ComputerBase Menü
Aktuelles

Synology Disk Station als OpenVPN-Server betreiben sicher?

Hab jetzt nochmal von der Uni aus getestet. VPN an:
789166

(reproduzierbar)

VPN aus:
789167


Bei dem NAS handelt es sich um eine Synology DS718+. Die hat laut Website ein "AES-NI-Hardware-Verschlüsselungsmodul" und ermöglicht dadurch eine Verschlüsselungsleistung von "bis zu 226 MB/s beim Lesen und 184 MB/s beim Schreiben".

Eine Sache stört mich dann allerdings doch: wenn ich mich via iPhone mit dem VPN-Server verbinde, ändert sich meine Public-IP nicht, obwohl dasselbe Konfigurationsfile auf dem Notebook problemlos funktioniert... (siehe unten)
 
Zuletzt bearbeitet:
Das ist eine Frage der Konfiguration. Bei OpenVPN muss in der client.conf die Option "redirect-gateway" stehen. Damit wird das Standard-Gateway des Clients auf den VPN-Server geändert und somit wird sämtlicher Traffic ins Internet durch das VPN geleitet. Diese Option benötigt jedoch ggfs Root-Rechte, weil OpenVPN in der Regel zwei zusätzliche Routen in die Routing-Tabelle einträgt. Wenn dies vom Endgerät bzw. dem Betriebssystem abgelehnt wird, gibt's auch keine Umleitung und somit siehst du bei ping.eu und Co eben nach wie vor die lokale WAN-IP (zB Mobilfunk oder Uni, etc).
 
Tatsächlich! Nachdem ich meine Konfigurationsdatei um

Code: 
redirect-gateway
und
Code: 
dhcp-option DNS 10.100.1.1

erweitert habe, funktioniert nun alles :) Vielen Dank Raijin!
 
Avenger84 schrieb:
ok, vergiss den Raspberry, und sag mir welcher NAS das ist, den kauf ich mir auch.
Zum Vergrößern anklicken....
Ich wollte auch gerade sagen, moderne NAS mit Celeron J3xxx schaffen das locker.
https://geizhals.de/?cmp=1781277&cmp=1694319&cmp=1671650
Sowas wie Pi-Hole kann auch auf einem NAS laufen. Oder Nextcloud, egal ob auf dem NAS oder in einer VM des NAS laufen merklich flotter,... Ein Raspberry Pi will das auch gar nicht können, der kann sowas wie Selbstbau-Streamingboxen.
 
Dein Thema kommt mir wie gerufen.:) Ich habe mir ebenfalls den 718+ zugelegt und bin am überlegen wie ich den Zugriff von aussen am besten organisiere.

Weiß jemand wie das mit dem MyFritz-Service ist? Hab eine FB7490. Hab mal irgendwo gelesen das hier IPsec genutzt wird welches aber nicht mehr so sicher sein soll als zB. OpenVPN. Weiß da jemand mehr? Überhaupt relevant für den privaten Zugriff?
 
Für den Ds218+ von Synology gibt´s ja nen VPN Server mit 3 Möglichkeiten.
Kann man damit auch ohne extra Programm per Win10 drauf zugreifen ?
 
Zuletzt bearbeitet:
@.Silberfuchs.: Konkret zur Einrichtung vom VPN-Server im NAS hinter der Fritzbox und DynDNS über myfritz und Portweiterleitung ans NAS,... habe ich gerade nicht laufen und müsste mich reinfuchsen. Zur Sicherheit: AVM nutzt aktuell als sicher geltendes IPSec. Als unsicher gilt PPTP, was nicht genutzt wird. Die Konfiguration in der Fritzbox ist aus Nutzersicht sehr simpel, was aber Konfigurationsfehler seitens des Nutzers verhindert.

@Avenger84: Ja, die "App" VPN-Server von Synology kann ab Werk PPTP, OpenVPN und IPSec/L2TP: https://www.synology.com/de-de/knowledgebase/DSM/help/VPNCenter/vpn_setup
Hier in Bewegtbildern Videos, damit man einen Eindruck erhält, z.B. von iDomiX: https://www.youtube.com/results?search_query=vpn+synology
 
  • Gefällt mir
Reaktionen: Avenger84
Also IPSec/L2TP geht per Windows 10 direkt ?
Bei der FritzBox brauchte man damals Shrew Soft oder eben jetzt den AVM Fernzugang.
 
Was wäre dann als VPN Lösung zu empfehlen? Fritz VPN oder Synology IPSec oder wurscht?
 
@Avenger84: Du hast doch in #26 zuerst gefragt, ob es von Synology eine App ohne Bastelei gibt und hast das jetzt weg editiert. Meine Antwort im Beitrag bezog sich auf deinen ursprünglichen. Daher sieht meine Antwort so aus, als passe sie gar nicht.

IPSec ging schon immer mit Windows. Allerdings hat Microsoft IKEv1 seit Windows 7 verbannt und AVM bietet nur IKEv1. Daher braucht man für Windows-zu-AVM eine Software, die auch IKEv1 macht.
https://avm.de/service/fritzbox/fri...on/show/3342_Unterstutzung-von-VPN-Anbietern/
https://www.lanline.de/vpn-speziallosungen-html/

@.Silberfuchs.: Fritz VPN ist auch IPSec und einfacher einzurichten, bzw. kann man eigentlich keine Fehler machen. Je nach Internetanschluss und dessen Upload kann eine Fritzbox den eventuell nicht auslasten, ist also zu langsam, z.B. VDSL 100/40.
 
  • Gefällt mir
Reaktionen: .Silberfuchs.
passt schon lieber Wilhelm ;)
hatte die Syn. App entdeckt und die Frage umformuliert.
Scheint ja ne tolle Sache zu sein, wenn das NAS auch die 100MBit/s schafft (oder sogar noch mehr)
 
Ich hab´s nun ausprobiert mit der DS218+ und bin begeistert.
Schaffe volle Leitungsgeschwindigkeit (100Mbit/s).

Und das schöne ist per Windows und Android eigenem Clienten (ohne Fremdsoftware). :daumen:
Einzig den Registrierungseintrag ("AssumeUDPEncapsulationContextOnSendRule") fand ich zuerst befremdlich ;).

Frage: Kann VPN Synology mit den UDP Ports 1701, 500, 4500 und gleichzeitig der FritzBox interne VPN Dienst zusammen laufen ?
 
Avenger84 schrieb:
Frage: Kann VPN Synology mit den UDP Ports 1701, 500, 4500 und gleichzeitig der FritzBox interne VPN Dienst zusammen laufen ?
Zum Vergrößern anklicken....
Parallel zu einem OpenVPN-Server, ja. Zumindest sofern man den OpenVPN-Server nicht auf den genannten Ports laufen lässt ;)

Wenn jedoch auch auf dem NAS IPsec eingesetzt wird, geht das nicht, da man bei IPsec die Ports nicht ändern kann. Ergo kann man nur entweder die Ports in der Fritzbox weiterleiten oder sie für die Fritzbox selbst nutzen.
 
Unter ganz bestimmten Bedingungen könnte man tatsächlich einen VPN-Server mit IPsec im Router und gleichzeitig auf einem NAS dahinter betreiben. Das setzt allerdings erweiterten Zugriff auf die Firewall bzw. die NAT-engine des Routers voraus. So könnte man beispielsweise eine NAT-Regel (=Portweiterleitung) erstellen, die nur auf ganz bestimmte Quell-IPs triggert - zB die öffentliche IP der Firma. Kommt eine VPN-Verbindung von dort rein, wird sie via NAT umgeleitet und dann vom Ziel-Server bearbeitet. Kommt die VPN-Verbindung jedoch nicht von der Firmen-IP, greift die Umleitung nicht und somit wird die Verbindung vom Router selbst entgegengenommen.

Soviel zumindest zur Theorie. In der Praxis ist es jedoch meistens so, dass die GUI eines Consumer-Routers Portweiterleitungen für lokale Dienste des Routers bei der Eingabe verweigert oder ignoriert, wenn sie bereits eingegeben waren, weil der Router meint "Die Ports gehören mir, basta!". Wie es speziell bei der Fritzbox aussieht, kann ich nicht beurteilen. Sobald man aber nicht wie angedeutet zB anhand der Quell-IP unterscheiden kann, wird dieser Workaround sowieso hinfällig, weil der Router dann nicht unterscheiden kann ob er die Verbindung nun weiterleiten oder selbst annehmen soll.

Ausprobiert habe ich das so jedoch auch noch nicht, müsste aber wie beschrieben funktionieren, wenn ich nicht nen Denkfehler drinhabe ;)
 
Ich hätte da mal noch eine Frage zu den Ports. Standardmäßig läuft OpenVPN ja über Port 1194; für meinen VPN-Server ich habe jetzt allerdings bewusst Port 443 gewählt, damit ich mich auch noch verbinden kann wenn die Standard-VPN-Ports geblockt sind. Welche Vor- und Nachteile ergeben sich aus dieser Portwahl?
 
autoshot schrieb:
Welche Vor- und Nachteile ergeben sich aus dieser Portwahl?
Zum Vergrößern anklicken....
Dazu muss ich etwas weiter ausholen.

Der Standardport von OpenVPN ist 1194 UDP.
Du hast jetzt Port 443 gewählt - auch UDP?

https - das war vermutlich deine Intention - nutzt Port 443, aber TCP.

Grundsätzlich sollte man ein VPN tunlichst immer über UDP betreiben. UDP ist gewissermaßen wie ein banaler Brief via Post - man hat keine Ahnung ob er angekommen ist oder nicht, wenn der Empfänger nicht selbst auf die Idee kommt, irgendwie darauf zu antworten. TCP wiederum ist wie ein Einschreiben mit Rückschein. Das heißt, dass der Postbote quasi ständig hin- und herläuft und lauter Bestätigungen vorbeibringt, damit man immer weiß ob das gesendete Einschreiben auch wirklich angekommen ist. Da ein VPN den Datenverkehr von Anwendungen kapselt, würden nun lauter Einschreiben mit Rückschein in Einschreiben mit Rückschein verschickt werden und der Postbote müsste noch öfter hin und herlaufen. Steckt man das Einschreiben mit Rückschein jedoch in einen normalen Briefumschlag, bringt der Postbote einfach nur den Rückschein als Bestätigung zurück und nicht zusätzlich noch die Bestätigung der Bestätigung des Rückscheins.

Klingt kompliziert, ist es eigentlich auch. TCP-Verbindungen über einen TCP-VPN-Tunnel können im worst case extrem viel Overhead produzieren - insbesondere bei potentiell unzuverlässigen Verbindungen mit vielen Paketverlusten - und so die Übertragungsrate empfindlich nach unten drücken.
Deswegen sollte man ein VPN mit UDP betreiben, da so überflüssige Bestätigungen gar nicht erst zustande kommen.

Dann kann man ja 443 UDP für OpenVPN verwenden? Ja, prinzipiell schon. Der Sinn hinter dem Port 443 für OpenVPN liegt jedoch darin, dass sich der Traffic des VPNs als https-Traffic tarnen soll und so ungehindert durch eine restriktive Firewall zum Ziel gelangen kann. In der Regel klappt das auch, aber eigentlich ist https ja 443 TCP und somit kann es sein, dass eben auch nur das von der Firewall (zB im Hotel) zugelassen ist, aber eben nicht 443 UDP.

Mein Tip wäre daher folgender:

Grundsätzlich würde ich Dienste auf dem NAS bzw. dem Server immer auf dem Standardport belassen. Das wäre also 1194 UDP. Etwaige Umsetzungen auf einen Port, der mit hoher Wahrscheinlichkeit nicht durch eine Firewall im Hotel, etc. geblockt wird, würde ich nun in der Portweiterleitung im Router machen. Man kann zB problemlos Port 53 UDP (=DNS) in der Portweiterleitung auf 1194 UDP am NAS weiterleiten. Gleichzeitig kann man aber parallel dazu auch 443 UDP auf 1194 UDP weiterleiten. So hat man im worst case also 2 Eisen im Feuer.

Wenn's aber ganz doof läuft, ist man in einigen Netzwerken tatsächlich komplett auf TCP angewiesen (zB weil ausgehender 53 UDP Traffic geblockt wird). Dann müsste man das VPN eben doch auf TCP laufen lassen, weil eine Umleitung von zB 443 TCP auf 1194 UDP technisch nicht möglich ist.


Ich hoffe jetzt sind endgültig alle Klarheiten beseitigt? ;)
 
  • Gefällt mir
Reaktionen: t-6
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
  • Frage
Synology DS723+ Reverse Proxy (als OpenVPN-Client)
Antworten
3
Aufrufe
619
tollertyp
T
autoshot
Vodafone CBN CH7466CE WLAN Gateway: OpenVPN Portweiterleitung funktioniert nicht
Antworten
16
Aufrufe
1.890
autoshot
autoshot
M
Synology DS224+ als Ersatz für QNAP TS-209 Pro => Kalenderfunktion/-server
Antworten
4
Aufrufe
461
TechX
T
M
Ideen / Hilfestellung für NAS ersatz
Antworten
1
Aufrufe
633
Skysurfa
Skysurfa
TheHille
Downsizing Home-VM-Server
Antworten
18
Aufrufe
838
TheHille
TheHille
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz