Wie HeimNAS absichern?

standi · 7. Januar 2015

Hallo Leute,
ich habe heute an meinem Asus RT68 (der derzeit als Repeater im Einsatz ist) einen QNAP-NAS angeschlossen.
Lokal ist er über die IP 192.168.178.31 zu erreichen. Anbei eine Grobstruktur der Geräte. Der Internetanschluss ist an der Fritzbox 7490.

Da ich auch die Platte auch unterwegs zugreifen will, habe ich bisher folgendes getan:

1. Einen Benutzer in der Fritzbox 7490 angelegt und DynDNS aktiviert + "Internetzugriff auf die FRITZ!Box über HTTPS aktiviert"

TCP-Port für HTTPS über 443

2. Um den QNAP zu erreichen habe ich an der Fritzbox folgendes aktiviert:

Änderungen der Sicherheitseinstellungen über UPnP gestatten

3. In der QNAP-Weboberfläche habe ich unter automatische Routerkonfiguration "UPnP-Portweiterleitung" aktiviert. Entsprechend wurden folgende Dienste an den Router weitergeleitet. Die Automatische Konfiguration von QNAP zeigt folgendes:

TCP 8080 NAS Web
TCP 8082 Sichere NAS Web
TCP 8082 Webserver
TCP 8081 Sichere Webserber
TCP 1723 VPN Server (PPTP)
UDP 1194 VPN Server (OpenVPN)

Netzwerkdiagnose von QNAP zeigt folgendes:

0 TCP 8080->192.168.178.31:8080 'Web.Admin' ''
1 TCP 8081->192.168.178.31:8081 'Secure.Web.Server' ''
2 TCP 1723->192.168.178.31:1723 'PPTP' ''
3 UDP 1194->192.168.178.31:1194 'Open.VPN' ''
4 TCP 8082->192.168.178.31:443 'Secure.Web.Admin' ''

Anschließend war QNAP über die DynDNS-Adresse (ohne Port zu erreichen). Da ich jedoch auch die Fritzbox-Oberfläche erreichen wollte, habe ich in QNAP, die StandardPortnummer für Web-Administration auf 8080 geändert. Damit ist die Fritzbox ohne Portnummer, bzw. über Port 80 zu erreichen. Zusätzliche habe ich auch eine DynDNS-Adresse von QNAP erhalten, über die der HeimNAS zu erreichen ist.

4. Zusätzlich habe Netzwerkzugangsschutz am QNAP aktiviert. D.h., wenn das Passwort mehrmals falsch eingegeben wird, wird die Eingabe bestimmte Sekunden/Minuten gesperrt.

5. In der Fritzbox zusätzlich folgendes aktiviert:

Diesen Computer (QNAP) automatisch starten, sobald aus dem Internet darauf zugegriffen wird.

Vielleicht wäre es besser/sicherer, wenn ich den QNAP nur manuell über die Fritzbox-Oberfläche starten würde.

Da ich unterwegs von zwei Geräten zugreifen will, habe ich den Zugang noch nicht auf eine bestimmte IP begrenzt. Was würdet ihr sonst voschlagen, damit ich nicht mein blaues Wunder erlebe? (Auf dem QNAP könnten schon sensible Daten gespeichert sein). Mit VPN kenne ich mich zwar nicht aus, ich frage mich aber, ob ich VPN nur einzig in der Fritzbox einrichten muss oder zusätzlich auch im QNAP?

Viele Grüße

G-Power · 7. Januar 2015

Ich habe das mit Virtuellen Netzwerke realisiert.
zum Beispiel:
V-Lan 1 Extern (I-net)
V-Lan 2 Intern ( Rechner unter sich und NAS)
V-Lan 3 Gastzugang

Ach ich habe Quatsch geschrieben du willst ja das das NAS erreichbar ist sorry.

Wenn ich noch eine Anmerkung machen darf lass alles Offen, machst ja eh alles mit W-Lan also unsicheres Netzwerk. Ich hoffe deine Daten sind nicht existenzieller Bedeutung.

standi · 8. Januar 2015

Ja, das Risiko der WLAN-Verbindung wäre ja "nur" ein lokales Problem vor Ort, bzw. von den Nachbarn zu erwarten. Ich denke aber, dass die Größte Gefahr vom Internet zu erwarten ist.

Was ich auch festgestellt habe, nachdem ich in der Fritzbox "Änderungen der Sicherheitseinstellungen über UPnp" akiviert habe, auch viele andere Ports von irgendwelchen Heimrechnern mit der Zeit dort gelistet werden.

error · 8. Januar 2015

Moin,

ich persönlich gestalte meinen Fernzugriff auf mein Netzwerk über VPN.
Wenn es bei dir immer die selben zwei Geräte sind, von denen du zugreifst, ist das für dich vielleicht eine Option.

Zu deiner jetzigen Konfiguration würde ich dir folgendes empfehlen:
- Schalte UPNP ab und konfiguriere deinen Fernzugriff manuell (siehe unten).
- Die Fritzboxoberfläche sollte aus dem Internet nicht erreichbar sein! (Ist wie eine Einladung

)
- In der Fritzbox dem Qnap-NAS immer die selbe IP geben und dann eine statische Weiterleitung von der Fritzbox (Port kannst du hier frei wählen, ich empfehle dir eine hohe Portnummer z.B. 22222) an die Qnap-NAS.
Dadurch ist aussschließlich das QNAP-Nas aus dem Internet erreichbar und das nur wenn du die passende Portnummer kennst. Die hohe Nummer verhindert zudem, dass bei einem Portscan der Standard-Ports dein Qnap entdeckt wird.

Das Problem an der jetzigen konfiguration ist, dass du

TCP 8080 NAS Web
TCP 8082 Sichere NAS Web
TCP 8082 Webserver
TCP 8081 Sichere Webserber
TCP 1723 VPN Server (PPTP)
UDP 1194 VPN Server (OpenVPN)

diese Dienste aus dem Internet erreichbar gemacht hast. Und die Konfigurationsoberfläche der Fritzbox.
Besser du beschränkst die Dienste nur auf das was du wirklich brauchst.

Für einen VPN-Zugang würde es reichen, wenn du Ihn nur an der Fritzbox einrichtest. Dann kannst du von extern auf dein Heimnetzwerk zugreifen.

Raijin · 8. Januar 2015

Da muss ich error entgegen seines Namens tatsächlich Recht geben

VPN ist grundsätzlich eine gute Alternative, die sich im Allgemeinen auch deutlich einfacher gestaltet. AVM bietet mit FritzVPN sogar direkt einen VPN-Server in der Fritzbox ohne dass man sich noch großartig mit OpenVPN, IPsec oder solchen Dingen auseinandersetzen muss. Für PC und Co gibt es einen entsprechenden Client für FritzVPN und fertig ist die Laube.

Der Vorteil bei VPN: Über das VPN hast du einen verschlüsselten Tunnel von deinem Laptop/Smartphone direkt zu deiner Fritzbox. Sogesehen bist du damit für alle anderen Geräte in deinem LAN. Das heißt, du kannst NAS und Co komplett auf "LAN-only" Konfiguration belassen. Von außen ist dann nur und ausschließlich der VPN-Port für FritzVPN offen. Alles andere - zB NAS-Kommunikation - wird über diesen Port getunnelt. Auch die Fritz-Oberfläche kannst du dann via VPN öffnen und musst nicht Port 80 nach außen offen lassen..

standi · 8. Januar 2015

Der Vorteil bei VPN: Über das VPN hast du einen verschlüsselten Tunnel von deinem Laptop/Smartphone direkt zu deiner Fritzbox. Sogesehen bist du damit für alle anderen Geräte in deinem LAN. Das heißt, du kannst NAS und Co komplett auf "LAN-only" Konfiguration belassen. Von außen ist dann nur und ausschließlich der VPN-Port für FritzVPN offen. Alles andere - zB NAS-Kommunikation - wird über diesen Port getunnelt. Auch die Fritz-Oberfläche kannst du dann via VPN öffnen und musst nicht Port 80 nach außen offen lassen..

Cool. Da hast du natürlich recht. Sobald VPN läuft, kann ich kann NAS lokal bzw. auf LAN lassen.
Werde heute dann die VPN-Geschichten mal durchprobieren. Wäre natürlich super, wenn es diesen FritzVPN-Client auch für Ubuntu gibt. Werde ich mir naher anschauen.

Folgendes würde ja sicherlich die Angelegenheit sehr komplizieren:
Ein Webserver vom NAS (dazu gibt es ja auch Apps im QNAP) soll ausgenommen von VPN öffentlich erreichbar sein. Ich denke, dieser Wünsch würde unnötig alles kompliziert machen.

error · 8. Januar 2015

standi schrieb:
Cool. Da hast du natürlich recht. Sobald VPN läuft, kann ich kann NAS lokal bzw. auf LAN lassen.
Werde heute dann die VPN-Geschichten mal durchprobieren. Wäre natürlich super, wenn es diesen FritzVPN-Client auch für Ubuntu gibt. Werde ich mir naher anschauen.

Nimm dazu am besten Shrew Soft. Den gibt es laut google auch für Ubuntu. Damit bekommst du eine VPN-Verbindung zur Fritzbox hin.

standi schrieb:
Folgendes würde ja sicherlich die Angelegenheit sehr komplizieren:
Ein Webserver vom NAS (dazu gibt es ja auch Apps im QNAP) soll ausgenommen von VPN öffentlich erreichbar sein. Ich denke, dieser Wünsch würde unnötig alles kompliziert machen.

Das ist nicht so schwierig wie du denkst.
In der Fritzbox musst du dann eine Weiterleitung einrichten. Dann ist dein Qnap öffentlich erreichbar.
In der Fritz.box unter "Internet" und dann "Freigaben" kannst du eine neue Freigabe erstellen.
Wähle dann "Andere Anwendung" aus und schon kannst du es frei einstellen

Dadurch ist dann das NAS öffentlich erreichbar. Aber mach bei dieser Lösung bitte UPNP aus!
UPNP ist zwar eine nette Idee, aber es pfuscht meiner Meinung nach nur in deinen Protfreigaben unnötig rum.

Raijin · 9. Januar 2015

Jep, dem ist nichts hinzuzufügen. Trotz VPN kann man alle möglichen Portweiterleitungen parallel einrichten. Sie sollten natürlich sinnvoll sein, also ein paralleler non-VPN-Zugriff auf die NAS Daten ist logischerweise kontraproduktiv, aber ein Webserver hat selbstverständlich eine Daseinsberechtigung.

VPN ist einfach eine super Sache. Ich kann zB von unterwegs auf meinem Drucker zu Hause drucken. Telekom VoIP-Anschluss? Kein Thema, VPN ins heimische LAN und ich sitz am anderen Ende der Welt und telefoniere über mein Festnetz ^^

standi · 11. Januar 2015

Hi,

also, was habe ich bisher gemacht:

1. UPnP in Fritzbox und in QNAP-NAS abgeschaltet
2. Die Fritzboxoberfläche ist über "https" noch erreichbar, wird aber abgeschalten
3. QNAP-NAS hat eine statische IP

4a. Bin in der Fritzboxoberflche auf "Internet > Freigaben > VPN > VPN hinzufügen". Nach dem hinzufügen (Fernzugang für einen Benutzer hinzufügen) wurde ich auf Fritz!box-Benutzer weitergeleitet, wo ich einen VPNUSER angelegt hatte. Der angelegte VPNUSER hat im Feld Email auch die Adresse abc@domain.tld
4b. Bei diesem VPNUSER habe ich folgendes aktiviert:

VPN-Verbindungen zur FRITZ!Box können hergestellt werden

4c. Unter "VPN Einstellungen anzeigen" sehe ich, wie man vom Smartphone (Android/Iphone) eine VPN-Verbindung aufbauen kann. Dort ist eine IPSec Pre-Shared Key "XYZ" angegeben.
4d. Unter "Fritzboxoberflche auf > Internet > Freigaben > VPN" sehe ich den VPNUSER nun gelistet.

5a: Habe ein Tool "Fritzbox-Einrichten heruntergeladen, das mir zwei CFGs erzeugt hat. Einmal für einen User und einmal für die Fritzbox. Also Email habe ich "BLABLA@bla.tld" angegeben.
5b: Nun bin ich erneut auf "Fritzboxoberflche auf > Internet > Freigaben > VPN > VPN hinzufügen" und habe statt "Fernzugang für einen Benutzer anlegen" nun die Konfigurationsdatei hochgeladen.
5c: Nun habe ich unter "Fritzboxoberflche auf > Internet > Freigaben > VPN" zwei Nutzer drin. Einmal "VPNUSER" und einmal "BLABLA@bla.tld"
5d. Ich habe Shrew Soft heruntergeladen und in folgende Anleitung die Daten von "BLABLA@bla.tld" übernommen:
http://avm.de/service/vpn/tipps-tri...vpn-connect-zur-fritzbox-client-lan-kopplung/

Mit "BLABLA@bla.tld" kann ich eine VPN-Verbindung aufbauen. Mit VPNUSER nicht. Hier erhalte ich folgende Fehlermeldung:

gateway authentication error

Nun meine hoffentlich kleinen Fragen:

1. Für was legt man "Fernzugang für Benutzer" an, wie ich es für VPNUSER gemacht habe? Dieser VPN-Zugang geht leider nicht

2. Wenn ich mit "BLABLA@bla.tld" per VPN verbinde. Kann ich ganz normal im Web surfen und die Fritzboxoberfläche 192.168.178.1 erreichen. Die anderen IPs, wie Drucker oder QNAP-NAS kann ich nicht erreichen. Ich dachte, ich wäre im lokalen Netz. Fehlt hier noch eine Einstellung?

3. Surfe ich eigentlich in Zukunft, wenn ich mich mal im öffentlichen Netz, bzw. von außerhalb in mein lokales Netzwerk per VPN verbinde, immer über meine lokale Internetverbindung? Auch, wenn ich öffentlich eine eigene/schnellere Internetverbindung zur Verfügung hätte?

Wenn alles funktioniert und ich auf mein NAS zugreifen kann, kommt meine letzte Hürde, nämlich beim NAS nur den Webserver öffentlich zugänglich machen aber die restlichen Dienste wie SMB (also die Dateien usw.) nicht. Sprich, also nur per VPN erreichbar.

Viele Grüße

error · 11. Januar 2015

standi schrieb:
Nun meine hoffentlich kleinen Fragen:

1. Für was legt man "Fernzugang für Benutzer" an, wie ich es für VPNUSER gemacht habe? Dieser VPN-Zugang geht leider nicht

2. Wenn ich mit "BLABLA@bla.tld" per VPN verbinde. Kann ich ganz normal im Web surfen und die Fritzboxoberfläche 192.168.178.1 erreichen. Die anderen IPs, wie Drucker oder QNAP-NAS kann ich nicht erreichen. Ich dachte, ich wäre im lokalen Netz. Fehlt hier noch eine Einstellung?

3. Surfe ich eigentlich in Zukunft, wenn ich mich mal im öffentlichen Netz, bzw. von außerhalb in mein lokales Netzwerk per VPN verbinde, immer über meine lokale Internetverbindung? Auch, wenn ich öffentlich eine eigene/schnellere Internetverbindung zur Verfügung hätte?

Wenn alles funktioniert und ich auf mein NAS zugreifen kann, kommt meine letzte Hürde, nämlich beim NAS nur den Webserver öffentlich zugänglich machen aber die restlichen Dienste wie SMB (also die Dateien usw.) nicht. Sprich, also nur per VPN erreichbar.

Viele Grüße

zu 1)
In früheren Firmwareversionen, hast du das externe Tool: FritzboxFerzugang einrichten gebraucht. Das braucuhst du heute nicht mehr. Es sollten beide Möglichkeiten funktionieren. Hast du den preshared-key (NICHT das passwort vom Fritzbox-Benutzer) von dem Fritzboxuser auch in Shrew-Soft eingetragen?

zu 2)
Vermutlich. Die Einrichtung mit Shrew ist hier etwas anders als bei Fritz beschreiben. Schau nach der Policy. Dort sollte das Netzwerk 192.168.178.0 /24 eingetragen sein oder tunnel all

zu 3)
Das kannst du dir aussuchen. Entweder kannst du alle Verbindungen über deine eigene Internetleitung schicken oder nur die zu deinen Servern über VPN. Das kannst du über die Policy regeln.

##### ALLES ÜBER VPN -Config #####

Code:

n:version:4
n:network-ike-port:500
n:client-addr-auto:1
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:1
n:client-banner-enable:1
n:network-notify-enable:1
n:client-dns-used:1
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:0
n:client-splitdns-auto:0
n:client-wins-used:1
n:client-wins-auto:1
n:phase1-dhgroup:2
n:phase1-life-secs:86400
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:0
n:policy-list-auto:1
n:phase1-keylen:0
n:phase2-keylen:256
s:network-host:XXXXXXX@YYYYYY.ZZZZ     //DYN-DNS-Name deiner Fritte
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:force-rfc
s:network-frag-mode:disable
s:auth-method:mutual-psk-xauth
s:ident-client-type:keyid
s:ident-server-type:address
s:ident-client-data:FRITZBOX-BENUTZERNAME    //Fritzbox-Benutzername
b:auth-mutual-psk:PRESHARED-KEY           //Preshared-Key des Fritzbox-Benutzers
s:phase1-exchange:aggressive
s:phase1-cipher:auto
s:phase1-hash:auto
s:phase2-transform:auto
s:phase2-hmac:auto
s:ipcomp-transform:disabled
n:phase2-pfsgroup:0
s:policy-level:require

standi · 13. Januar 2015

Hi,

danke für die ausführliche Antwort.

1. Ich hatte nicht das Passwort von der Fritzbox sondern das preshared-key angegeben. Wie gesagt, wenn ich die cfg vom Fritz!Fernzugang generiere und dies in die Fritzbox hochlade, dann funktioniert der User, der über die cfg angelegt wird. Muss das eigentlich eine Email-.Adresse sein oder kann ich auch nur "BLAUSER" angeben? Also den gleichen User, mit dem ich mich auch in die Fritzbox einlogge.

3. Anbei meine .cfg's, die Fritz!Fernzugang ausspuckt und die auch funktionieren. (Bis auf, dass ich nicht auf die IP's im lokalen Netzwerk (domain.de) zugreifen kann. Zum Beispiel die vom QNAP). Wie müsste ich die modifizieren, dass ich auf die IP's im lokalen Netzwerk (domain.de) zugreifen kann. Beispiel die IP von der Fritzbox, mein Drucker und die QNAP. Sonst sollte der Rest auf dem PC, auf dem ich den VPN-Client öffne, alles normal bleiben. Sprich, Internet über den PC.

Spannend wird die Geschichte, wenn es ein Geschäfts-PC ist, von dem ich mich verbinden sollte, der nicht "WOKGROUP" ist und eigene lokale Netzlaufwerke vebunden ist. Die wären dann ja nicht mehr erreichbar, wenn ich mit dem VPN-Client nun ein anderes lokales Netzwerk habe.

error · 14. Januar 2015

Moin,

zu 1) Es muss keine E-Mailadresse sein. Da kannst du eintragen was du willst.

zu 3) ( Wo ist die zwei hin? ) Normalerweise müsstest du automatisch schon alle IP-Adressen bei dir zuahsue erreichen können.
Greifst du über die IP-Adresse oder über den DNS-Namen auf deine Geräte zuhause zu?
Da du nicht alles tunnelst, übernimmt die DNS-Auflösung deine lokale Internetverbindung. Dies bedeutet, dass fritz.box nicht funktioniert aber dafür 192.168.178.1 (IP deiner Fritzbox).

Spannend wird die Geschichte, wenn es ein Geschäfts-PC ist, von dem ich mich verbinden sollte, der nicht "WOKGROUP" ist und eigene lokale Netzlaufwerke vebunden ist. Die wären dann ja nicht mehr erreichbar, wenn ich mit dem VPN-Client nun ein anderes lokales Netzwerk habe.

Wenn ich dich richtig verstehe, willst von deinem Arbeits-PC auf Zuhause zugreifen. Dabei gilt das selbe wie ich bei 3) geschreiben habe.
Zugriffe über die IP müssten funktionieren.

standi · 14. Januar 2015

( Wo ist die zwei hin? )

Zwei wollte ich noch prüfen, bevor ich spame. :-)
In Shrew ist unter Polic folgendes eingetragen:

Maintain Persistent Security Associations (Deaktiviert)
Obtain Toplogy Automatically or Tunnel All (Deaktiviert)
Remote Network Ressource ==> 192.168.178.0 / 255.255.255.0 (Type Include)

3. Ich greife per VPN mit einer Domain zu, siehe .cfg. Wenn ich mit VPN verbunden bin, dann gebe ich im Browser die IP ein. Die IP der Fritzbox ist mit 192.168.178.1 erreichbar. Die IP vom QNAP jedoch nicht. Ich muss aber erwähnen, dass ich VPN zuhause teste, also im gleichen Netzwerk also :-) Meinen Drucker http://192.168.178.10/ kann ich auch nicht erreichen. Wenn ich die VPN-Verbindung trenne, so ist die IP des QNAP wieder erreichbar. Bin gerade mit VPN verbunden und kann zumindest ganz normal im Internet surfen (Sehe aber gerade nicht, ob ich die Internetverbindung lokal oder über das VPN-Netzwerk herstelle.

config loaded for site 'domain.de'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
network device configured
tunnel enabled

Wenn ich dich richtig verstehe, willst von deinem Arbeits-PC auf Zuhause zugreifen. Dabei gilt das selbe wie ich bei 3) geschreiben habe.
Zugriffe über die IP müssten funktionieren.

Probiert habe ich das aber noch nicht. Muss ich mal probieren diese Woche. Innerhalb der Firma habe ich ja auch bestimmte IP's von diversen Servern usw. Nach der Verbindung mit VPN, hätte ich dann ein zweites IP-Netzwerk (also meins), auf das ich zugreifen kann, so dass die IPs von meinem Zuhause und der Firma nicht durcheinanderkommen.

error · 15. Januar 2015

Den VPN-Zugriff solltest du nicht "intern" prüfen. Verbinde dich z.B. über einen Hotspot von deinem Handy mit dem Internet oder von einem Freund aus und greif von außen zu.
Deine aktuelle Testmethode liefert leider keine aussagekräftigen Ergebnisse.
Von Extern wird es dann funktionieren

Probiert habe ich das aber noch nicht. Muss ich mal probieren diese Woche. Innerhalb der Firma habe ich ja auch bestimmte IP's von diversen Servern usw. Nach der Verbindung mit VPN, hätte ich dann ein zweites IP-Netzwerk (also meins), auf das ich zugreifen kann, so dass die IPs von meinem Zuhause und der Firma nicht durcheinanderkommen.

Deine VPN-Verbindung läuft über eine virtuelle Netzwerkkarte. So lange in deinem Firmennetzwerk nicht die selben IP-Adressen genutzt werden wie bei deiner Fritzbox, sollte es da keine Probleme geben.
Dein PC entscheidet anhand der IP-Adresse ob es sich im Firmennetzwerk befindet oder Zuhause. Entsprechend dessen werden die Daten dann über die virtuelle Netzwerkkarte versendet oder nicht.

Raijin · 15. Januar 2015

Jo, von innerhalb des Netzwerks kann man in der Regel sowieso keine Dienste erreichen, die von außerhalb zu erreichen sein sollen. Hintergrund ist der, dass man seine eigene Internet-IP in der Regel nicht pingen kann. Daher geht man entweder zum Nachbarn (der wird sich freuen..) oder aber man macht es via Smartphone Hotspot.

Zum Subnetz: Bei VPNs, die verschiedene Netzwerke miteinander verbinden, sollte man unbedingt auf sinnvolle IPs achten.

Beispiel:

Heim-LAN = 192.168.1.x
Fremd-LAN (Hotel, Freund, Firma) = 192.168.1.x

Wenn du nu eine VPN-Verbindung vom Fremd-LAN aus ins Heim-LAN erstellst, wirst du trotzdem nicht das heimische NAS erreichen können. Eine Verbindung zur NAS-IP (zB 192.168.1.254) wird dabei immer erst lokal, also im Fremd-LAN aufgelöst.

Deswegen sollte man lieber Abstand von den üblichen Subnetzen nehmen. Dazu zählen 192.168.0.x bzw. 192.168.1.x sowie 192.168.2.x und 192.168.178.x. Diese Subnetze werden standardmässig von Consumer-Routern (TP-Links, Asus, Speedports, Fritzbox, etc) verwendet und ich lehne mich mal aus dem Fenster und behaupte 95% sämtlicher privaten Netzwerke liegen genau auf einem dieser Subnetze.....

Reservierte IP-Bereiche für private Subnetze:

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Ich kenne mich mit FritzVPN nu im Detail nicht aus, aber ich habe mein OpenVPN zB so eingerichtet:

Heim-Netz 192.168.117.x
VPN-Netz 10.16.80.x

Es ist denkbar unwahrscheinlich, dass ich damit in irgendeinem Fremdnetz jemals Probleme bekäme. Die oben genannten Standard-Subnetze habe ich wiederum auf meinen Reisen in derart vielen Hotels gesehen, das ist nicht mehr feierlich.. Man weiß genau, wenn dort ne Fritzbox an der Wand hängt

standi · 15. Januar 2015

Hey ihr beiden,

danke für die Tipps. Ich werde später dann die noch die IP-Adressen ändern, damit es dann zwischen Heim- und Firma nicht zu Kollosionen kommt. Den Punkt habe ich dann verstanden.

Danke auch für den Tipps, um über Hotspot zu testen. Das habe ich ich auch gleich gemacht und mich mit dem Smrtphone verbunden. Internet funktioniert. Habe dann VPN verbunden. Connection wurde established.

Remote Host: 185.100.200.xx
Transport Used: NAT-T RFC / IKE | ESP

4. Nun kann ich auch nicht mehr 192.168.178.1 erreichen. Jetzt habe ich auch langsam ein schlechtes Gewissen, dass ich euch ldoch länger als erwartet störe. Kriegt man das schnell über die .CFG raus, die ich hier im Threa angehängt habe? Muss ich evtl. an der Fritzbox noch irgendwelche Ports öffnen oder Änliches?

5. Eine kleine Frage hätte ich nebenbei zu den Netzwerken. Die 185.xx.xx. ist meine IP-(Netz)-Adresse, mit der ich auf mein Heim-Netz zugreifen kann. 192.xxx ist das interne Netz. Wo kommt das VPN-Netz zum Einsatz, denn unter Netzwerkverbindungen gibt es kein virtuelles Netzwerk. Für Virtualbox habe ich jedoch eins. Ist das VPN-Netz vereinfacht zu erklären, dass es das VPN-Netz ist, welches zwischen meinem PC und dem Router (Gegenstelle, auf dem ein Stück VPN-Software inkl. dem Schlüssel = VPN-Gateway) ist.

error · 16. Januar 2015

Guten Abend,

ich hab es grade eben ausprobiert.
Du brauchst in Shrew folgende Einstellungen:

Unter "Policy" :
Policy Generation Level: Shared
Und unten als Network Remote Resource deine Heimnetz-IP mit der Subnetzmaske 255.255.255.0
Damit muss es gehen

Frage 4 hat sich dann damit erledigt. Deine Configs passen

Und zusätzlich Ports freigeben musst du auch nicht.

Fragen 5:
Bei Windows müsstest du in den Netzwerkverbindungen einen Eintrag a la "<VPN-Name> - VPN Client" haben.
Das ist dann dein Adapter für die VPN-Verbindung.
Deine Annahme passt grob. Ich versuche es nochmal zu beschreiben:
Es ist wie eine normale Netzwerkkarte in deinem PC. Sobald du deine VPN-Verbindung aufbaust, steckst du ein Kabel in diese Netzwerkkarte. Das Kabel führt direkt zu dir nach Hause und ist in deinem LAN angeschlossen.

Und du brauchst kein schlechtes Gewissen haben, wenn du immer wieder nachfragst. Dafür ist das Forum doch da.

standi · 17. Januar 2015

*delete*

Ergänzung (17. Januar 2015)

Also, ich habe wie bereits erwähnt mit Fritz!Fernzugang eine neue CFG erstellt und diese im Fritzbox hochgeladen. Dann habe ich Shrew erneut, wie auf AMV beschrieben konfiguriert. Also d.h. Policy = auto. Nach verbinden mit dem Hotspot des Smartphone kann ich nun 192.168.178.1 erreichen. Auch andere IPs.
Die CFG die ich angelegt hatte, habe ich aber wie eine Email-Adresse angegeben. Also in der Art wie BLABLA@domain.de, mit der es auch funktioniert. Testweise habe ich die CFG geändert und statt BLABLA@domain.de ==> VPNUSER gemacht und entsprechend wieder hochgeladen im Fritzbox und Shrew konfiguriert. Mit VPNUSER funktioniert es nicht :-)

s:ident-client-type:ufqdn
s:ident-server-type:address
s:ident-client-data:vpnuser

Wichtig ist aber, dass ich nun eine funktionierende CFG habe :-)

6. Ist es nicht sicherer, wenn ich noch zusätzlich beim VPN-verbinden mit Shrew eine zusätzliche Passwortabfrage einfüge. Sprich, wenn jemand die CFG klauen sollte :-) Damals an der Uni wurden wir zusätzlich beim Verbinden nach einem Passwort gefragt.

7. Wie kann ich sichergehen, dass ich über die Internetleitung des PCs surfe und nicht über VPN?

error · 17. Januar 2015

standi schrieb:
6. Ist es nicht sicherer, wenn ich noch zusätzlich beim VPN-verbinden mit Shrew eine zusätzliche Passwortabfrage einfüge. Sprich, wenn jemand die CFG klauen sollte :-) Damals an der Uni wurden wir zusätzlich beim Verbinden nach einem Passwort gefragt.

Komisch, bei mir kommt eine zusätzliche Abfrage von Benutzernamen und Passwort vor dem Verbindungsaufbau. Ich habe aber den VPN-Benutzer direkt auf der Fritzbox ohne das Tool angelegt. Kann gut sein, dass es da Unterschiede gibt. Aber du müsstest Shrew mit einem Passwort absicher können.

standi schrieb:
7. Wie kann ich sichergehen, dass ich über die Internetleitung des PCs surfe und nicht über VPN?

Ruf z.B. wieistmeineip.de auf bevor du dein VPN aufbaust und merke dir die IP-Adresse.
Dann baust du die VPN-Verbindung auf und lädst die Seite nochmal. Wenn die IP-Adresse gleich bleibt, dann surfst du lokal.

standi · 18. Januar 2015

Wenn du aber den VPN-Benutzer direkt in der Fritzbox eingibst, kannst du die Einstellungen und vorallem den pre-shared key nicht mehr nachträglich anpassen. Bei mir ist dann das Editier-Icon unter Internet>Freigaben>VPN deaktiviert. Nur das löschen Icon funktioniert fur die angelegten Benutzer

Wie HeimNAS absichern?

Lt. Junior Grade

G-Power

Gast

Lt. Junior Grade

Lt. Commander

Fleet Admiral

Lt. Junior Grade

Lt. Commander

Fleet Admiral

Lt. Junior Grade

Lt. Commander

Lt. Junior Grade

Anhänge

Lt. Commander

Lt. Junior Grade

Lt. Commander

Fleet Admiral

Lt. Junior Grade

Lt. Commander

Lt. Junior Grade

Anhänge

Lt. Commander

Lt. Junior Grade

Ähnliche Themen