Kaufempfehlung einfach zu administrierender VPN-Server

[Holzohrwascherl]

Hallo Forum,

ich habe heute mein erstes QNAP-NAS (TS-453D-4G) zugestellt bekommen und überlege nun, wie ich in Zukunft am besten den Zugriff von außen auf die Daten konfiguriere:

• Ich will keine Ports für Applikationen öffnen, sondern den Zugriff nur über VPN erlauben.
• Ich will auch nicht die boardeigenen VPN-Applikationen von QNAP verwenden, sondern etwas in Hardware einsetzen.
• Ich bin kein Netzwerkexperte und habe wenig Freizeit, d. h., ein gründliches Einarbeiten in die VPN-Thematik kommt derzeit leider nicht infrage. Damit scheidet das interessante Netgate SG-2100 auf pfSense-Basis aus.

Als Erstes fällt mir die Fritzbox 7590 ein. Sie hat Nachteile, eine einmal eingerichtete VPN-Verbindung scheint aber einigermaßen sicher zu sein. Zumindest sagen das Kollegen in meiner Firma und einige netzwerkkundige Forenposter im QNAP-Forum.

Gibt es bessere Alternativen zur Fritzbox? Die vielleicht bereits Wire Guard implementiert haben?

 

[Nero_XY]

Nachteil beim VPN über die FRITZ!Box ist vor allem die Performance.
Für mehr die Dateiübertragung von dem NAS aus meiner Sicht ungeeignet.
Mit Hardware-VPN Lösungen kenne ich mich nicht aus.

Ich kann WireGuard auf nem Raspberry Pi 3 oder 4 sehr empfehlen. Erstklassige Performance und mit PiVPN ist auch die Einrichtung recht überschaubar.
Wichtig ist allerdings das dein Router eine eigene öffentliche IPv4-Adresse hat (also kein DS-Lite!). Diese Voraussetzung gilt aber auch für das FritzVPN.

 

[Comadevil]

Wenn du einen Telekom Anschluss hast, kannst du einen der neueren Speedports (ab 3) nehmen. Die haben Wireguard als VPN Lösung implementiert

 

[Kenny [CH]]

Hardware vpn was bitte ist das dann? - selbst auf einer frizbox ist das nur software - ob du da openvpn, friz vpn oder qnap vpn einsetzt spielt keine rolle - alles ist software....

Wenn du wirklich unabhängig sein wilst dann würde ich open vpn nehmen. Ohne portforwarding wird es aber eh nichts, sofern nicht dein router auch der entpoint ist. Ich würde aber behaupten, das ein entpunkt auf irgendeiner hw nicht sicherer/besser ist, also etwas wie z.b open vpn auf einem rasp..

 

[Holzohrwascherl]

Nachteil beim VPN über die FRITZ!Box ist vor allem die Performance.

Ja, habe ich schon mehrfach gehört. Ich muss erst meine Anforderungen genauer durchdenken …

Ich kann WireGuard auf nem Raspberry Pi 3 oder 4 sehr empfehlen. Erstklassige Performance und mit PiVPN ist auch die Einrichtung recht überschaubar.

Vor der Einrichtung habe ich keine besondere Angst. Irgendwie geht das mit fremder Hilfe schon. Aber es geht da um Sicherheit. Mir fehlt einfach das Netzwerkwissen, um das Konzept gründlich zu verstehen. Genau das scheint mir aber essenziell für die Wartung der VPN-Lösung zu sein… Und dieses Verständnis ist einfach nicht da.

Wichtig ist allerdings das dein Router eine eigene öffentliche IPv4-Adresse hat (also kein DS-Lite!). Diese Voraussetzung gilt aber auch für das FritzVPN.

Guter Punkt. Aber mit DynDNS sollte das doch klappen, korrekt?

 

[Kenny [CH]]

Wichtig ist allerdings das dein Router eine eigene öffentliche IPv4-Adresse hat (also kein DS-Lite!). Diese Voraussetzung gilt aber auch für das FritzVPN.

Naja - wenn dein isp dyndns anbietet, dann hast du glück - war für mich 2 klicks und hatte eine domain, welche ich auch mit letsencrypt verwenden kann. Wenn dein isp das nicht hat, gibt es auch genügend andere anbieter.

 

[Masamune2]

• Ich will auch nicht die boardeigenen VPN-Applikationen von QNAP verwenden, sondern etwas in Hardware einsetzen.

• Warum?

 

[Nero_XY]

Guter Punkt. Aber mit DynDNS sollte das doch klappen, korrekt?

Nein, ich meine nicht dass du eine feste IPv4 brauchst, sondern nur eine eigene öffentliche. Bei DS-Lite teilt man sich die IPv4 Adresse mit anderen Nutzern und kann daher keinen IPv4-Traffic über eine Portfreigabe empfangen.

 

[floxorius]

IMHO: Cloudspeicher ist so günstig geworden, für den Preis von NAS+Platten+Strom+VPN Router bekomme ich auch 10Jahre 500GB Speicher in der Wolke mit 10GBit/s+ Anbindung. Wenn das ganze mit nem ordentlichen Passwort und 2FA eingerichtet ist bin ich auch deutlich sicherer Unterwegs als mit ner Mehrgerätelösung zu Hause für die es nach 6Monaten schon keine Sicherheitsupdates mehr gibt.

 

[Kenny [CH]]

Cloud lösung

Ja stimme dir zu für viele user ist das sicher eine lösung - für die meisten - ausnahmen gibt es ich weiss schon wieso ich meinen eigene home server betreibe und die kosten für 2-4tb cloud storage wären da nicht mal ein thema.

 

[Wilhelm14]

Hardware vpn was bitte ist das dann?

Hardwarebeschleunigung wie man es von Video-Beschleunigung beim PC kennt. Dann verursacht z.B. ein modernes Youtube-Video 4K60 kaum CPU-Last, im Task Manager ist alles ruhig. Bei VPN geht das auch:
https://openvpn.net/for/vpn-hardware-vs-vpn-software/

Aber mit DynDNS

Bei Myfritz als "Dienst" stellt AVM einen DynDNS-Dienst bereit. Wie Nero_XY aber schon sagt, kann der VPN von AVM bis jetzt von außen nur via IPv4 kontaktiert werden. Je nach Internetanschluss, bzw. dessen Upload, reicht der Datendurchsatz aber mittlerweile aus.
Openwrt mit Wireguard schafft auf einer 4040 um die 400 MBit: https://www.heise.de/select/ct/2020/14/2013414180584601302/amo.fritzboxwireguard.balken.neu.png
Mehr dazu:
https://www.heise.de/select/ct/2019/18/1566748344141492

 

[Holzohrwascherl]

• Warum?

Weil ich von diesen Apps nicht überzeugt bin.

 

[Masamune2]

Was für Apps? Du suchst doch einen VPN Server, das ist immer Software, die halt auf irgendeiner Hardware läuft.
Einen dedizierten VPN Hardware Server wirst du so nicht bekommen, das ist immer eine Funktion die Bestandteil einer ganzen Lösung (meist Router/Firewall) ist.
In dem Fall bringt die Qnap diesen VPN Server bereits mit und der ist nicht schlechter oder besser als andere Lösungen. Daher mein Vorschlag: Nimm einfach was die Qnap anbietet, ich wähle gern wenn es geht OpenVPN.

 

[Raijin]

Weil ich von diesen Apps nicht überzeugt bin.

Ich bin da ganz bei @Masamune2 . Du schreibst selbst, dass du nicht wirklich Ahnung davon hast und möglichst wenig Hand anlegen möchtest, wischst aber die fertige Lösung wegen undurchsichtiger Zweifel einfach beiseite. Wenn jemand mit viel KnowHow lieber sein eigenes Süppchen kochen möchte - wobei es dann weitestgehend nur darauf hinausläuft, das System zu entkoppeln und beispielsweise für HighPerformance mit entsprechender Hardware zu versorgen - kann ich das ja noch nachvollziehen. Aber "ich möchte es einfach" und "ich möchte das einfache VPN im NAS nicht", sind von der Richtung her irgendwie gegenläufig.

Wenn du handfeste Gründe gegen das VPN von QNAP hast, wobei das unterm Strich auch nur IPsec/OpenVPN/WireGuard ist, ggfs auch die freie Wahl welches davon, dann ok. Hast du keine Gründe, bleibe beim QNAP.

Ansonsten eben wie schon erwähnt wurde sowas wie ein Raspberry PI, zB mit PIVPN. Um eine Konfiguration kommst du aber so oder so nicht drumherum.

 

[Wilhelm14]

Raspberry wäre aber dann noch mehr gefrickelt. 😉 Zur DIY-Lösung 4040 fallen mir noch diese hier ein, die auch nicht teurer als ein Raspberry wären.:
https://geizhals.de/ubiquiti-edgerouter-x-er-x-a1271798.html
https://eu.protectli.com/

Sonst kann ich die Beiträge oben unterstützen. Qnap oder Synology kauft man sich, weil es fertig konfiguriert einfach zu bedienen ist. Genau wie All-In-One-Router wie Speedports oder Fritzboxen. Vielleicht reicht ja schon der VPN-Zugang der vorhandenen Fritzbox. Danach würde ich die VPN-Funktion der Turbostation ausprobieren.

Generell in die Runde gefragt, das habe ich an anderer Stelle schon mal gemacht. Was spricht eigentlich beim simplen Zugriff von unterwegs gegen https und für VPN? Beides ist verschlüsselt. Benutzer/Passwort muss man genauso schützen (nicht auf Handy-Hülle notieren). Jeweils ist von außen ein Port erreichbar. Die Frage bezieht sich rein auf die Sicherheit, Knackbarkeit. Ein VPN wird doch in erster Linie für ein virtuelles, privates Netz eingesetzt. Also um Netzwerk Büro Pattensen mit Netzwerk Büro Paris zu verbinden. Die Verschlüsselung kommt danach. (Kann man eigentlich ein VPN unverschlüsselt betreiben?)

 

[Raijin]

https kann man durchaus auch von außen freigeben, weil ebenfalls verschlüsselt wie du schon sagst. Das Problem ist dabei eher, dass man dann in die Situation kommt, spätestens bei der zweiten Verbindung mit PAT, also alternativen Ports arbeiten zu müssen. Und letztendlich verleitet es auch dazu, beim nächsten Projekt eben nicht https, sondern $Beliebigerdienst weiterzuleiten, der am Ende womöglich gar nicht verschlüsselt bzw. generell angreifbar ist. Mit einem VPN kann man aben alle Fliegen mit einer Klappe erschlagen, von Anfang an.

Protectli ist im übrigen verdammt teuer, wenn man sich mal die Preise der anderen Anbieter für dieselbe Hardware anschaut. Meine quasi-FW4B hat mich 220€ gekostet, Protectli will dafür das Doppelte.

Wie auch immer, Möglichkeiten gibt es viele, sei es VPN direkt im Internetrouter, im QNAP NAS, über eine 4040er Fritzbox, einen PI oder Plattformen für pfSense und Co. Ich würde behaupten, dass NAS und Router/Fritzbox-Lösungen vergleichbar sind, tendenziell würde ich sogar denken, dass das NAS mehr Leistung bringt, kommt aber sicher auf das Modell an. Vom Handling her sind sie vergleichbar und alles andere ist in der Regel deutlich komplexer, weil individueller.

"Sicher" sind so gesehen alle Lösungen. Eine Fertig-Lösung in Router/NAS ist um Welten sicherer als eine Profi-Hardwarefirewall, die von einem Laien ohne KnowHow eingerichtet wurde. Sicherheit kommt nicht durch die bloße Existenz der Begriffe "Fortgeschritten" oder "Profi", sondern einzig und allein durch die Konfiguration - und die ist bei Consumer-Geräten wie Router und NAS bereits ausreichend gut. pfSense und Co richtet Otto Normal am Ende sonst auf Basis eines x-beliebigen Youtube-Videos ein, das schlimmstenfalls von Anton Ahnungslos, ambitionierter Laie mit gefährlichem Halbwissen, gepostet wurde.

 

[Holzohrwascherl]

Wenn du handfeste Gründe gegen das VPN von QNAP hast, wobei das unterm Strich auch nur IPsec/OpenVPN/WireGuard ist, ggfs auch die freie Wahl welches davon, dann ok. Hast du keine Gründe, bleibe beim QNAP.

Wie soll ich ohne sicheres und detailliertes Wissen bezüglich VPN und Netzwerktechnik handfeste Gründe gegen das VPN von QNAP haben? Hätte ich sie, dann würde ich hier ja nicht fragen, sondern pfSense auf meinem NUC einrichten.

Alles, was ich tun kann, ist, mich bei Kollegen (die deutlich mehr Wissen haben als ich) und in Foren wie z.B. diesem nachzufragen und die Antworten auszuwerten.

Im QNAP-Forum z. B. wurde gesagt, das Fritzbox-VPN sei deutlich sicherer als das QNAP-VPN.
Beispiel: https://forum.qnapclub.de/blog/entry/502-security-das-nas-offen-im-internet/

Wenn du nun das Gegenteil sagst, bringt mich das nicht weiter. Hast du handfeste Gründe dafür, dass das QNAP-VPN gleich einfach zu warten/einzurichten und dabei gleich sicher ist wie das Fritz-VPN?

 

[chrigu]

.

Guter Punkt. Aber mit DynDNS sollte das doch klappen, korrekt?

nein.
Deshalb empfehle ich dir das qnap cloud Ding. Das funktioniert mit dslite und ziemlich flott, inklusive etwas ähnliches wie VPN ohne grosse Konfiguration und sicherheitsbedenken, mit Benachrichtigungen wenn jemand Zugriff hat oder versucht…
Dein Link ist von November 19. ich vermute mal nicht, dass qnap extra deine Daten für alle einsehbar macht, und ich wäre sicher, sollte es der Fall sein, dass die 2019 sicherheitslücken nicht schon längst geflickt wurden, dass diese Marke nicht mehr existiert.

 

[Raijin]

Ich drücke es mal so aus: Das Fritzbox-VPN hat sich seit gefühlt 20 Jahren nicht verändert. Deswegen ist es mit aktuellen VPNs, die theoretisch dieselbe Technologie verwenden (IPsec) nicht kompatibel. So sicher kann es also nicht sein, wenn AVM es nicht für nötig gehalten hat, die VPN-Funktion aktuell zu halten. Andererseits kann sie so unsicher auch nicht sein, weil das FritzVPN millionenfach im Einsatz ist. Bei einem NAS hat man hingegen in der Regel freie Wahl ob man IPsec, OpenVPN oder WireGuard verwendet.

Zu deinem verlinkten Kommentar eines Unbekannten in einem anonymen Forum - wie dieses hier auch - kann man zum Beispiel sagen, dass dort mehrere Denkfehler drin sind. Ganz simpel: Für den Verfasser steht ein NAS, das nur über eine VPN-Verbindung erreichbar ist, ebenso "offen" im Internet wie der Internetrouter, was faktisch einfach falsch ist. Das NAS mit VPN ist einzig und allein auf dem VPN-Port erreichbar und dahinter sitzt unterm Strich weitestgehend dieselbe Software wie bei einem Router oder auch einer Hardware-Firewall, nämlich zB ein WireGuard-Server. Alle anderen Ports des NAS sind aus dem Internet NICHT erreichbar, wohingegen ein Internetrouter effektiv auf ALLEN Ports potentiell erreichbar ist - das NAS ist nur über jene Ports erreichbar, für die eine Portweiterleitung angelegt wurde. Das sind nicht nur zwei Paar Schuhe, sondern das geht schon in Richtung Schuhe und Mütze.
Das ist auch nur ein Beispiel für Widersprüche und Fehler in dem Beitrag, ich erhebe keinen Anspruch auf Vollständigkeit. Auch ist in keinster Weise bekannt welches KnowHow der Verfasser hat, ebensowenig wie bekannt ist welches KnowHow ich besitze oder andere hier oder in einem beliebigen anderen Forum - oder der Typ aus dem Video pfSense-VPN-Tutorial #23 bei Youtube.

Wenn du eine einfache VPN-Lösung wünschst, führt kaum ein Weg am NAS oder am Router vorbei. Alles andere erfordert ein gewisses KnowHow. Das ergibt sich schon allein dadurch, dass zB pfSense so ziemlich 100% der Themenwelt "Netzwerk" abdeckt, während Fritzboxxen vielleicht so 10% abdecken - der Rest steckt hart codiert hinter Wizards. Die Firewall einer Fritzbox kann ein Anwender gar nicht "kaputtkonfigurieren", weil er sie gar nicht sieht bzw. an sie rankommt. Bei pfSense hat der Admin volle Kontrolle und kann auch echt Sch*** bauen, inkl. sich selbst vollständig vom System auszusperren.