Synology VPN und Mailserver

[Chäli]

Hallo zusammen
Ich werde mir den Synology Router 6600ax als Ersatz für meine Fritzbox zulegen. Angeschöossen ans iNet wird sie über eine Zyxel Bridge. Dahinter habe ich ein NAS mit diversen Anwendungen. Darunter ein Mailserver. Erreichbar ist der Router über eine fixe ip4 Adresse. Auf dem Router möchte ich ein VPN einrichten und ich werde alle meine Externen Geräte so konfigurieren, dass sie dauernd im eigenen SynoVPN sind. Alle Anwendungen greifen dann nur noch über eine interne IP aufs NAS zu. Dazu einige Fragen
A) ist es korrekt, dass ich in dieser Konfiguration für jede zu erreichende Anwendung auf dem Router die Ports weiterleiten muss
B) Gibt es eine Möglichkeit auf die NAS Anwendungen zu kommen ohne die Ports weiterleiten (öffnen) zu müssen?
C) Damit das NAS von aussen nicht mehr erreichbar isz, ausser eben über VPN und interne ip; wo muss ich das einstellen? Über Firewallregeln auf dem Router?

Der VPN Server auf dem NAS ist sehr langsam, deshalb möchte ich die VPN Anwendung auf dem Router, sonst müsste ich nur die VPN und Mailports weiterleiten. Mit VPN auf dem Router habe ich aber keine Erfahrung.

Vielen Dank fürs auf die Sprünge helfen und Eure Hilfe.

 

[Synchrotron]

Das VPN der FB ist so schlecht nicht, schon aktuell mit IPSec. Derzeit erfolgt der Rollout der Version mit Wireguard.

Nichts gegen einen Synology-Router, aber nur für die VPN-Thematik überflüssig.

Wenn man über ein VPN eingewählt ist, ist man virtuell im Heimnetzwerk. Da müssen überhaupt keine Ports am Router durchgeleitet werden.

Allenfalls über die Firewall solltest du dir Gedanken machen - also welche Anwendungen auf der DS du vom VPN aus erreichbar machen willst.

Und zum Betrieb eines Mailservers nützt dir das VPN recht wenig.

 

[EDvonSchleck]

VPN ist das eine, Mailserver das andere. Für den Mailserver wirst du immer die entsprechenden Ports öffnen müssen.
Wie bereits geschrieben würde ich auch bei der Fritz!Box bleiben, besonders das im neuesten Release WireGuard möglich ist. Das VPN-Protokoll vereinfacht die Installation ungemein und ist auch noch sehr schnell gegenüber den anderen Protokollen. Der Synology Router bietet dieses nicht in Konfiguration an.

 

[Chäli]

@Synchrotron danke für die Antwort. Den Syno Router würde ich nehmen, weil ich das Netzwerk segmentieren kann über VLAN. Ja Wireguard wäre schön. Kann das nicht von Synologie über Pakete/Softtwareupdates nachgereicht werden? Ja klar fürs Mail nutzt VPN nichts. Hier habe ich den Eindruck, dass die Firewall des Synorouters derjenigen der FB überlegen ist, vielleicht täusche ich mich aber.

 

[EDvonSchleck]

Wenn es noch ein bisschen professioneller sein darf, schaust du dir Router von DrayTek einmal genauer an. Wenn es günstiger sein soll, nimmst du einen Router, welcher von DD-WRT oder OpenWRT unterstützt wird. Die gibt es bereits ab ca. 50 € und kommen ebenfalls mit WireGuard und Open Source, mit VLAN und vieles mehr. Nutze ich seit vielen Jahren (DD-WRT) auf unterschiedliche Geräten mit unterschiedlichen Modi.

 

[Chäli]

@EDvonSchleck Vielen Dank. Die Router von Draytek habe ich mir mal angeschaut. Da hat es sicher sehr performante darunter. Von Wireguard steht allerdings nirgendwo etwas. Im Internet habe ich aber über eine Unterstützung einzelner Router gelesen. Ich habe mich nun mal da direkt informiert. Mal schauen