Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Synology Disk Station als OpenVPN-Server betreiben sicher?
Haha ja so ungefähr ^^. Nein im Ernst, danke für die Erklärung!
Hab grad nochmal geschaut, mein VPN läuft tatsächlich über 443 UDP und nicht TCP. Klar, wenn ein Router nur 443 TCP durchlässt schauts schlecht aus, aber deswegen jetzt alles auf TCP umstellen (mit allen seinen Nachteilen) bringt wahrscheinlich mehr Ärger als Nutzen.
Raijin schrieb:
Etwaige Umsetzungen auf einen Port, der mit hoher Wahrscheinlichkeit nicht durch eine Firewall im Hotel, etc. geblockt wird, würde ich nun in der Portweiterleitung im Router machen. Man kann zB problemlos Port 53 UDP (=DNS) in der Portweiterleitung auf 1194 UDP am NAS weiterleiten. Gleichzeitig kann man aber parallel dazu auch 443 UDP auf 1194 UDP weiterleiten. So hat man im worst case also 2 Eisen im Feuer.
Also, mein OpenVPN-Server auf meiner Linux-Box daheim läuft mit Standard-Port. Das heißt ich hab da gar nichts angepackt. So wie auch die WebGUI meines UniFi-Controllers auf dem Standard-Port läuft und und und...
In meinem Router habe ich jedoch eine Portweiterleitung, die nicht einfach 1194 UDP 1:1 an den Server durchreicht, sondern so aussieht:
extern: 53 UDP ---> intern 1194 UDP
Es ist reine Geschmackssache, das so zu machen, aber man kann eben auch weitere Portweiterleitungen nach demselben Schema erstellen:
Dem OpenVPN-Server ist das Jacke wie Hose. Es ist aber vollkommen legitim, den Server auch direkt auf 443 UDP laufen zu lassen und dann die Weiterleitungen oben daraufhin anpassen (die 443er Regel wäre dann eben eine 1:1 Regel). Ich beschränke mich jedoch auf die Änderung an einer Stelle, den Portweiterleitungen
Jein. Das ist eher eine grundsätzliche Einstellung.
Anders sieht es bei Diensten aus, die einen Port <1023 belegen, da dies root-Berechtigungen erfordert (zumindest bei Linux). Wenn man also zB den ssh-Server aktiv von TCP 22 auf zB TCP 2222 verlegt - aus weitestgehend fehlgeleiteten Sicherheitsbedenken - dann kann sich im Prinzip auch jede x-beliebige Malware auf den Port 2222 hängen was bei Port 22 eben nicht so einfach ist. Daher mache ich sowas grundsätzlich nicht bzw verlagere das dann eben in die Portweiterleitung, falls nötig.
Wenn man also zB den ssh-Server aktiv von TCP 22 auf zB TCP 2222 verlegt - aus weitestgehend fehlgeleiteten Sicherheitsbedenken - dann kann sich im Prinzip auch jede x-beliebige Malware auf den Port 2222 hängen was bei Port 22 eben nicht so einfach ist.
hätte auch noch ne Frage und zwar lässt sich die Sicherheit der VPN Verbindung (L2TP/IPSec) beeinflussen mit der Länge des Schlüssels bzw. des Passworts ?
und wozu ist die Firewall im NAS (DS218+) gedacht ?
Klar, lange Schlüssel sind immer besser als kurze.
Die Firewall dient dazu, Zugriffe über das VPN zu reglementieren, um zB den Zugriff auf das Heimnetzwerk einzuschränken oder gar zu blockieren. Letzteres geht bei einem NAS häufig über eine Checkbox in der GUi.
