WDMyCloud Relay Modus ohne Ports öffnen?

[Garack]

Hallo, ich betreibe eine WDMycloud im relay Modus, d.h. ich muss keine Ports freischalten um von externen Netzen auf die Cloud zugreifen.

Was bedeutet das nun genau?

Es wird eine VPN Verbindung mit den Western Digital Servern aufgebaut und von dort auf extern zugreifende Geräte weitergeleitet. Stimmt so oder?

Was ich nicht verstehe : Wie kann eine VPN Verbindung ohne Ports öffnen aufgebaut werden?

Nach außen sind die Ports natürlich offen, eingehende werden alle blockiert. (Ich kenne den router nicht da es ein Büro Netzwerk ist, aber ein großes also Ports sind gesperrt durch NAT , SPI ist auch klar, eventuell auch noch mehr).

Wie kann also nun die Mycloud durch die Firewall ? Meine VPN Kentnisse sind nicht so dollo..kommt VPN auch durch geschlossene Ports??

 

[DeusoftheWired]

Ins Blaue geraten: Die MyCloud öffnet per UPnP die Ports selbst. Dagegen spricht, daß es ein Büronetzwerk ist – kein vernünftiger Unternehmensrouter ist dazu konfiguriert, per UPnP angefragte Verbindungen von innen nach außen einfach so durchzulassen.

Andere Möglichkeit: Die MyCloud baut bei jedem Start oder in zeitlich festgelegten Abständen eine Verbindung zu einem WD-Server auf, erhält sie aufrecht und wartet auf Befehle. Das wäre aber nicht sehr zuverlässig.

Wenn du nicht gerade mit einer IPv6 gestraft bist, solltest du den Relais-Modus deaktivieren und einmal die Ports vernünftig weiterleiten. Heute irgendeine Kommunikation über einen Dritten laufen zu lassen, wenn es vermeidbar ist, ist nicht sonderlich empfehlenswert.

 

[Garack]

UpNP ist bestimmt aus. Sonst würde auch der Relay Mode nicht greifen.

Andere Möglichkeit: Die MyCloud baut bei jedem Start oder in zeitlich festgelegten Abständen eine Verbindung zu einem WD-Server auf, erhält sie aufrecht und wartet auf Befehle. Das wäre aber nicht sehr zuverlässig.

Selbst dann müsst es doch, zumindest wenn ich Daten von extern abrufe die auf der festplatte der WDmycloud liegen, Ports von außen, in diesem Fall die VPN Verbindung über WD Server zu ´dem externen Rechner, geöffnete Ports geben..

WIe kommen die Anfragen und auch Daten, denn man kann ja auch beschreiben vom extern Rechner, zur NAS Festplatte ohne offene Ports?

 

[DeusoftheWired]

Selbst dann müsst es doch, zumindest wenn ich Daten von extern abrufe die auf der festplatte der WDmycloud liegen, Ports von außen, in diesem Fall die VPN Verbindung über WD Server zu ´dem externen Rechner, geöffnete Ports geben..

WIe kommen die Anfragen und auch Daten, denn man kann ja auch beschreiben vom extern Rechner, zur NAS Festplatte ohne offene Ports?

Ports muß man nur öffnen bzw. weiterleiten, wenn von außen eine Verbindung zu einem Ziel innen aufgebaut werden dürfen soll. Andersherum ist es in der Grundkonfiguration der meisten Router immer erlaubt; IPs im LAN dürfen also immer von sich aus Verbindungen nach außen aufbauen. Die Richtung ist entscheidend!

Deswegen die Vermutung, die MyCloud baue von sich aus bei Systemstart oder in Zeitabständen eine Verbindung zu den WD-Servern auf. Ein externes Gerät bräuchte dann nur noch eine Verbindung zu einem WD-Server, der die Daten zu der Verbindung weiterreicht, die die MyCloud mit dem WD-Server aufgebaut hat.

 

[Garack]

Danke dir schon mal , aber ich verstehe eins noch nicht.

Es ist klar das Porst von innen immer offen sind (Meist).

Aber ich greife ja von außen auf die WD zu also kommen Daten von außen rein..

Ist es denn so das wenn von innen eine Verbindung aufgebaut wird, diese dann auch ohne DNAT also Port Forwarding erreichbar ist?

Spielt VPN diesbezüglich eine Rolle?

 

[DeusoftheWired]

Wie gesagt, damit das so funktioniert, muß die MyCloud das von sich aus aufbauen und aufrechterhalten. Ohne zu wissen, ob gerade jetzt, in zehn Minuten, drei Jahren oder niemals jemand mal von außen eine Verbindung zu ihr haben möchte. Wenn sie die Verbindung aufgebaut hat, dann dürfen Daten auch von außen zu ihr gelangen. Das geschieht dann durch die VPN-Verbindung. Der WD-Server ist sozusagen nur Mittelsmann und vermittelt zwischen dem externen Gerät und der MyCloud.

Dem Namen nach sollte dann eigentlich eine logische Verbindung zwischen dem externen Gerät und der MyCloud bestehen, und niemand dürfte in diese Verbindung hineinschauen können. Wie WD dieses VPN aber umgesetzt hat, kann ich nicht beurteilen. Würde diesem Braten aber grundsätzlich erst mal mißtrauen – vor allem, solange WD die Zertifikate ausstellt und besitzt–, bis ich einen Beweis für die Sicherheit gefunden habe.

 

[Garack]

Ja WD hat eigene Zertifikate das sieht man schon bei der Installation der Software auf den externen Rechnern.

Gut nun habe ich es verstanden. Per VPN von innen geöffnete Ports bleiben offen und sind in den Routing Tables des NAT gespeichert falls Anfragen von außen kommen an diese Ports die exakt dieser Anwendung zugeordnet sind...Oder?

Ist dies auch so ohne VPN, sagen wir ein Spiel öffnet Port 1234 dann bleibt dieser von außen geöffnet? (und ist aber nur für dieses Spiel erreichbar sonst wäre es ja eine große Sicherheitslücke, oder? ((wie wird das dann umgesetzt)

 

[DeusoftheWired]

Ja WD hat eigene Zertifikate das sieht man schon bei der Installation der Software auf den externen Rechnern.

Ein richtiges, sauberes VPN ist es wie gesagt nicht. Nicht nur durch die Zertifikate von WD sondern auch den Mittelsmann. Das ganze muß man sich eher als Krücke vorstellen, um Leuten einen einfachen Zugang zu ihrer MyCloud anzubieten, ohne daß sie eine Portweiterleitung einrichten müssen. Ich traue es WD aber zu, daß sie es wenigstens so abgesichert haben, daß z. B. ein Hotspot-Anbieter, über dessen WLAN man mit dem externen Gerät die Verbindung zum WD-Server und schließlich zur MyCloud aufbaut, nicht in diese Verbindung hineinschauen kann.

Gut nun habe ich es verstanden. Per VPN von innen geöffnete Ports bleiben offen und sind in den Routing Tables des NAT gespeichert falls Anfragen von außen kommen an diese Ports die exakt dieser Anwendung zugeordnet sind...Oder?

Soweit ich das bei deren Umsetzung verstanden habe, ja.

Ist dies auch so ohne VPN, sagen wir ein Spiel öffnet Port 1234 dann bleibt dieser von außen geöffnet? (und ist aber nur für dieses Spiel erreichbar sonst wäre es ja eine große Sicherheitslücke, oder? ((wie wird das dann umgesetzt)

Da mußt du erklären, was du mit „Port öffnen“ meinst. Möchte man ein Spiel lokal hosten und mit Freunden aus dem Internet zusammen zocken, dann gibt es einen Prozeß, der auf einem bestimmten Port auf eingehende Verbindungen lauscht (Beispiel Windows-Konsole öffnen und netstat -anb eingeben. Auf eingehende Verbindungen wartend ist alles mit LISTENING, hergestellte Verbindungen mit ESTABLISHED.). Damit die Verbindungen von außen nach innen durchgelassen werden, muß man das entweder selbst im Router erledigen oder dem Router erlauben, vom Spiel per UPnP angefragte Weiterleitungen zuzustellen. Stehen diese Verbindungen einmal, könnte man dem Router UPnP auch wieder verbieten, weil davon ja nur neu aufzubauende Verbindungen betroffen sind, nicht aber die bestehenden.

 

[Garack]

Im Prinzip möchte ich nur wissen ob ein Port wenn von innen von einer bestimmten Anwendung geöffnet wurde alle Möglichen Hacker (Ich formuliere es absichtlich so salopp) durch diesen Port "rein" können.

Ja das ist ein Relay VPN, wie sicher das ist kann ich nicht beurteilen.

Der Rest ist dank Die geklärt!

Vielen Danke für deine Mühe!

 

[DeusoftheWired]

Im Prinzip möchte ich nur wissen ob ein Port wenn von innen von einer bestimmten Anwendung geöffnet wurde alle Möglichen Hacker (Ich formuliere es absichtlich so salopp) durch diesen Port "rein" können.

Klaro. Der Router kann nicht zwischen Hacker und Freund unterscheiden. Damit jemand aber etwas Böses mit dem Zugang anstellen kann, muß auch die Anwendung dahinter für etwas verwundbar sein.

 

[Garack]

ok super danke dir nun weiss ich bescheid!