VPN - Was ist besser

[thebootmaker]

Moin,
ich habe nicht viel Erfahrungen mit meinem VPN. Jedoch möchte ich dieses nutzen, weil ich oft von Unterwegs mit meinem Laptop arbeiten muss und auf meine Netzlaufwerke zuhause im Büro zugreifen muss.

Hierzu habe ich bisher in meiner Fritz!Box 6591 einen VPN eingerichtet, der Windows Client von AVM ist aber nicht wirklich gut, denn dieser verursacht oftmals Bluescreens. Wer nun sagt, es liegt an der Hardware ...

Ich habe sowohl meinen Standrechner durch einen neuen ersetzt, weil ich dachte, dieser wäre defekt, als auch meinen Laptop. Und wenn ich ein wenig diese AVM Clients nutze, habe ich immer wieder - nicht an einer bestimmten Sache ausmachbar - Bluescreens.

Dann hatte ich mal das Problem, dass zwar das Internet zuhause funktioniert hat, jedoch die FritzBox eine Störung hatte, weswegen eine VPN Verbindung erst nach einem Neustart wieder möglich war ...

Deswegen bin ich auf der Suche nach einer einfachen Alternative ...

Erklärt mir doch mal die Vorteile / Nachteile über eine VPN Verbindung mit der Synology und wie man ggf. Wireguard einrichten kann. Im Moment komme ich auch auf den folgenden Artikel nicht: https://idomix.de/wireguard-vpn-server-auf-synology-diskstation

Weiterhin habe ich AdGuard auf meiner Synology laufen. Kann es in Kombination mit einem VPN Probleme geben? Was muss man da beachten?

Viele Fragen und hoffentlich auch viele Antworten

Viele Grüße

 

[ottosykora]

Die Idee VPN Server auf der FB zu betreiben ist eigentlich gut, weil da genau die Verbindung zu dem Eingang des Netzwerkes erstellt wird und nicht erst Ports durchgeleitet werden müssen damit man zu einem VPN Server kommt.
Es ist jedoch genau so möglich den VPN Server auf der DS zu installieren und dann halt die entsprechenden Ports in der FB zu der DS weiterleiten.
Sicherheitsfanatiker finden auch ein weitergeleiteter VPN Port sein schon eine Gefahr.
Persönlich sehe da jedoch keinen Unterschied, auch im geschäftlichen Umfeld muss ich mich zum Bsp in einen L2TP/IPsec Server einloggen der sich definitiv nicht im Router befindet, weil nur wenige Router einen eigenen VPN Server eingebaut haben.

Also wenn dich die FB stresst, warum auch immer, kannst du genau das gleiche mit der DS tun, andere betreiben ein Raspi dazu etc.

 

[Benares]

Ja, der AVM-VPN-Client war schon nicht gut, und die Alternative mit dem Shrewsoft-Client etwas, aber nicht viel besser.

Ich würde warten, bis für deine 6591 die neue 7.50er Firmware erscheint, da ist auch Wireguard enthalten. Dann brauchst du nur den passenden Wireguard-Client auf dem PC. Das funktioniert zuverlässig. Testen kann man das jetzt schon im Rahmen des 7.39er-Beta-Programms (s. hier).

 

[thebootmaker]

Moin
Ja, ich habe das auch gelesen, dass Wireguard kommt. Da ich aber eine Fritz Box von Vodafone habe, kann ich da leider nicht testen und es steht ja in den Sternen, wann die das Update bereit stellen werden …


Deswegen die Frage, wie man am besten in der Synology vorgeht.

 

[Thorfinn]

Vorweg: Die VPN Server und Klienten von AVM kenne ich nicht. Kryptieren heisst rechnen. Ich höre immer wieder dass die SoHo Geräte von AVM zwar VPN Server können, aber die Kryptorechenleistung dieser eierlegenden Wollmilchsäue dann halt etwas mau ist.

Das kleine 1mal1 der Netzwerkabsicherung: Der VPN Server sollte an der ersten Firewall (am Router) laufen. Das verkleinert Angriffsflächen. Wenn du das erst in eine DMZ routest, den VPN Server auf der Synology laufen lässt um dann in den internen Bereich zu kommen sind die Angriffsflächen grösser und die Wege in deinem Netzwerk bekommen mehr Stationen.

Male dir mal auf, in welchem Netz welche Maschine und welche Prozesse laufen. Dann zeichne die Firewalls - VPN Tunnel und Adguard Filter und die Wege auf welcher die Adressauflösung möglich sein soll (DNS).


IPSec und OpenVPN sind weit verbreitetede VPN Protokolle. So weit verbreitet, dass öffenltiche AccessPoints sie gerne unterbinden. WireGuard läuft auf UDP, das kann auch gerne mal geblockt sein. Proprietäre "VPN über http" Produkte sind da robuster, aber sehr rechenintensiv.

 

[thebootmaker]

Grundsätzlich ist ein System mit VPN sicherer als ohne. Ich bin auch bei Dir, was die Position angeht. Wenn aber die Lösung in der Fritz!Box eher Probleme bereitet und nicht zuverlässig arbeitet, bräuchte ich eine andere Lösung.

Entsprechend die Überlegung mit der DS220+ damit man nicht noch ein zusätzliches Gerät braucht.

Da brauche ich aber halt Unterstützung da ich nicht weiß, wie ich hier am besten vorgehe.

 

[ottosykora]

VPN Server installieren auf der DS
dann zuerst mal hier lesen:
https://kb.synology.com/de-de/DSM/help/VPNCenter/vpn_setup?version=7

Bei L2TP/IPsec muss dann noch ev auf dem PC der 'encapsulation' Key erstellt werden
https://docs.microsoft.com/en-US/tr...nfigure-l2tp-ipsec-server-behind-nat-t-device

Du brauchst noch ein DDNS, das kann man bei Synolog haben oder auch sonst wo.

 

[Benares]

Lies mal hier und hier.
Ich würde vorschlagen, mal das Paket "VPN Server" auf der DS zu installieren, die UDP-Ports 1701, 500 und 4500 im Router auf die DS zu leiten und es mit Windows-Bordmitteln (also L2TP/IPSec) zu probieren. Eigene Erfahrungen habe ich nicht damit.

Edit:
@ottosykora war schneller. Aber jetzt hab ich's geschrieben, jetzt schick ich's auch ab

Wichtig: Den VPN-Server auf der Fritzbox musst du dann aber abschalten, damit die benötigten Ports für eine Weiterleitung frei werden (s. Diagnose, Sicherheit)

 

[mfr]

Ich würde auf jeden Fall die FritzBox dazu nutzen, möglichst mit Wireguard. Wenn es eilig ist, die gebrandete Box durch eine freie ersetzen und die Laborversion von AVM nutzen. Ansonsten abwarten bis es auf deiner Box verfügbar ist.

Die DS käme für mich dafür nicht in Frage. Hat der VPN-Server eine Sicherheitslücke wäre ein Angreifer möglicherweise direkt auf der Kiste mit deinen Daten.
Das ist einfach ein unnötiges strukturelles Sicherheitsrisiko.

Wenn „nur“ eine Lücke in der FB ist, muss der Angreifer noch immer von deinem Netzwerk auf die Synology kommen. Je weniger Dienste diese dann bereitstellt desto schwerer ist es.

Just my 2 Cents. Kann man sicherlich anders bewerten.

 

[ottosykora]

Windows-Bordmitteln (also L2TP/IPSec) zu probieren. Eigene Erfahrungen habe ich nicht damit.

läuft bei mir auf der 212j seit 10 Jahren

testen immer von 'aussen', intern verschluckt es sich

 

[ottosykora]

Die DS käme für mich dafür nicht in Frage. Hat der VPN-Server eine Sicherheitslücke wäre ein Angreifer möglicherweise direkt auf der Kiste mit deinen Daten.
Das ist einfach ein unnötiges strukturelles Sicherheitsrisiko.

na ja, diese Server gibt es seit mehr als 10 Jahren und werden milionen fach eingesetzt
ausserdem einen VPN Server im Netzwerk zu haben ist ziemlich normal, sicher eher normal als einen VPN Server in einem Router zu haben. Ja, in .de habt ihr eine FB, das ist aber etwas lokal patriotisches, das ist in anderen Ländern gar nicht so üblich und von den Providern gelieferte Router können so was nicht. Bei einem grösseren Netzwerk mit vielen Zugriffen würde der Router wohl rote Ohren kriegen.

 

[thebootmaker]

Ich würde auf jeden Fall die FritzBox dazu nutzen, möglichst mit Wireguard. Wenn es eilig ist, die gebrandete Box durch eine freie ersetzen

Geht nicht, weil ich dann meine feste IP verliere.

 

[mfr]

na ja, diese Server gibt es seit mehr als 10 Jahren und werden milionen fach eingesetzt

? - VPN gibt es schon viel länger. Und die unterschiedliche Server-Software hatte in dieser Zeit - so wie jede andere Software auch - immer wieder mehr oder weniger gravierende Sicherheitslücken.

ausserdem einen VPN Server im Netzwerk zu haben ist ziemlich normal,

Ja. Irgendwo im Netzwerk. Aber nicht auf einem NAS.

sicher eher normal als einen VPN Server in einem Router zu haben.

Lieber dort als auf dem NAS. Klar, am besten getrennt… aber das stand hier bislang nicht zur Diskussion.

Ja, in .de habt ihr eine FB, das ist aber etwas lokal patriotisches,

Was bitte ist daran patriotisch?

das ist in anderen Ländern gar nicht so üblich und von den Providern gelieferte Router können so was nicht. Bei einem grösseren Netzwerk mit vielen Zugriffen würde der Router wohl rote Ohren kriegen.

Ist hier aber ja nicht der Fall.

 

[mfr]

Geht nicht, weil ich dann meine feste IP verliere.

Dann ein Portforwarding auf einen RasPi oder eine weitere (ausgemusterte) FritzBox?

 

[Synchrotron]

Bei einem grösseren Netzwerk mit vielen Zugriffen würde der Router wohl rote Ohren kriegen.

Ganz im Gegenteil: In größeren Netzwerken gibt es in der Regel eine vorgeschaltete DMZ. Der Zugang zum „privaten“ Bereich dahinter wird von einem (entsprechend leistungsfähigen) VPN-Server abgesichert. Dem wird auch nicht warm, wenn Dutzende Verbindungen gleichzeitig gehalten werden.

Im SoHo Bereich ist das FB-Angebot tatsächlich sehr gut verwendbar.

 

[ottosykora]

Der Zugang zum „privaten“ Bereich dahinter wird von einem (entsprechend leistungsfähigen) VPN-Server abgesichert.

das meine ich auch, und so kenne ich es auch.

Nur bei kleinen Installationen haben wir früher eine FB hinter dem Provider Router gestellt, vorausgesetzt dieser war auch bereit die Ports durchzulassen.
Aber dafür muss man schon Glück haben mit dem Provider.

 

[Rotbart]

Wenn schon VPN auf dem NAS, wäre es dann nicht sinnvoller das Ding in eine VM zu packen ?

 

[EDvonSchleck]

Wenn schon Virtualisierung , denn lieber Docker und direkt Wireguard. VM wäre übertrieben.
Ich bin aber für VPN auf den Router. Somit ist keine Portfreigabe nötig. Mit dem nächsten FritzOS gibt es Wireguard auch auf der Fritzbox.