zunächst 100% der Bedürftigkeiten abgebildet haben. NextCloud bündelt alle Apps von Synology (Photo, Drive, Files) in einem zentralen Server-Angebot für Datei bezogene Dienste und ohne wesentliche Einschränkungen zu den Syno-Apps. Gleiches gilt für Kopano als Groupware-Server, das zumindest für unsere Bedürfnisse einen echten MS Exchange Server verlässlich ersetzt.
Beide Server Anwendungen bieten ein gesichertes WEB-FRONTEND bzw. einen "SSH-ZUGANG" gegen sich. Lets Encrypt Zertifikate waren also Pflicht. Das lies sich sehr gut mit dem Reverse Proxy von Synology einrichten. Nativ sind sie über HTTPS:// ... (also Port 443) im internen Netz erreichbar. Man kann den Zielport aber auch auf jeden anderen Port konfigurieren. Mit dem Reverse Proxy von Synology kann man bereits auf dem Proxy SUB-Domänen einfangen und ihnen sowohl ein Let's Encrypt Zertifikat mitgeben und an einen anderen Zielport redirekten.
Für A heist beispielsweise die SUB-DOMÄNE "cloud.beispiel.de" und für B "exchange.beispiel.de". Beide sind mit entsprechenden DynDns Einträgen unter einen entsprechenden Domänen-Namen im DNS des Internet registriert. Beide haben aus dem Internet den gleichen TCP Zugriffs-Port (zB. 66666) und werden von extern mittels cloud.beispiel.de:66666 oder exchange.beispiel.de:6666 direkt auf die primäre FritzBox geleitet. Hier greift nun eine Portweiterleitung der Fritzbox an den SynoRouter. Der wiederum leitet das an den Reverse-Proxy des Syno-NAS weiter. Mittels der Sub-Domänen Namen kann der Reverse-Proxy unter Bekanntgabe des Lets Encrypt Zertifikat die entsprechende Dienst-Anfrage nach Anfrage-Namen trennen (cloud oder exchange) an diesen dann an eine einen spezifischen Host / Port weiterleiten. --- Klingt Komplex, funktioniert aber sehr trivial und ist mittels DSM Oberfläche lächerlich einfach einzurichten.
Erste Aufgabe erfüllt! Alle internen Angebote sind für berechtigte User, bzw. authorisierte Zugriffe nur mittels einer sprechenden Adresse auch aus dem Internet erreichbar. Also https://cloud.beispiel.de:66666 verbindet verlässlich aus jedem Chrome, firefox etc. (und ohne jede weitere Massnahme) an den im HeimNetz etablierten NextCloud und ist mittels Lets-Encrypt Zertifikat gesichert. Wer diesen Zugang nutzt muss sich dann noch per 2FA autorisieren oder wird nach 3 Fehlversuchen für qualifizierte Benutzer ausgesperrt. Diese Funktion ist in den Server Angeboten realisiert und wird nicht über Mechanismen die Synology im DSM anbietet abgebildet. NextCloud (APP A) bietet einen integrierten Security-Check an. Hier erreicht unser Server ein A+ Ranking. Dies ist auch für Kopano (APP B) sinngleich eingerichtet.
Für alle von EXTERN üblichen Zugriffe ist damit eine Lösung ohne VPN trotzdem und nur auf einem TCP Port der Provider-Fritzbox ermöglicht.
Bei uns gibt es hierzu keine erweiterten User Anfragen. --- Aber der Admin hat häufig andere und erweiterte Notwendigkeiten von EXTERN zuzugreifen. Dann braucht es VPN. Dies dann im nächsten Teil.
Die erste Frage lautet auch im Sinne der Sicherheit: "Wer braucht was!"
Ruhige Nacht mit 2 Lichtern
F@H
Bevor ich kleinteiliger auf meine Anbindung in das Internet eingehe zunächst ein paar Gedanken was wir wollten und wie es sich historisch entwickelt hat.
ACHTUNG: Das alles gilt nur wenn IPv6 weitgehend im internen Netz (also hinter dem primären Zugang ins Internet) nicht genutzt wird, lediglich ein private und nicht globale IPv6 Adressen genutzt werden bzw. die Übergänge zwischen den Netzwerksegmenten rein IPv4 abhängig sind. Über Möglichkeiten mittels IPv6 als Zugriff auf das HeimNetz soll/kann hier nicht berichtet werden
Zunächst gab es Bedürfnisse die wir abgedeckt haben wollten.
1. Wir nutzen einen Router unseres Internet-Providers: Man kann zum Provider Vertrauen haben, muss man aber nicht. Der Router ist durch den Provider fernadministrierbar. Das ist im Sinne des Vertrages auch so sinnhaft. Also soll der Router nur die Aufgaben erfüllen die auch für das eigene Sicherheits- und Autarkheitsgefühl geeignet sind. So bleiben für den Provider-Router nur der Internet-Zugang und die Telefonie-Dienste via SIP (also Voice over IP). Kein WLAN, kein VPN. Aber auch kein Zugriff des Internet-Provider auf irgend eine Struktur des Privaten Netzwerkes.
VOIP-Telefon funktioniert via DECT im ganzen Haus.
2. Das private HeimNetz braucht einen Zugang zum Internet. Somit ist ein weiterer Router der Grenzhüter zwischen den bereits "AVM sicheren Netzwerk" der primären FritzBox und dem nochmals durch das Gateway gesicherten HeimNetz. Auf der Fritzbox ist dieses zweite Gateway/Router der einzige Client. Das interne IP Netzwerk der Fritzbox hat nichts mit dem IP Netzwerk hinter dem privaten Gateway Router gemeinsam. Zum Beispiel IP NETZ FB = 192.168.178.0/24, IP NETZ Privater ROUTER = 172.15.15.0/24. Kann also die Fritzbox kompromitiert werden, muss auch noch der private Router/Gateway kompromitiert werden um direkt von aussen Zugriff in das HeimNetz zu erhalten.
3. Mit den Punkten 1 und 2 ist das interne private HeimNetz zunächst vor den lauernden Gefahren des internets und auch vor einem gehackten Provider erstmal abgesichert. Es gibt aber Wünsche auch selbst von aussen auf die internen Angebote des HeimNetz zugreifen zu können.
Bei uns waren das:
A: Private-Cloud-Dienste für den Datei-Austausch (auch mit Dritten mittels "Teilen")
B: Ein konsistentes Mail System für alle eingesetzten Betriebssysteme für die Inhalte: MAIL, NOTICE, CALENDAR, CONTACTS und AUFGABEN
Für den Bereich A wählten wir NEXTCLOUD für den BEREICH B wählten wir KOPANO. Somit waren lediglich 2 Server Angebote ins Internet zu machen die zunächst 100% der Bedürftigkeiten abgebildet haben. NextCloud bündelt alle Apps von Synology (Photo, Drive, Files) in einem zentralen Server-Angebot für Datei bezogene Dienste und ohne wesentliche Einschränkungen zu den Syno-Apps. Gleiches gilt für Kopano als Groupware-Server, das zumindest für unsere Bedürfnisse einen echten MS Exchange Server verlässlich ersetzt.
Beide Server Anwendungen bieten ein gesichertes WEB-FRONTEND bzw. einen "SSH-ZUGANG" gegen sich. Lets Encrypt Zertifikate waren also Pflicht. Das lies sich sehr gut mit dem Reverse Proxy von Synology einrichten. Nativ sind sie über HTTPS:// ... (also Port 443) im internen Netz erreichbar. Man kann den Zielport aber auch auf jeden anderen Port konfigurieren. Mit dem Reverse Proxy von Synology kann man bereits auf dem Proxy SUB-Domänen einfangen und ihnen sowohl ein Let's Encrypt Zertifikat mitgeben und an einen anderen Zielport redirekten.
Für A heist beispielsweise die SUB-DOMÄNE "cloud.beispiel.de" und für B "exchange.beispiel.de". Beide sind mit entsprechenden DynDns Einträgen unter einen entsprechenden Domänen-Namen im DNS des Internet registriert. Beide haben aus dem Internet den gleichen TCP Zugriffs-Port (zB. 66666) und werden von extern mittels cloud.beispiel.de:66666 oder exchange.beispiel.de:6666 direkt auf die primäre FritzBox geleitet. Hier greift nun eine Portweiterleitung der Fritzbox an den SynoRouter. Der wiederum leitet das an den Reverse-Proxy des Syno-NAS weiter. Mittels der Sub-Domänen Namen kann der Reverse-Proxy unter Bekanntgabe des Lets Encrypt Zertifikat die entsprechende Dienst-Anfrage nach Anfrage-Namen trennen (cloud oder exchange) an diesen dann an eine einen spezifischen Host / Port weiterleiten. --- Klingt Komplex, funktioniert aber sehr trivial und ist mittels DSM Oberfläche lächerlich einfach einzurichten.
Erste Aufgabe erfüllt! Alle internen Angebote sind für berechtigte User, bzw. authorisierte Zugriffe nur mittels einer sprechenden Adresse auch aus dem Internet erreichbar. Also https://cloud.beispiel.de:66666 verbindet verlässlich aus jedem Chrome, firefox etc. (und ohne jede weitere Massnahme) an den im HeimNetz etablierten NextCloud und ist mittels Lets-Encrypt Zertifikat gesichert. Wer diesen Zugang nutzt muss sich dann noch per 2FA autorisieren oder wird nach 3 Fehlversuchen für qualifizierte Benutzer ausgesperrt. Diese Funktion ist in den Server Angeboten realisiert und wird nicht über Mechanismen die Synology im DSM anbietet abgebildet. NextCloud (APP A) bietet einen integrierten Security-Check an. Hier erreicht unser Server ein A+ Ranking. Dies ist auch für Kopano (APP B) sinngleich eingerichtet.
Für alle von EXTERN üblichen Zugriffe ist damit eine Lösung ohne VPN trotzdem und nur auf einem TCP Port der Provider-Fritzbox ermöglicht.
Bei uns gibt es hierzu keine erweiterten User Anfragen. --- Aber der Admin hat häufig andere und erweiterte Notwendigkeiten von EXTERN zuzugreifen. Dann braucht es VPN. Dies dann im nächsten Teil.
Die erste Frage lautet auch im Sinne der Sicherheit: "Wer braucht was!"
Ruhige Nacht mit 2 Lichtern
F@H
Zuletzt bearbeitet:
- Mitglied seit
- 29. Apr 2018
- Beiträge
- 184
- Punkte für Reaktionen
- 17
- Punkte
- 24
Man hast Du dir mit dem Text eine Arbeit gemacht, herzlichen Dank schon mal dafür. Ich werde ihn mir im Detail morgen zu Gemüte führen. Sicher ergeben sich da konkrete Fragen meinerseits. Ich melde mich nach der Lektüre, muß morgen recht früh raus. Gruß, Jürgen
FricklerAtHome
Benutzer
- Mitglied seit
- 01. Okt 2017
- Beiträge
- 583
- Punkte für Reaktionen
- 42
- Punkte
- 54
NUN DANN ein weiterer Schritt --- VPN Strategie Teil 1 1/2
Im ersten Teil habe ich auf die DynDns Freigabe der Sub-Domämen hingewiesen. DynDNS Freigaben enthalten keinen PORT.
Kennt oder scannt ein Angreifer "cloud.beispiel.de" bzw. "https://cloud.beispiel.de" muss er auch den realen offenen Port erwischen.
Https:// cloud.beispiel.de routet auf Port 443 den ich nicht anbiete. Ein externer Port-Scan auf alle möglichen offenen Ports von "cloud.beispiel.de" dauert mindestens 2 Sekunden und ist deshalb für die meisten direkten Angreifer nicht ein primäres Ziel. Wenn sie es doch finden, zumeist auch nicht mehr! Dann kommt die Authentifizierung am Portal. Bisher bei mir ohne Erfolg für unbekannte Angreifer
2 Lichter
F@H
Im ersten Teil habe ich auf die DynDns Freigabe der Sub-Domämen hingewiesen. DynDNS Freigaben enthalten keinen PORT.
Kennt oder scannt ein Angreifer "cloud.beispiel.de" bzw. "https://cloud.beispiel.de" muss er auch den realen offenen Port erwischen.
Https:// cloud.beispiel.de routet auf Port 443 den ich nicht anbiete. Ein externer Port-Scan auf alle möglichen offenen Ports von "cloud.beispiel.de" dauert mindestens 2 Sekunden und ist deshalb für die meisten direkten Angreifer nicht ein primäres Ziel. Wenn sie es doch finden, zumeist auch nicht mehr! Dann kommt die Authentifizierung am Portal. Bisher bei mir ohne Erfolg für unbekannte Angreifer
2 Lichter
F@H
Zuletzt bearbeitet:
FricklerAtHome
Benutzer
- Mitglied seit
- 01. Okt 2017
- Beiträge
- 583
- Punkte für Reaktionen
- 42
- Punkte
- 54
NUN DANN zum VPN --- VPN Strategie Teil 2
Wenn der primäre Router dem Internet-Provider gehört sollte / muss man sein privates HeimNetz vor einem trivialen Fremdnutzer (Provider) schützen. Das ist auch weiter unsere Philosphie. Hier kommt dann das Konzept der kaskadierten Router zur Netzwerktrennung / Netzwerksegmentierung zum Einsatz. --- Kurz dahinter kommt aber auch die Forderung:"Ich will alles, was ich auch bezahle!"
Bei uns ist da ein GigaBit Zugang von "VO..." mit 50 Mbit Upload pro sek.
Wir haben viel getestet / experimentiert und rumgespielt. Als zweiter Router für den Schutz unseres Heimnetzes kamen zum Einsatz: eine native Fritzbox 4040, eine gepimpte Fritzbox 4040 mit OpenWRT OS, ein Zotac Ci329 mit diversen OpenSource Router OS und ein Syno RT1900ac.
Die entsprechende Hardware lag hier einfach rum und wir wollten nichts zusätzlich ausgeben.
Als Client nutzten wir hinter diesen Routern immer ein per LAN angebundenes MacBook Pro mit dem Programm der BundesnetzAgentur "Breitbandmessung". Bei uns war immer der Synology RT1900ac mit maximal 940 Mbit/sek in Download der Schnellste. Während der Messungen und auch im Regelbetrieb bieten weder der primäre Router des Provider noch ein sekundärer Router-Kandidat WLAN an! Das ist bei uns intern anders gelöst.
Gleichzeit gefiel uns der Syno-Router RT1900ac mit seinen Web-Interface und dem SNMP-Abgriff am besten. Das war der Auschlag fü die Wahl des Gateways für das Heimnetz. Zumal die Werte auch mit eingeschaltetem Intrusion-Provention-System und Safe-Access nicht schwächelten. ---- Alles eine private Entscheidung und keine Reklame! Wesentliche Anreize kamen aus entsprechenden Artikeln der ct'!
Also hängt nun ein RT1900ac als sekundärer Router / Firewall hinter der Provider FritzBox. Das Thema Speed ist auch für die Dienste aus dem ersten Teil von NUN DANN geklärt.
Traditionell gab es bereits einen L2TP VPN Zugang vor all diesen Entscheidungen. Dies wird durch Portweiterleitungen von 3 Ports an einen entsprechenden Ziel VPN Server realisiert. Der Syno-Router bietet diesen VPN Typ nativ an. Er kann aber auch als VPN Server für einige andere VPN Protokolle dienen. Ein Teil davon ist nur über kostenpflichtige Lizenzen beliebig nutzbar. Wir haben erstmal L2TP genutzt, da es kostenfrei ist, halbwegs sicher und halt direkt auf dem Router lief. -- Als echter Erfahrungswert: "Geht mit ausreichender Geschwindigkeit, potenziell in der Sicherheit jedoch schwächer als andere VPN Protokolle die der Router kann (Ausnahme PTPP, das ist tot)" --
Wir haben dann auch noch die anderen VPN Protokolle wie IPSEC, OpenVPN und SSH ausprobiert. So richtig warm sind wir mit keinem geworden, auch L2TP ist nicht der Bringer auf dem Handy. Aber mit dem Syno-Router laufen gute und sichere VPN-Server direkt auf dem Router und somit vor jedem Client aus dem HeimnNetz (vor allem nicht mehr auf dem NAS).
Seit ein paar Jahren hat sich für VPN ein neuer Ansatz etabliert Wireguard. Es ist deutlich schneller und verbraucht weniger Resourcen als die Klassiker. Seit ca. 1 Jahr ist es sogar direkt in den offiziellen Linux-Kernel integriert. Es agiert allein auf dem UDP Protokoll mit frei wählbarem Port. --- Das mussten wir testen!
Auf dem Syno-Router wird dieses Protokoll aktuell nicht angeboten. Also muss jemand im internen Netz die Aufgabe übernehmen (faktisch kann man das auch als Rückschritt bezeichnen). Zuerst haben wir einen Raspi 4 hinter dem Syno-Router dafür eingesetzt. Es ist lediglich eine Portweiterleitung aus der Router-Kaskade notwendig. Aktuell läuft der Dienst in einer ProxMox Debian 11 VM.
Den freizugebenden UDP Port haben wir sowohl in der Provider FritzBox als auch auf dem Syno-Router auf den schon bisher freigegeben TCP Port für die Dienste "KOPANO" und "NEXTCLOUD" nun auch für UDP für "Wireguard" freigegeben.
Von Extern ist unser Netwerk also nur noch über einen Port erreichbar. Der Port ist für alle Protokolle (TCP / UDP) gleich und wird bis an den zweiten Router durch die Fritzbox des Providers weitergeleitet. (Aber eben auch nur dieser PORT, der unbekannt für klassische Dienste und deshalb auch selten gescannt wird). Der Syno-Router leitet allen TCP Traffik an den Reverse-Proxy und allen UDP Traffik an Wireguard. Hier enscheiden dann Zertifikate, Passwörter und ähnliches ob über diese Route Zugriff gewährt werden kann.
Das funktioniert bei uns und unseren Bedürfnissen sehr gut. Besser geht immer.
Schönen Abend mit 2 Lichtern
F@H
Wenn der primäre Router dem Internet-Provider gehört sollte / muss man sein privates HeimNetz vor einem trivialen Fremdnutzer (Provider) schützen. Das ist auch weiter unsere Philosphie. Hier kommt dann das Konzept der kaskadierten Router zur Netzwerktrennung / Netzwerksegmentierung zum Einsatz. --- Kurz dahinter kommt aber auch die Forderung:"Ich will alles, was ich auch bezahle!"
Bei uns ist da ein GigaBit Zugang von "VO..." mit 50 Mbit Upload pro sek.
Wir haben viel getestet / experimentiert und rumgespielt. Als zweiter Router für den Schutz unseres Heimnetzes kamen zum Einsatz: eine native Fritzbox 4040, eine gepimpte Fritzbox 4040 mit OpenWRT OS, ein Zotac Ci329 mit diversen OpenSource Router OS und ein Syno RT1900ac.
Die entsprechende Hardware lag hier einfach rum und wir wollten nichts zusätzlich ausgeben.
Als Client nutzten wir hinter diesen Routern immer ein per LAN angebundenes MacBook Pro mit dem Programm der BundesnetzAgentur "Breitbandmessung". Bei uns war immer der Synology RT1900ac mit maximal 940 Mbit/sek in Download der Schnellste. Während der Messungen und auch im Regelbetrieb bieten weder der primäre Router des Provider noch ein sekundärer Router-Kandidat WLAN an! Das ist bei uns intern anders gelöst.
Gleichzeit gefiel uns der Syno-Router RT1900ac mit seinen Web-Interface und dem SNMP-Abgriff am besten. Das war der Auschlag fü die Wahl des Gateways für das Heimnetz. Zumal die Werte auch mit eingeschaltetem Intrusion-Provention-System und Safe-Access nicht schwächelten. ---- Alles eine private Entscheidung und keine Reklame! Wesentliche Anreize kamen aus entsprechenden Artikeln der ct'!
Also hängt nun ein RT1900ac als sekundärer Router / Firewall hinter der Provider FritzBox. Das Thema Speed ist auch für die Dienste aus dem ersten Teil von NUN DANN geklärt.
Traditionell gab es bereits einen L2TP VPN Zugang vor all diesen Entscheidungen. Dies wird durch Portweiterleitungen von 3 Ports an einen entsprechenden Ziel VPN Server realisiert. Der Syno-Router bietet diesen VPN Typ nativ an. Er kann aber auch als VPN Server für einige andere VPN Protokolle dienen. Ein Teil davon ist nur über kostenpflichtige Lizenzen beliebig nutzbar. Wir haben erstmal L2TP genutzt, da es kostenfrei ist, halbwegs sicher und halt direkt auf dem Router lief. -- Als echter Erfahrungswert: "Geht mit ausreichender Geschwindigkeit, potenziell in der Sicherheit jedoch schwächer als andere VPN Protokolle die der Router kann (Ausnahme PTPP, das ist tot)" --
Wir haben dann auch noch die anderen VPN Protokolle wie IPSEC, OpenVPN und SSH ausprobiert. So richtig warm sind wir mit keinem geworden, auch L2TP ist nicht der Bringer auf dem Handy. Aber mit dem Syno-Router laufen gute und sichere VPN-Server direkt auf dem Router und somit vor jedem Client aus dem HeimnNetz (vor allem nicht mehr auf dem NAS).
Seit ein paar Jahren hat sich für VPN ein neuer Ansatz etabliert Wireguard. Es ist deutlich schneller und verbraucht weniger Resourcen als die Klassiker. Seit ca. 1 Jahr ist es sogar direkt in den offiziellen Linux-Kernel integriert. Es agiert allein auf dem UDP Protokoll mit frei wählbarem Port. --- Das mussten wir testen!
Auf dem Syno-Router wird dieses Protokoll aktuell nicht angeboten. Also muss jemand im internen Netz die Aufgabe übernehmen (faktisch kann man das auch als Rückschritt bezeichnen). Zuerst haben wir einen Raspi 4 hinter dem Syno-Router dafür eingesetzt. Es ist lediglich eine Portweiterleitung aus der Router-Kaskade notwendig. Aktuell läuft der Dienst in einer ProxMox Debian 11 VM.
Den freizugebenden UDP Port haben wir sowohl in der Provider FritzBox als auch auf dem Syno-Router auf den schon bisher freigegeben TCP Port für die Dienste "KOPANO" und "NEXTCLOUD" nun auch für UDP für "Wireguard" freigegeben.
Von Extern ist unser Netwerk also nur noch über einen Port erreichbar. Der Port ist für alle Protokolle (TCP / UDP) gleich und wird bis an den zweiten Router durch die Fritzbox des Providers weitergeleitet. (Aber eben auch nur dieser PORT, der unbekannt für klassische Dienste und deshalb auch selten gescannt wird). Der Syno-Router leitet allen TCP Traffik an den Reverse-Proxy und allen UDP Traffik an Wireguard. Hier enscheiden dann Zertifikate, Passwörter und ähnliches ob über diese Route Zugriff gewährt werden kann.
Das funktioniert bei uns und unseren Bedürfnissen sehr gut. Besser geht immer.
Schönen Abend mit 2 Lichtern
F@H
Zuletzt bearbeitet:
- Mitglied seit
- 29. Apr 2018
- Beiträge
- 184
- Punkte für Reaktionen
- 17
- Punkte
- 24
@FricklerAtHome
Vielen Dank für deine Erläuterungen, das ist definitiv zu komplex für mich, sorry.
Auch wenn ich die von Dir geschilderten Sicherheitsaspekt absolut nachvollziehen kann, ist es mir zur Zeit unmöglich das in einer ähnlichen Form zu realisieren, mir fehlt einfach der technische Background.
Ich habe heute erst einmal WireGuard in einer Debian VM zum laufen gebracht. Leider kann ich mich aus dem LTE/5G-Netz noch nicht verbinden, aber das werde ich sicher irgendwie hinbekommen.
Für mich stellt sich gerade auch die Frage, sollte ich notwendige Ports bereits an der Fritbox freigeben, oder das die Firewall der DS erledigen lassen?
Bei solchen Fragen siehst Du, wo ich stehe.
Vielen Dank für deine Erläuterungen, das ist definitiv zu komplex für mich, sorry.
Auch wenn ich die von Dir geschilderten Sicherheitsaspekt absolut nachvollziehen kann, ist es mir zur Zeit unmöglich das in einer ähnlichen Form zu realisieren, mir fehlt einfach der technische Background.
Ich habe heute erst einmal WireGuard in einer Debian VM zum laufen gebracht. Leider kann ich mich aus dem LTE/5G-Netz noch nicht verbinden, aber das werde ich sicher irgendwie hinbekommen.
Für mich stellt sich gerade auch die Frage, sollte ich notwendige Ports bereits an der Fritbox freigeben, oder das die Firewall der DS erledigen lassen?
Bei solchen Fragen siehst Du, wo ich stehe.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 3.990
- Punkte für Reaktionen
- 517
- Punkte
- 174
In so einem Fall würde ich von allen Softwarelösungen und VMs Abschied nehmen und mir einen guten VPN Router zulegen.
Dann ist nur noch der Port 443 offen am Router und alles andere ist schlicht zu.
Die Fritz würde ich also komplett ersetzen, höchstens als Tel-Anlage im LAN weiterlaufen lassen. Das lässt sich im Router problemlos und super funktionierend via Firewall einrichten.
Schau dich mal bei draytek.de um, da solltest du das passende Gerät finden (am besten nichts mit WLAN nehmen!)
Draytek bietet einen unübertroffenen Tel-Support in Deutschland, DDNS Dienste sind umsonst, genau so wie die VPN Clientsoftware für alle BS und Smartphones. Kompletter geht nicht.
Dann ist nur noch der Port 443 offen am Router und alles andere ist schlicht zu.
Die Fritz würde ich also komplett ersetzen, höchstens als Tel-Anlage im LAN weiterlaufen lassen. Das lässt sich im Router problemlos und super funktionierend via Firewall einrichten.
Schau dich mal bei draytek.de um, da solltest du das passende Gerät finden (am besten nichts mit WLAN nehmen!)
Draytek bietet einen unübertroffenen Tel-Support in Deutschland, DDNS Dienste sind umsonst, genau so wie die VPN Clientsoftware für alle BS und Smartphones. Kompletter geht nicht.
- Mitglied seit
- 29. Apr 2018
- Beiträge
- 184
- Punkte für Reaktionen
- 17
- Punkte
- 24
Vielen dank für deinen Gedanken. Wenn es nicht zu viel verlangt ist, könntest Du mich da vielleicht ein wenig lotsen?
Kurz zur Information:
Ich bin Grafiker und Fotograf. Mein Atelier (75 qm) befindet sich auf einer Ebene mit unserer Wohnung (97 qm).
Beides ist räumlich getrennt und zur Zeit via W-LAN-Brücke (Fritz!Box 7590 ax + Repeater 3000) miteinander verbunden,
das funktioniert soweit ganz gut.
Es kann leider kein Kabel zur Wohnung gezogen werden.
• FritzBox ist via fester IP mit dem Internet verbunden
Im Netzwerk befinden sich:
• Zwei iMacs mit 10GBit Schnitstellen
• ein Netgear Switch (10GBit)
• DS 1621xs (10GBit LAN1) (MailPlus Server)
• zwei weiter Macs
• zwei Printer.
• iPhone, iPad etc
IP Telefonie läuft über die Fritz!Box via DECT, das W-LAN wird ebenfalls von der FritzBox aufgespannt.
Wenn eine Alternative zu AVM Sinn macht, dann sei es so, ich bin da offen.
Draytek werde ich mir mal anschauen, den Synology Router RT2600ac hatte ich ja schon auf dem Schirm, der hat jedoch W-LAN.
Womit würdest Du das W-LAN realisieren?
Was benötige ich?
Ich denke, Modem, Router, W-LAN, sicher auch einen W-LAN Repeater
Was würdest Du empfehlen um hier eine vernünftige Konfiguration hin zu bekommen.
Herzlichen Dank schon einmal für deine Antwort.
Kurz zur Information:
Ich bin Grafiker und Fotograf. Mein Atelier (75 qm) befindet sich auf einer Ebene mit unserer Wohnung (97 qm).
Beides ist räumlich getrennt und zur Zeit via W-LAN-Brücke (Fritz!Box 7590 ax + Repeater 3000) miteinander verbunden,
das funktioniert soweit ganz gut.
Es kann leider kein Kabel zur Wohnung gezogen werden.
• FritzBox ist via fester IP mit dem Internet verbunden
Im Netzwerk befinden sich:
• Zwei iMacs mit 10GBit Schnitstellen
• ein Netgear Switch (10GBit)
• DS 1621xs (10GBit LAN1) (MailPlus Server)
• zwei weiter Macs
• zwei Printer.
• iPhone, iPad etc
IP Telefonie läuft über die Fritz!Box via DECT, das W-LAN wird ebenfalls von der FritzBox aufgespannt.
Wenn eine Alternative zu AVM Sinn macht, dann sei es so, ich bin da offen.
Draytek werde ich mir mal anschauen, den Synology Router RT2600ac hatte ich ja schon auf dem Schirm, der hat jedoch W-LAN.
Womit würdest Du das W-LAN realisieren?
Was benötige ich?
Ich denke, Modem, Router, W-LAN, sicher auch einen W-LAN Repeater
Was würdest Du empfehlen um hier eine vernünftige Konfiguration hin zu bekommen.
Herzlichen Dank schon einmal für deine Antwort.
Zuletzt bearbeitet von einem Moderator:
- Mitglied seit
- 29. Apr 2018
- Beiträge
- 184
- Punkte für Reaktionen
- 17
- Punkte
- 24
Also, ich habe mich mal auf den Draytek-Seiten etwas umgeschaut. Puh, das Angebot hat mich fast erschlagen.
Als reines Modem wäre da der Vigor 167 vielleicht ganz interessant, jedoch wird dann noch ein Router + W-LAN benötigt.
Als reines Modem wäre da der Vigor 167 vielleicht ganz interessant, jedoch wird dann noch ein Router + W-LAN benötigt.
Zuletzt bearbeitet von einem Moderator:
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 4.725
- Punkte für Reaktionen
- 1.692
- Punkte
- 214
Wenn die VPN-Lösung nicht zum Router passt, ist es tatsächlich besser, den Router zu ersetzen. Ob Draytek oder nicht, ist Ansichtssache. Es gibt auch andere gute Anbieter, was Draytek nicht abwerten soll.
Trotzdem hänge ich immer noch am Ausgangspost mit den Leistungsdaten des Internetanschlusses: Das bekommt die interne VPN-Lösung der FB locker gewuppt, da gibt es kein für mich erkennbares ko-Kriterium.
Es führt dann ein (1) Kabel von der FB zum Switch - diese Verbindung stellt das Internet und den VPN-Zugang für das gesamte Heimnetzwerk bereit. Keine Weiterleitung, keine offenen Ports, alles sauber. Ansonsten bleibt die FB nackig, auf der läuft nicht viel. Einschränkung: Für den Mailserver benötigst du Zugänge - die lassen sich sauber definieren und absichern.
Man kann den DHCP-Server, der die internen IP-Adressen vergibt, auf der FB lassen, oder auf den Switch verlagern, das ist wahlfrei. Auf der DS macht weniger Sinn, sonst muss sie 24/7 in Betrieb sein.
Wie das Heimnetz dahinter aussieht, was es leisten muss ist der FB egal - darum kümmert sich der Switch. Jeder 10GBit-Switch ist Oberklasse: Diese Switche habe eine interne Adminsoftware, die die Heimnetzverwaltung voll abdeckt, mit Finessen, die die FB nicht anbietet (VLAN, QoS, Spanning Tree etc.).
Der Zugriff aus einem Mobilfunknetz (und natürlich aus jedem WLAN mit Internetzugang) klappt bei mir über die in iOS eingebaute VPN-Schnittstelle ohne Probleme. Es funktioniert auch problemlos so, dass ich mich von außerhalb zu Hause einwähle, und von dort wieder ins Internet gehe. Das ist z.B. relevant, wenn man sich selbst im Ausland befindet, und dort bestimmte Seiten geblockt sind.
Nach Herstellen der VPN-Verbindung erfolgt der Aufruf der DS und aller anderen Ressourcen (z.B. Drucken per Fernzugriff) exakt wie bei körperlicher Anwesenheit im Heimnetz.
Trotzdem hänge ich immer noch am Ausgangspost mit den Leistungsdaten des Internetanschlusses: Das bekommt die interne VPN-Lösung der FB locker gewuppt, da gibt es kein für mich erkennbares ko-Kriterium.
Es führt dann ein (1) Kabel von der FB zum Switch - diese Verbindung stellt das Internet und den VPN-Zugang für das gesamte Heimnetzwerk bereit. Keine Weiterleitung, keine offenen Ports, alles sauber. Ansonsten bleibt die FB nackig, auf der läuft nicht viel. Einschränkung: Für den Mailserver benötigst du Zugänge - die lassen sich sauber definieren und absichern.
Man kann den DHCP-Server, der die internen IP-Adressen vergibt, auf der FB lassen, oder auf den Switch verlagern, das ist wahlfrei. Auf der DS macht weniger Sinn, sonst muss sie 24/7 in Betrieb sein.
Wie das Heimnetz dahinter aussieht, was es leisten muss ist der FB egal - darum kümmert sich der Switch. Jeder 10GBit-Switch ist Oberklasse: Diese Switche habe eine interne Adminsoftware, die die Heimnetzverwaltung voll abdeckt, mit Finessen, die die FB nicht anbietet (VLAN, QoS, Spanning Tree etc.).
Der Zugriff aus einem Mobilfunknetz (und natürlich aus jedem WLAN mit Internetzugang) klappt bei mir über die in iOS eingebaute VPN-Schnittstelle ohne Probleme. Es funktioniert auch problemlos so, dass ich mich von außerhalb zu Hause einwähle, und von dort wieder ins Internet gehe. Das ist z.B. relevant, wenn man sich selbst im Ausland befindet, und dort bestimmte Seiten geblockt sind.
Nach Herstellen der VPN-Verbindung erfolgt der Aufruf der DS und aller anderen Ressourcen (z.B. Drucken per Fernzugriff) exakt wie bei körperlicher Anwesenheit im Heimnetz.
- Mitglied seit
- 29. Apr 2018
- Beiträge
- 184
- Punkte für Reaktionen
- 17
- Punkte
- 24
@Synchrotron
Vielen Dank für die Antwort. Du hast hast Recht, die Frage nach der Performance hat sich für mich inzwischen auch geklärt. Das Thema VPN und Sicherheit beschäftigt mich weiter, ich merke, wie ich da gerade viel dazu lerne.
Auf der DS läuft ein MailPlus Server, deshalb werkelt sie 24/7. Wenn ich an der FB alles dicht mache, nur das VPN laufen lasse, wie soll dann der Mailserver etwas empfangen? Kann ich die notwendigen Ports dafür dann in der DS Firewall überhaupt öffnen. Ich habe die Ports zur Zeit in der FB weitergeleitet. Ich stehe gerade etwas auf dem Schlauch. Sieh es mir bitte nach, ich erarbeite mir hier alles scheibchenweise, das dauert.
Vielen Dank für die Antwort. Du hast hast Recht, die Frage nach der Performance hat sich für mich inzwischen auch geklärt. Das Thema VPN und Sicherheit beschäftigt mich weiter, ich merke, wie ich da gerade viel dazu lerne.
Auf der DS läuft ein MailPlus Server, deshalb werkelt sie 24/7. Wenn ich an der FB alles dicht mache, nur das VPN laufen lasse, wie soll dann der Mailserver etwas empfangen? Kann ich die notwendigen Ports dafür dann in der DS Firewall überhaupt öffnen. Ich habe die Ports zur Zeit in der FB weitergeleitet. Ich stehe gerade etwas auf dem Schlauch. Sieh es mir bitte nach, ich erarbeite mir hier alles scheibchenweise, das dauert.
FricklerAtHome
Benutzer
- Mitglied seit
- 01. Okt 2017
- Beiträge
- 583
- Punkte für Reaktionen
- 42
- Punkte
- 54
@twoparts
so wie du nun dein Netzwerk erklärst, geht es nach meinem Eindruck um eine gewerbliche Nutzung mit privatem Benefit.
Da können wir dir hier sicher viele Erfahrungsberichte geben. Jede Stimme hat sicher hier ihren Blick. --- Aber wenn du auch für einen gewerblichen Einsatz eine Entscheidung brauchst solltest du dies nicht nach Empfehlungen hier im Forum tun!
Dafür gibt es professionelle Anbieter, die mit dir in einer Geschäfts- und Vertragsbeziehung stehen.
Wenn du für den gewerblichen Einsatz dieses Forum nutzen möchtes, gerne! Ich bin dann mal weg!
F@H * zugelassener Ausbilder IHK "Fachinformatiker Systemintegration"
so wie du nun dein Netzwerk erklärst, geht es nach meinem Eindruck um eine gewerbliche Nutzung mit privatem Benefit.
Da können wir dir hier sicher viele Erfahrungsberichte geben. Jede Stimme hat sicher hier ihren Blick. --- Aber wenn du auch für einen gewerblichen Einsatz eine Entscheidung brauchst solltest du dies nicht nach Empfehlungen hier im Forum tun!
Dafür gibt es professionelle Anbieter, die mit dir in einer Geschäfts- und Vertragsbeziehung stehen.
Wenn du für den gewerblichen Einsatz dieses Forum nutzen möchtes, gerne! Ich bin dann mal weg!
F@H * zugelassener Ausbilder IHK "Fachinformatiker Systemintegration"
- Mitglied seit
- 29. Apr 2018
- Beiträge
- 184
- Punkte für Reaktionen
- 17
- Punkte
- 24
@FricklerAtHome
Ich habe kein Gewerbe, ich bin freiberuflich soloselbständig, frickel mir das alles hier irgendwie selbst zusammen und versuche irgendwie durch diese Sch…ß Corona-Zeit zu kommen. Vielen Dank für dein bemerkenswertes Fachwissen und das Du es in diesem Forum zur Verfügung stellst. Was meinst Du, wie vielen freiberuflichen Kollegen ich in den letzten 35 Jahren Unterstützung aus meinem Fachgebiet gegeben habe ohne auf meine Reputation hinzuweisen. Ach egal, ich danke dir für deine Hilfe.
Wenn ich hier gegen Regeln verstoßen habe, möge dieses Thema hier an dieser Stelle beendet werden.
Ich habe kein Gewerbe, ich bin freiberuflich soloselbständig, frickel mir das alles hier irgendwie selbst zusammen und versuche irgendwie durch diese Sch…ß Corona-Zeit zu kommen. Vielen Dank für dein bemerkenswertes Fachwissen und das Du es in diesem Forum zur Verfügung stellst. Was meinst Du, wie vielen freiberuflichen Kollegen ich in den letzten 35 Jahren Unterstützung aus meinem Fachgebiet gegeben habe ohne auf meine Reputation hinzuweisen. Ach egal, ich danke dir für deine Hilfe.
Wenn ich hier gegen Regeln verstoßen habe, möge dieses Thema hier an dieser Stelle beendet werden.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
