VPN Zugang einschränken

[Bohnes]

Hallo,
ich habe folgendes Problem, ich nutze den Synology NAS DS224+ für VPN mit OpenVPN.
Jetzt habe ich über diese VPN verbindung zugriff auf mein Netzwerk.
Ich möchte aber das wenn man über das VPN kommt nur auf die Freigabe Ordner auf dem NAS kommt und nicht z.B ein Ping zu meinen anderen Geräten schicken kann.
Also wie eine Firewall. Ist das im NAS möglich oder in der VPN Config oder muss ich da selber eine Firewall z.B OpnSense zwischen setzen?
Danke schonmal im voraus für die Antworten, wenn noch irgendwelche Fragen da sind oder Infos fehlen gerne einfach fragen.

 

[Kachelkaiser]

Falls du ne Fritzbox hast

Warum nutzt du nicht dort das wireguard VPN?Dort kannst due genau festlegen, welche Geräte erreicht werden dürfen.

Und VPN auf dem Router statt auf dem Endgerät erhöht die Sicherheit.

 

[Bohnes]

Danke für die Schnelle Antwort Kachelkaiser, ich werde das Morgen direkt mal ausprobieren.

 

[plang.pl]

Ich gehe mit, dass das VPN auf dem Router besser ist als auf der NAS. Aber m.W. kann man im FritzOS nicht einschränken, welche Geräte per VPN wohin können. Entweder Vollzugriff oder gar nix

 

[Kachelkaiser]

Ah stimmt sorry. Das geht nur von LAN zu LAN.

 

[NSFH]

In der Wireguard Config gibt es den Parameter AllowedIPs, der IP und Subnet beinhaltet, also dann mit 255.255.255.255 nur diesen Host zulässt.
Weil Fritz sowas kompliziertes dem User nicht zumutet wird da vermutlich stehen "IPderFritz/24" und damit ist das ganze Subnet im Zugriff.

 

[Hagen2000]

Also wie eine Firewall. Ist das im NAS möglich

Das NAS hat doch eine eingebaute Firewall, funktioniert das damit nicht?

Betreibst Du für OpenVPN den VPN Server auf dem NAS? Hast Du lt. diesem Artikel https://kb.synology.com/de-de/DSM/help/VPNCenter/vpn_setup?version=7 den Punkt 10 "Clients den Server-LAN-Zugriff erlauben" überprüft?

 

[plang.pl]

wird da vermutlich stehen "IPderFritz/24" und damit ist das ganze Subnet im Zugriff.

Per default steht da sogar 0.0.0.0/0 drin. Also alles. Kuriorerweiße steht auch noch der Range des eigenen Heimnetz drinne. So sieht das bei mir aus: AllowedIPs = 10.1.1.0/24, 0.0.0.0/0
Ich habe mir das Profil geklont und bei einem die 10.0.0.0/24 rausgemacht und beim anderen die 0.0.0.0/0.

 

[Mahoessen]

Ein VPN ist doch erstmal eine Verbindung von zwei/ mehreren Netzten zu einem Netz, was wie eins fungiert. Innerhalb des Netzes setzte ich doch dann die Benutzer und Benutzerberechtigungen.

 

[ottosykora]

also mir kommt das Anliegen auch etwas merkwürdig vor
Wenn ich ein PC an ein Netzwerk anschliesse (VPN macht nichts anders), fragt doch auch kaum jemand ob ich andere Komponenten pingen kann oder nicht. Ich bin damit zuerst mal Teil des Netzwerkes wie alles anderen Komponenten

 

[plang.pl]

Es gibt bei VPN durchaus die Möglichkeit, nicht das Ganze Netz freizugeben. Letztlich läuft ja jeglicher Traffic, der aus dem VPN kommt, über den Router / die Firewall. Die kann entscheiden, ob ein Paket weitergeleitet oder gedroppt wird. Nur kann das die FritzBox nicht bei Client-Access-VPN. Bei Site2Site-VPN kann sie es aber schon.

 

[Bohnes]

Hallo,
ich melde mich nochmal bezüglich meines Anliegens hier. Das mit WireGuard hat soweit funktioniert und damit wäre ich auch im großen und ganzen zurfieden, aber die Konfig kann ja der entfernte VPN User einfach so bearbeiten. Das heißt ich muss auf meiner Seite das Netz noch irgendwie blocken. Da er ja nur auf sein freigegebenen Ordner auf der Synology NAS zugreifen darf.

 

[w00dcu11er]

die Konfig kann ja der entfernte VPN User einfach so bearbeiten

Solltest nach dem Import die Datei löschen, damit niemand daran rütteln kann.

 

[Kachelkaiser]

Kann man doch auch im Client bearbeiten oder nicht?