Router schließt geöffnete Ports für VPN automatisch? TP-Link

[AffenJack]

Hallo,

ich habe bei mir zuhause einen NAS Synology Diskstation DS718+ und versuche von extern über VPN Zugriff darauf und auf mein LAN zu konfigurieren.

VPN läuft auf dem NAS über OpenVPN und funktioniert soweit auch, wenn ich die gewählten Ports im Router öffne. Allerdings schließt der Router die Ports anscheinend automatisch, was ich nicht verstehe. Am nächsten Tag muss ich die Ports wieder öffnen, damit es wieder funktioniert. Dabei ist es egal ob offne TCP oder UDP Ports. Jemand einen Tipp, was ich übersehe und wie sowas kommen kann?

danke im Vorraus

Affenjack

 

[Bob.Dig]

Macht so erstmal keinen Sinn, zeig doch mal Screenshots von deinem Router.

 

[nitech]

Gibt es evt. eine zusätzliche Speicherffunktion im Router, so dass evt. die temporären Änderungen (freischaltung der Ports) auch einen Routerneustart "überleben"?
mfg

 

[Jasmin83]

schließt der Router die Ports

welcher router?

 

[PHuV]

Warum machst Du kein VPN über den Router?

 

[AffenJack]

Macht so erstmal keinen Sinn, zeig doch mal Screenshots von deinem Router.

Sorry, dass es solange gedauert hat, bis ich antworte.

Die Ports habe ich über UPnp vom NAS aus konfiguriert. Wie zu sehen, sieht das im Router auch gut aus und passt auch einige Zeit. Oder ist das Konfigurieren über UPnP ne schlechte Wahl?

Der Router ist ein TP-Link Archer C5.

Warum machst Du kein VPN über den Router?

Ehrlich gesagt habe ich da keine Ahnung, wie ich das anstelle. Über das NAS schien mir die einfachste Lösung und es funktioniert ja auch eine Zeit lang.

 

[Raijin]

Oder ist das Konfigurieren über UPnP ne schlechte Wahl?

Gegenfrage: Musstest du dazu irgendwelche Sicherheitsmaßnahmen überwinden? Nein? Eben.

Wenn im Router UPnP aktiviert ist, kann das NAS dynamisch Portweiterleitungen erstellen, soweit so gut. Aber... was ist mit der Malware, die du dir unwissend eingefangen hast? Meinst du die kann das auch? Oder besser gefragt: Warum sollte sie es nicht können? Und zack, ist dein Netzwerk für einen Angreifer offen wie ein Scheunentor.....

Deswegen gilt UPnP als Sicherheitsrisiko. Mit UPnP hast du keinen blassen Schimmer welches Gerät oder welche Software munter Portweiterleitungen erstellt. Selbst wenn man regelmäßig im Router nachsieht, ist das keine Garantie dafür, dass man unerwünschte Weiterleitungen sieht, weil sie ja nun mal dynamisch/temporär sind.

Richte daher bitte unbedingt die Portweiterleitungen im Router direkt ein, von Hand. Schalte UPnP ab.

 

[chrigu]

Upnp funktioniert so: hast du eine gegenstelle, in deinem Fall die nas, sagt die nas dem Router , mach Port x y und z auf. Dann siehst du am Router die offenen Ports. Ist die nas nicht aktiv, ist der Port zu. Statt nas kann das auch malware, Trojaner und andere bösartige Käfer, die ohne sein Zutun nach Hause telefonieren. Deshalb ist es Pflicht, upnp abzustellen und alles händisch einzutragen. Welche Ports das sind steht beim Hersteller der nas.

 

[Bob.Dig]

Ich würde so weit nicht gehen, aber eine dauerhaft erforderliche Portfreigabe gehört eben nicht per UPnP realisiert, weil das immer zeitlich begrenzt ist und daher erneuert werden muss.

 

[Raijin]

Ich würde so weit nicht gehen

Doch, muss man leider. Für den Router ist es nicht erkennbar ob es sich bei der via UPnP erstellten Portweiterleitung um Schadsoftware handelt oder nicht.

Wenn man auf UPnP angewiesen ist, weil beispielsweise trotz Weiterleitung aller erforderlichen Ports für eine Playstation trotzdem der NAT-Typ falsch ist, dann sollte man wissen welche Risiken damit einhergehen. Im Idealfall bietet der Router wenigstens eine Option, die UPnP nur für definierte IP-Adressen freigibt, eben die IP der besagten Playstation (nur als Beispiel). Auf einer Spielekonsole ist die Gefahr von Malware aber relativ überschaubar. Lässt man UPnP hingegen für das gesamte Netzwerk, inkl. PCs zu, ist das Risiko nicht zu unterschätzen.

Natürlich ist UPnP aber nicht der einzige Angriffsvektor von Malware. Sie kann genauso gut auch nach Hause telefonieren und dann kommt der Eindringling über diese Verbindung rein, ganz ohne UPnP. Das ändert aber nichts an der Schwachstelle UPnP.