Sichere Netzwerkstruktur ist gefragt

[romst]

Hallo CB’ler

Ich habe folgende Ausgangslage. Im Netzwerk habe ich das Standard Modem, welches ich vom Provider bekommen habe. Dies ist im Bridged-Mode. Dahinter ist ein Asus RT-AC66U Router, über welchen ich das ganze Netzwerk handhabe. Dazu kommen 2 NAS von Synology, verschiedene PC’s und andere Geräte mit Internetanschluss.

Die eine Synology Diskstation ist über OpenVPN erreichbar. Dies ist auch der einzige Port, welcher vom Router weitergeleitet wird.

Nun habe ich aber das Problem, dass über das VPN mein ganzes Netzwerk erreichbar ist. Dies will ich vermeiden, sprich, dass nur die eine Synology DiskStation über VPN von aussen erreichbar ist.

Die VPN Konfiguration kann, wie ich gesehen habe, jeder selbst bearbeiten. Somit kann ich darüber den Gateway nicht einstellen. Welche anderen Möglichkeiten habe ich? Ist es allgemein und sicherheitstechnisch besser die Synology DiskStation ausserhalb (z.B. per DMZ?) von meinem Netzwerk zu haben?

Herzlichen Dank für eure Unterstützung

 

[n0dau42]

Ich würds mal mit ner Portweiterleitung auf die IP von der NAS probieren. Dieser dann natürlich auch ne feste IP zuweisen, sodass der Port nur für diese eine IP in deinem Netzwerk geöffnet ist.

 

[romst]

Ich wollte vermeiden für jeden Dienst die Ports zu öffnen.
Ich denke sicherheitstechnisch ist es besser nur einen Port für eine verschlüsselte VPN Verbindung zu haben, als für jeden einzelnen Dienst, welcher eventuell keine Verschlüsselung bietet.

 

[DonConto]

Die Syno hat doch ne Firewall. Kannst du da nicht alle Verbindungen ins gesamte Netz unterbinden?

Die beste weil typischste Lösung wäre tatsächlich die Syno in eine DMZ zu stellen. Aus meiner Sicht aber fraglich ob sich der Aufwand lohnt. Mach einfach dein OpenVPN sicher :-)

 

[n0dau42]

Mein Post bezog sich auf den von dir bereits geöffneten Port. Es hörte sich für mich so an, als sei dieser für dein gesamtes Netz geöffnet und nicht für eine spezifische IP, nämlich die deiner NAS.

 

[romst]

Mein Post bezog sich auf den von dir bereits geöffneten Port. Es hörte sich für mich so an, als sei dieser für dein gesamtes Netz geöffnet und nicht für eine spezifische IP, nämlich die deiner NAS.

Der Port wird nur auf die DiskStation umgeleitet. Das Problem ist, dass ich im Config File festlegen kann, dass der gesammte Traffic zuerst ans NAS gesendet wird. Somit komme ich auch auf alle anderen Resourcen in meinem Netzwerk, was ich gerne unterbinden würde.


@DonConto: Die FireWall habe ich bis anhin noch nicht genauer angeschaut. Werde ich aber nachholen. Danke für den Tip.

 

[DonConto]

Ich wollte vermeiden für jeden Dienst die Ports zu öffnen.
Ich denke sicherheitstechnisch ist es besser nur einen Port für eine verschlüsselte VPN Verbindung zu haben, als für jeden einzelnen Dienst, welcher eventuell keine Verschlüsselung bietet.

Auf jeden Fall ist das besser. Dein Ansatz mit VPN ist schon gut und richtig.

 

[romst]

Wie ich gesehen habe unterstützt mein Asus Router die Funktion einer DMZ. Aufgrund des Wikipedia Eintrags über DMZ vermute ich aber eher, dass es sich um eine "Pseudo-DMZ" handelt und somit nicht zugeordnete Pakete automatisch an die DMZ-IP leiten würden. Somit fällt das auch weg.

Die Firewall kann, so wie ich gerade gesehen habe, nur eingehende Regeln bearbeiten.

Und die VPN Verbindung kann ich über die DiskStation auch nicht gross konfigurieren.