Synology, Fritzbox und VPN

Hujax

Lieutenant
Registriert
Juli 2009
Beiträge
844
Hallo,

ich hab da eine Diskstation von Synology, eine Fritzbox und möchte eine sichere Zugriffsmöglichkeit von unterwegs auf meine Daten.

Aufbau:

Diskstation <--(Portforwarding zur Diskstation)-> Fritzbox <-- (VPN) --> Internet


Ich habe bereits ein dyndns von myfritz und vpn eingerichtet.
Es läuft auch problemlos.
Nur verstehe ich nicht weshalb Ich auch ohne VPN-Verbindung auf die Diskstation zugreifen kann. Wie kann ich das unterbinden? Also damit nur die portweiterleitung greift, wenn die anfrage von der vpn verbindung kommt.

Ich habe von einer Möglichkeit gelesen, die VPN-Verbindung durch den router weiter an die diskstation zu leiten. Dann müsste ich aber trozdem noch eine VPN-Verbindung zum Router aufbauen oder etwa nicht?

gruß :)
 
Zuletzt bearbeitet:
Hallo,
VPN steht für Virtual Private Network, stell dir vor du wärst "virtuell" in deinem Heimnetzwerk eingesteckt, sobald du dich per VPN einwählst.

Was du gemacht hast: Deine öffentliche IP durch DynDns dauerhaft erreichbar gemacht. Und dann gesagt wenn eine Verbindung auf Port XYZ (Port zum Dienst auf dein NAS) kommt --> weiterleiten an IP des NAS. Hier bist du ja sichtbar im Internet und leitest den bestimmten Port weiter.

Hättest du nur eine VPN Verbdinung würde sich das ganze verhalten als wärst du im Netzwerk physikalisch angeschlossen, dann würdest du dein NAS direkt unter seiner IP ohne Portforwarding erreichen. Hier musst du dich vorher authentifizieren um die VPN Verbindung aufzubauen.

Korrigiert mich wenn ich falsch liege....:p

Viele Grüße Freezer
 
Mit einer VPN-Verbindung zur Fritzbox braucht man kein Portforwarding zur Synology. Sobald der Tunnel zur Fritzbox aufgebaut ist, ist es so, als wäre man im lokalen Netzwerk. Das Portforwarding braucht man nur, wenn man den VPN-Server der Synology nutzt, z.B. mit OpenVPN - oder wenn man auf der Synology andere Dienste wie einen Webserver hat.

Freezer war schneller...
 
Die sicherere aber auch umständlichere Variante wäre sicher die VPN Lösung.

Musst du selber entscheiden ;)
 
ouch! Ich hatte mich auf die AVM Anleitungen verlassen und blind befolgt. Danke für die schnelle Hilfe. :)

Habs jetzt schnell umgestellt, es funktioniert!!! :D

Da die Fritzbox jetzt aus dem Internet erreichbar ist, stellt dies nicht ein gewisses Sicherheitsriskio dar?
 
Klar jede "Türe" die du öffnest ist ein Sicherheitsrisiko:
meine Tipps:
-verrate keinem deine Dyndns Adresse, deine IP dahinter ändert sich alle 24h
-wähle ein starkes passwort

Wenn du es sicherer willst eben per VPN, das Problem ist das es recht unkomfortabel ist und ggf. nicht alle Endgeräte (Smartphones) das Fritzbox VPN beherschen.
 
Das IPSec der Fritzbox mit entsprechend langem Shared Secret sollte schon recht sicher sein, sicherer als eine Port-Weiterleitung alle mal!
 
warum vpn zur fritzbox, wieso nicht vpn zur synology? bei letzterem stellst du in der fritzbox nur den entsprechenden port zur synology ein. so ist deine fritzbox und was alles dahinter steht, nicht offen, sonder verbindest direkt via vpn zum datengrab..

und auch noch wichtig: von ausserhalb musst du den schalter "alle internetverbindungen über vpn leiten" stellen.
 
Hi ich grabe dieses Thema nochmal aus weil es mich auch interessiert.

Bei mir ist die Sachlage so:

Es gibt Benutzer die sollen auf mein gesamtes Netzwerk zugriff haben können über Vpn dafür nutze ich das Vpn der Fritzbox und es gibt Benutzer die sollen nur auf einen Ordner der Diskstation zugreifen können dafür wollte ich eigentlich das IPSec vpn Der Diskstation nutzen.

Allerdings gibt es hierbei Probleme mit der Fritzbox den diese nutzt bereits die benötigten Ports die ich eigentlich an die Diskstation weiterleiten muss.

Jetzt ist die Frage wie kann man das lösen? Ich bin ratlos und komm einfach nicht weiter...
 
Hi,

gegen das integrierte VPN der Fritz.Box spricht ja erstmal nichts, das kann meiner Meinung nach so bleiben. Ein zweiten VPN Zugang einzurichten halte ich nicht für sinnvoll. Sinnvoller wäre es wenn du (sofern du das möchtest) deine Synology im Internet freigibst (Thema Dyndns) und dort auf die WebGui zugreifst. Dann kannst du auf deinem NAS unterschiedliche Nutzer mit unterschiedlichen Rechten pro Ordner anlegen. Wenn das eine Lösung für dich wäre können wir gerne näher drauf eingehen.

Gruß Freezer
 
Ist das nicht zu unsicher? Auf meiner DS sind alte Bilder und private Videos wie zum Beispiel meine Kinder als sie noch richtig klein waren. Diese Sachen möchte ich nicht verlieren. Durch mein Verschulden (einfach bei den Berechtigungen ein Fehler gemacht und jemand kann Sachen löschen die er nicht löschen darf) oder Vremdverschulden wie jemand hackt meine DS und setzt die DS auf werkseinstellungen zurück oder macht sonst was... Das fällt dann wiederum auf mich zurück.

Genau deshalb möchte ich das die DS momentan möglichst sicher bleibt und ist vor allem weil es noch keine vernünftigen Backup Möglichkeiten bei mir gibt. Hab nur 1 Nas und dieses ist auch mein erstes Nas. Habe ein par kleinere externe Laufwerke diese fassen vielleicht zusammen 1tb (2x250gb + 1x500gb) momentan habe ich ca. 870gb Daten... Bisher lag einfach alles in meinem Pc und fertig da hab ich die Sachen einfach auf die 3 Laufwerke verteilt und hatte sie so zumindest doppelt.

Ich habe zumindest gelesen das es absolut nicht empfohlen wird Ports zu öffnen die z.B das Web Interface von außen erreichbar machen.

Wenn ich mich nicht täusche war das auf synology Wiki komm da grad warum auch immer nicht drauf.

Auf der Seite die ich meine wird eine Tabelle angezeigt, die Dienste ohne Bedenken, mit Einschränkungen und absolut nicht empfohlen sind von außen erreichbar zu machen.

Das ist auch farblich gekennzeichnet. Vielleicht hat das ja schon mal jemand gesehen.


Also wenn es sicher ist und auch vertretbar dann hätte ich im Prinzip nichts dagegen aber bei mir im Kopf sind alle Schalter auf "eigentlich keine gute Idee sensible Daten einfach einem gewissen Risiko auszusetzen...

Wie macht ihr jetzt ohne mir jetzt zu sagen Ihr habt 3 Diskstationen eine die Dienste ins Internet bereitstellt, eine für sensible Daten und nochmal eine die, die sensiblen Daten sichert und im besten Fall noch eine letzte die an einem entfernten Ort nochmal für Redundanz und Backups sorgt. Das würde mein Budget sprengen und ehrlich gesagt wären mir das viel zu viele Boxen die irgend wo rum stehen und eigentlich nichts zu tun haben.

Aber einen Vorteil hätte das ganze und zwar eine sehr komfortable Erreichbarkeit und das auch für mehrere Leute ohne unbedingt für jeden den Vpn Zugang anzubieten
 
Normalerweise ist die Vorgehensweise wie folgt:

----
1(!) VPN-Gateway im LAN - Fritzbox, DS oder ein Server. In diesem Gateway sind dann zB Routen in das LAN hinterlegt, damit man beispielsweise auch das NAS, den Drucker, etc. erreichen kann. Bei der Fritze ist das soweit ich weiß standardmässig aktiv bzw. vermutlich nur ein Haken. Bei der DS ist das meines Wissens nach nicht aktiv. Bei nem Server müsste man das zu Fuß einrichten.

Möchte man nun den Zugriff auf einzelne Geräte begrenzen, braucht man in irgendeiner Form eine Firewall im VPN-Gateway. Einfacher ist es aber, die Geräte selbst abzusichern. Beim NAS ist das sehr einfach, weil man dort mehrere Benutzer anlegen kann, die Zugriff auf festgelegte Ordner bekommen. So kannst du zB "chef" anlegen, der auf alles lesend und schreibend zugreifen kann, während "gast" nur den Tauschordner sieht.
---

Ein gewisses Grundvertrauen sollte aber bestehen, da man zB Drucker nicht so ohne weiteres absichern kann. Mit genügend krimineller Energie könnte ein VPN-Nutzer den Drucker leer drucken ;)
Deswegen gilt generell, dass man sich sehr gut überlegen sollte wen man in sein Netz lässt. Wenn ich mir Sorgen darüber mache was die Gäste in meinem LAN machen, würde ich sie gar nicht erst reinlassen..



Ich wundere mich aber etwas über deine Aussagen. Du sorgst dich um deine Daten (Kinderfotos, verständlich), möchtest aber erst den Zugriff von außen einrichten bevor du an Backup denkst? Bei solch wichtigen Daten würde ich schnellstmöglich(!) für ein Backup sorgen, weil zB ein Defekt der DS von jetzt auf gleich alle deine Daten grillen kann - VPN hin oder her! Wenn man nicht genug Platz für eine Sicherung hat, dann bleibt immer noch die Option von Speicher im Netz (zB Amazon Cloud). Bin selbst kein großer Freund von Clouds, aber besser als nix..
 
Zuletzt bearbeitet:
Hallo,

natürlich ist es immer ein gewisses Risiko etwas ins "Netz zu hängen". Die DS bringt viele Mechanismen mit um unerwünschte Besucher Fernzuhalten. Ländersperre, IP Sperre, Firewall. usw usw. Das alles bringt aber nichts wenn z.B. ein Bug in der Firmware vorhanden ist, das ist korrekt. Ich habe alles mir mögliche getan um die DS "sicher" online zu stellen. Auf den Komfort möchte ich aber nicht verzichten da ich immer mein NAS erreichen möchte...

In deinem Fall wäre es vermutlich besser Raijin's Vorschlag zu folgen. Ein VPN Gateway in dein Heimnetz. Und dort eben alle Geräte "sperren" bzw mit Nutzerkonten versehen. Dann kommt derjeinge auch nur dort ran wo er soll. Außerdem würde ich eh niemand in mein Netz lassen dem ich da so wenig vertraue. Noch schöner geht das tatsächlich mit einer Firewall, ob sich das lohnt ist die andere Frage.

Thema Backup: Bitte Bitte kauf dir ein zweites günstiges NAS und sichere deine Daten dort hin, hänge eine große Platte per USB an dein Nas und sichere die Daten dort hin oder du hast z.B. einen Windows PC der oft/immer an ist. So ist das bei mir. Darauf habe ich das Programm "SyncBack" installiert und alle Netzwerklaufwerke mit Read-Only rechten gemountet. Darauf sind Backup Jobs die mir meine Daten auf andere Medien sichern eingerichtet.

Viele Grüße
Freezer
 
Da habt ihr wohl beide recht. Backup ist ein muss deshalb werde ich versuchen das Backup auf mehrere Laufwerke zu verteilen (externe USB Platten oder ein sehr günstiges Nas besorgen...

Sorry aber was macht ein Vpn Gateway?

Ich habe für mich momentan ein Vpn Zugang eingerichtet auf der Fritzbox und diese lässt mich automatisch auf die Geräte im Netz zugreifen unter anderem auch die Diskstation.
Was auch nicht schlecht ist das man bei der Fritzbox Benutzer anlegen kann denen man Privilegien entfernen oder hinzufügen kann, damit kann ich ja schon einiges einstellen.

Ganz Fremden etc. Will ich die DS noch gar nicht zugänglich machen. Ich rede von Eltern, Frau, Bruder und Cousins...
Klar gehört da ein gewisses Grundvertrauen dazu
Aber ich fühle mich einfach besser wenn ich weis es kann keiner auf nicht erlaubte Dienste zugreifen usw. Zugreifen wenn er es den wollte bzw. Wüsste wie :)

Wenn man sich die Release Noltes einiger Pakete für die Diskstation anschaut stellt man fest das so einige Packete von externen Anbietern gern schon mal mehr mal weniger gravierende Sicherheitslücken aufweisen können.

Ich kann mir nicht so richtig vorstellen was passiert wenn z.B.: Die Dienst wie Fotostation, Videostation und Audiostation einfach von außen zugänglich sind. Kann der Angreifer sich dann Zugang zum System verschaffen? oder hängt es ab welche Lücke er ausnutzt?

Was spricht eigentlich gegen ein Vpn hinter einem Vpn?

Und kann mir jemand sagen wie ich es überprüfen kann, dass wenn ich mit meinem Vpn verbunden habe auch alle Daten über die Leitung geleitet werden?

Ich warte für weitere Zugänge für Familienmitglieder sowieso erst noch ab bis ich alles sicher gemacht hab so das sich die Leute ein mal was merken müssen. Und auch das Backup sollte bis dahin bereit sein.

Wie macht ihr das mit euren Sachen von den Kinder, Freundin usw.?
Was mich auch so ein bisschen wundert ist das zum Beispiel Cs Server 1.6 ein Haufen offene Ports gebraucht hat um von außen für andere über dyndns erreichbar zu sein.

Hoffe ihr versteht mein Problem ich möchte auch das es einfach funktioniert und ich aber auch ruhig schlafen kann ohne denken zu müssen das die Fotos meiner Kinder oder Frau auf irgend welchen komischen Seiten erscheinen könnten.

Deshalb interessiert es mich so wie geht Ihr damit um?
 
Die Fritzbox ist das VPN Gateway - oder die Diskstation, wenn man diesen VPN-Dienst nutzt.

Mit den Fritzboxxen kenne ich mich nicht aus, hab keine. Will man einzelne Geräte im Netzwerk abschirmen, setzt man in der Regel eine Firewall ein, die den Zugriff darauf limitiert oder gar verhindert. Ich weiß nicht inwiefern das bei der Fritzbox möglich ist.

Normalerweise ist es so, dass man verbindungstechnisch auf alles im Netzwerk zugreifen kann, wenn man drin ist. Will heißen: Klinkt man seinen Laptop in den Switch ein, kann man die Diskstation sehen (pingen) - egal ob es dein Laptop ist, der deines Bruders oder eines potentiellen Einbrechers. Gleiches gilt im Grunde für VPN. Der Zugriff auf die Dienste wird jedoch meistens mit Benutzername/Passwort versehen und so kann PersonX zwar sehen, dass da eine Diskstation ist, aber ohne Login kann kein Zugriff auf die Netzlaufwerke erfolgen. Allerdings ist zB ein DLNA-Server (Medienserver) nicht derart gesichert und daher von jedem TV, BluRayPlayer und eben auch Laptop im Netzwerk zu erreichen.

Inwiefern Dienste angreifbar sind, hängt von der jeweiligen Sicherheitslücke ab. Dabei ist unter Umständen nicht nur das Zielsystem selbst, sondern auch alle anderen Geräte im Netzwerk gefährdet. Deswegen werden bei entsprechend gesicherten Netzwerken sogenannte "DeMilitarisierte Zonen" (kurz: DMZ) eingerichtet. Das sind Netzwerkbereiche, die durch eine Firewall vom Rest des Netzwerk isoliert werden. Der Zugriff auf die Server (zB NAS, etc) in dieser DMZ wird dabei explizit in der Firewall zugelassen bzw. blockiert (je nach Regelwerk). Der Weg aus der DMZ heraus ins LAN wird normalerweise blockiert, um das übrige Netzwerk vor gekaperten Servern zu schützen. Die Firewall entscheidet also ob zB PC1 aus dem LAN auf das NAS in der DMZ zugreifen darf bzw. lehnt die Verbindung von PC2 auf das NAS ab.

Das sieht dann ungefähr so aus:

Internet-Router
|
Firewall ---- DMZ (Server, NAS, etc)
|
LAN (PCs, etc.)



Ein VPN hinter einem VPN? Ich vermute mal du meinst das was du im Eingangsposts erwähntest, dass du auch ohne VPN im LAN auf die DS zugreifen kannst und dich darüber wunderst. "Normalerweise" ist das eigene LAN vertrauenswürdig. Es ist also fraglich warum man innerhalb seines LANs ein VPN aufbauen sollte. VPNs verringern die Übertragungsrate - je nach Qualität der Hardware. Ich bezweifle stark, dass die Diskstation eine VPN-Verbindung auch nur in der Nähe von 1 Gbit/s schaffen würde, das schafft sie ja gerade so ohne VPN... Würdest du den Zugriff auf die DS auf VPN beschränken, dann könntest du zB auch nicht mehr vom TV aus von der DS streamen können, etc. Das ist also wenig sinnvoll.


Deine Verbindungseinstellungen kannst du wie folgt überprüfen:

Eingabeaufforderung -> route print <- Routing Tabelle
Eingabeaufforderung -> tracert die.zu.testende.ip <- Wegverfolgung vom PC zu dieser IP

In der Routing Tabelle siehst du, welche IP-Bereiche wohin geleitet werden. Wenn "alles" über die VPN-Verbindung gehen soll, dann muss das Standard Gateway (am Ende) bzw. die "0.0.0.0"-Route über die VPN-IP des VPN-Gateways (die VPN-IP der Fritzbox) geleitet werden. Das wird mit ziemlicher Sicherheit im VPN-Client von der Fritze eingestellt.
Mit der Wegverfolgung kannst du sehen welchen Weg die Pakete eines Pings nehmen. Als erstes müsste dort die VPN-IP des VPN-Gateways auftauchen, anschließend die LAN-IP des dortigen Internet-Gateways, ein paar IPs des Providers und anderer Zwischenstationen im Netz bis hin zum Ziel (zB google.de). Funktioniert der VPN-Tunnel nicht wie gewünscht, wäre die erste IP direkt die LAN-IP des Internet-Gateways auf der "Außenseite", zB im Hotel, etc..

Beispiel:

Ferner Standort (Hotel): IP-Subnetz 172.27.1.0
Heimstandort: IP-Subnetz 192.168.1.0
VPN-Subnetz: 10.10.10.0

Ohne VPN im Hotel: tracert google.de -> 172.27.1.1 -> Hotelprovider (zB Telekom)
Mit VPN im Hotel: tracert google.de -> 10.10.10.1 (VPN-IP der Fritzbox) -> 192.168.1.1 (LAN-IP der Fritzbox) -> Eigener Provider (zB 1&1)


Wie ich das mache? Ich hab einen Linux-Server im Netzwerk, der neuerdings mit 4 LAN-Schnittstellen ausgestattet ist und Internet-Router, DMZ, LAN und WLAN voneinander trennt bzw. den Zugriff untereinander regelt. Wie genau? Das sprengt den Rahmen. Außerdem "brauche" ich das nicht wirklich. Ich habe aber grundsätzlich keine Gäste im LAN/WLAN, die Absicherung ist also eher just4fun ;)
 
Wooooow Danke für die ausführliche Antwort

Das mit der Firewall zu regeln ist nicht so das wahre weil auch ein DLNA Server im Netzwerk läuft und dieser alles mögliche ins Netzwerk sendet.
Stichwort DMZ ist nicht schlecht. Da muss ich noch ein bisschen recherchieren.

Wie ich es von dir verstanden hab (zwischen den Zeilen) würdest du die Box von außen auch nicht unbedingt erreichbar machen?

Wenn man zum Beispiel auf die Patch Sachen von Word Press schaut und sich das Synology aktuelle Packet (3.8.2) anschaut sieht man das es Versionsunterschiede gibt und somit auch Sicherheitslücken.

https://wordpress.org/news/category/security/

Ich bin irgend wie im Zwiespalt einerseits möchte ich die Box möglichst komfortabel nutzen anderer Seitz ist es mir wichtig zu wissen das die Daten allesamt gut geschützt sind und zwar mit Backup ;)

Freezer

Hast du die Dienste ins Internet über eine Portweiterleitung einfach erreichbar gemacht?
 
Ich regle den Zugriff von außen auf Serverdienste jedweder Art ausschließlich via VPN. Will heißen, dass NAS und Co nur im LAN erreichbar sind. Durch das VPN kommt man von außen quasi in das LAN und kann damit alles tun was man auch direkt im LAN tun könnte. In meinem Internetrouter ist daher genau eine einzige Portweiterleitung aktiv - der VPN-Port.

DLNA hinter einer Firewall bzw. in einer DMZ ist komplex. DLNA setzt Broadcasts ein, die standardmässig an jedem Router/Firewall blockiert werden. Man muss Broadcasts von einem Netz ins andere leiten und solche Späße. Wenn man selbst nicht die notwendigen Kenntnisse dazu hat, ist das schwierig einzurichten. Selbst wenn man das nach einem Tutorial einrichten könnte, dann ist man beim kleinsten Problem aufgeschmissen.

Wie stark man das ganze absichern will, muss jeder selbst entscheiden. Eine Sicherheitslücke in einem Synology-Modul kann gefährlich sein, muss es aber nicht. Ich vermute mal, dass Synology diese Lücken auch relativ zeitnah schließen wird, weil sie ständig an ihrer Software rumschrauben.
 
Zuletzt bearbeitet:
Danke für deine Antwort

Ich dachte man kann es so regeln das ich mich mit dem Vpn meiner Fritzbox verbinden kann und somit auch zugriff auf das gesamte Netz haben kann.
Und die anderen sich mit der Diskstation Vpn verbinden können und somit nur zugriff auf die erlaubten Dienste der Diskstattion haben.
Wie gesagt dafür braucht die Diskstation 3 Ports wovon welche von der Fritzbox belegt sind.

Es sei den ich würde Open Vpn nutzen dessen Ports sind nicht von der Fritzbox belegt.
 
Man kann durchaus mehrere VPN-Server mit denselben lokalen Ports parallel betreiben - solange man die Portweiterleitung von außen auf verschiedene Ports legt.

Beispiel:

OpenVPN-Server1 @ 192.168.1.11 @ Port 1194
OpenVPN-Server2 @ 192.168.1.12 @ Port 1194
Portforwarding1: Port 11111 --> 192.168.1.11 @ Port 1194
Portforwarding1: Port 22222 --> 192.168.1.12 @ Port 1194
WAN-IP: 1.2.3.4 (exemplarisch)

Client1 verbindet sich dann mit 1.2.3.4:11111 und kommt auf den VPN-Server1, während Client2 sich mit 1.2.3.4:22222 verbindet und auf Server2 landet. Ob und wie die VPN-Client-Tools von Fritzboxx und Diskstation die Eingabe von Ports unterstützen, kann ich nicht sagen. Falls kein Port-Feld vorgegeben ist, einfach mal obiges Format bei der IP verwenden (wanip:port -> connect).

In der Form stören sich die VPNs auch nicht gegenseitig - abgesehen von der geteilten Internetverbindung. Man sollte es aber tunlichst vermeiden, sich mit dem einen VPN zu verbinden und dann über diesen Tunnel eine Verbindung zum anderen VPN herzustellen. In dem Falle hätte man nämlich doppelt gekapselte VPN-Pakete, ein VPN in einem VPN. Das führt zu zT massiven Geschindigkeitseinbußen.
 
Zurück
Oben