ComputerBase Menü
Aktuelles

Wie HeimNAS absichern?

Stimmt, den Pre-Shraed-Key kannst du nicht anpassen. Dafür hat aber der Benutzer sein eigenes Passwort. Dies muss ich immer zu Verbindungsaufbau eigeben.

Verändern kannst du den Benutzer unter System ->Fritz!Box-Benutzer.
Allerdings nur Benutzername, Passwort und Rechte.

Ist eine Frage des Komforts, aber das ist jemdem selbst überlassen.
Hauptsache es funktioniert :)
 
Und sonst sind deine Einstellungen in Shrew identisch zu meinen Einstellungen, egal ob ich die cfg in Fritzbox einspiele oder einen Benutzer anlege mit VPN-Berechtigung?

Genau, hauptsache es funktioniert nun :-) Nochmals vielen Dank für die Hilfestellungen an euch beiden.
 
Die Einstellungen müssten nahezu identisch sein.
Ich habe meine Config ja weiter oben angehängt.
 
Okey, dann probiere ich mal spaßeshalber nochmal aus, ob ich mein VP geht, wenn ich den Benutzer in der Fritzbox manuell anlege, statt über .cfg.

Ich habe heute mal auch ausprobiert, ob ich vom Geschäfts mit nach Hause verbinden kann. Evtl. sind hier paar Sachen nach außen gesperrt bzw. gefiltert:
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
ipcomp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon
Zum Vergrößern anklicken....

Das Internet geht aber ganz normal innerhalb der Firma
 
negotiation timout occurred
Zum Vergrößern anklicken....
Das sagt aus, dass du einen Timeout zu dir nach Hause bekommen hast.
Woran das liegt, kann ich dir nicht auf die schnelle sagen.

Es kann sein, dass
- bei deinem Dyn-DNS-Anbieter die falsche IP hinterlegt ist/war
- dein Firmennetzwerk VPN gesperrt hat/ nicht erlaubt
.....

Kannst du deine Fritzbox von der Firma aus anpingen?

VPN ist auch nicht gleich Internet. ;)
Für Internet (surfen) brauchst du nur die Ports 80 und 443. Dein VPN nutzt ganz andere Ports.
Wenn du dein VPN nach Hause zwingen in der Firma brauchst, dann sprich das bitte mit deiner IT-Abteilung ab.
Sie können dir dann auch vor Ort den entsprechenden Support geben. :)
 
Mit Windows 7 kann man "ping" ja nicht auf ein Port legen. Meine Fritzbox-Oberfläche (Port 80) ist ja zu. Ich werde es heute mal öffnen und am Montag bei der Arbeit nochmals testen.

Mit telnet habe ich es auch versucht. Also "telnet domain.de 500". Da kommt dann ein Verbindungsfehler. Ich hatte aber vor ca. einem Jahr mal mit meiner älteren Fritzbox (7390) die Weboberfläche offen gehabt. Die konnte ich ganz normal erreichen. Wobei ja bestimmte Ports von meinem Arbeitgeber sicherlich gesperrt sind, wo die 500 dazu gehört :-)

Ich warte mal ab bis Montag :-) Die letzte Keule wäre dann IT-Support der Firma.
 
*Edit

Die erste Frage hat sich erledigt. Ich habe deine Config benutzt. Nun geht auch der Benutzer, den ich manuell in der Fritzbox angelegt habe auch in Shrew mit zusätzlicher Passwortabfrage des Benutzer. Nachteil halt, dass man den "Pre Shared Key" nicht ändern kann und der default von Fritzbox etwas kurz ist.

Folgende Deltas sind in der Config zwischen meinem und deinem aufgefallen. Nämlich folgende:

Code: 
n:client-dns-used:1    \\ich habe 0
n:client-splitdns-used:0   \\ich habe 1
n:client-splitdns-auto:0    \\ich habe 1
n:client-wins-used:1     \\ich habe 0
n:phase1-life-secs:86400   \\ich habe 3600 (ich glaube 3600 sollte besser sein)
n:policy-list-auto:1    \\ich habe 0
n:phase1-keylen:0     \\ich habe 256
s:network-natt-mode:force-rfc    \\ich habe enable
s:network-frag-mode:disable     \\ich habe enable
s:auth-method:mutual-psk-xauth   \\ich habe mutual-psk
s:ident-client-type:keyid    \\ich habe ufqdn
s:phase1-cipher:auto    \\ich habe aes
s:phase1-hash:auto    \\sha1
s:phase2-transform:auto \\esp-aes
s:phase2-hmac:auto      \sha1
s:ipcomp-transform:disabled    \deflate
n:phase2-pfsgroup:0     \\2
s:policy-level:require   \\auto

Dafür habe ich noch folgendes:
Code: 
s:policy-list-include:192.168.178.0 / 255.255.255.0


Ich habe heute in der fritzbox eine Portweiterleitung gemacht, von Port 23456 auf die interne IP des QNAPS 192.168.178.35:443. Damit konnte ich von der Arbeit über den Browser auf die Weboberfläche des QNAP zugreifen :-) also Domain funktioniert gut. Bevor ich auf den IT-Support zugehe, will ich mal einen anderen Port probieren, vielleicht ist der 500'er gesperrt.

Was für ein Port würdet ihr mit empfehlen?

ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
"udp 0.0.0.0:4500 0.0.0.0:4500";
Zum Vergrößern anklicken....

Das ganze kann ich halt leider nur per CFG in die Fritzbox laden, damit er evtl. einen anderen Port nimmt. Sprich, ich kann keinen manuellen Benutzer anlegen, damit er mich nach einem Passwort fragen tut.
 
Zuletzt bearbeitet:
Das kommt darauf an. Es gibt quasi 2 Varianten.

1) Security by obscurity. Wähle einen beliebigen Port in einer möglichst unbevölkerten Region (zB jenseits 20000). Klassische Portscans von Hacker klappern in der Regel nur Standardports ab. Liegt der Port komplett woanders, wird er mit Glück nicht gefunden. So als wenn der Einbrecher am Haus überhaupt keine Türen und Fenster findet :-)

2) Umgehung von Portblocks. Wenn man zB von einem Hotelnetz aus den VPN-Tunnel aufbauen will, besteht die Gefahr, dass dort zB bis auf Port 80/443 alles geblockt ist (surfen only). Um das zu vermeiden kann man das VPN zB auf Port 443 legen. Es ist beliebig unwahrscheinlich, dass man jemals in einen Portblock auf diesen Ports rennt. Gibt noch ein paar andere Ports, die sich dazu anbieten, aber 443 ist https und somit in gefühlt jedem Netz freigegeben..

Da ich zB viel unterwegs bin, läuft mein VPN mit Variante 2.
 
Hi Rajin,

danke für die schnelle Antwort. Hab noch oben meinen vorherigen Thread angepasst. In der Zeit warst du schneller. Ist es kein Problem, wenn auf demselben Port (443) zwei Sachen laufen? Sprich, einmal VPN, und einmal die Weboberfläche von QNAP?

Was hast du als NATT-Port genommen?

Code: 
ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",\\ändern in 443
"udp 0.0.0.0:4500 0.0.0.0:4500"; \\??
 
Guten Morgen,

die Unterscheide von meiner config zu deiner sind, dass ich oft einfach nur "auto" als Modus angegeben habe und auch meinen kompletten Datenverkehr über VPN route. :)
Zudem habe ich noch einige Sonderkonstellation wegen Kabelinternet.


Ist es kein Problem, wenn auf demselben Port (443) zwei Sachen laufen? Sprich, einmal VPN, und einmal die Weboberfläche von QNAP?
Zum Vergrößern anklicken....
Ja, wenn beide Anwendungen auf der Internet-Seite der Fritzbox den selben Port benutzen.
Intern, innerhalb des Fritzbox-Netzwerks ist das egal.


Ich weis nicht, ob du in der Fritzbox die Ports einfach so ändern kannst. Zumindest ist mir nichts bekannt. :(
Das müsste ich heute Abend mal ausprobieren.
 
die Unterscheide von meiner config zu deiner sind, dass ich oft einfach nur "auto" als Modus angegeben habe und auch meinen kompletten Datenverkehr über VPN route.
Zudem habe ich noch einige Sonderkonstellation wegen Kabelinternet.
Zum Vergrößern anklicken....

Danke. Welche stellschraube muss ich verstellen noch an deiner Config verstellen, damit das Internet nicht über VPN läuft? Bzw. ich nur das interne Heimnetz, bzw. IP-Bereich zusätzlich sehe. Rest soll unverändert bleiben.

Deine Sonderkonstellation bzgl. KabelInternet kann ich sicherlich so lassen
 
Das musst du in der Policy einstellen. Anstelle von "tunnel all" musst du als Policy Level "shared" eingeben und dann unten dein Netzwerkadresse + Subnetzmaske hinzufügen.
 
Danke. Werde ich auch probieren. Ich habe zudem folgendes probiert und die Ports auf 22223 und 22224 gelegt:

Code: 
                [..]
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.178.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipaddr = 192.168.178.203;
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = 
                             "permit ip 192.168.178.0 255.255.255.0 192.168.178.203 255.255.255.255";
        }
        ike_forward_rules = "udp 0.0.0.0:22223 0.0.0.0:22223", 
                            "udp 0.0.0.0:22224 0.0.0.0:22224";

Geht wohl nicht mit der Fritzbox
 
Ich wollte mich nochmals bei euch beiden endgültig bedanken und den Thread als erledigt bzw. als hervorrragend markieren :-)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News KI soll die KI kontrollieren: Wie Google die Agenten im Chrome-Browser absichern will
3 4 5
Antworten
81
Aufrufe
4.748
PhilAd
P
L
Reverse Proxy - welcher und wie absichern?
Antworten
12
Aufrufe
1.182
Avenger84
Avenger84
memme
Outdoor LAN Anschlüsse (Kamera, AP) absichern, nur wie?
2 3
Antworten
47
Aufrufe
2.280
norKoeri
N
L
TP-Link-Router absichern
Antworten
14
Aufrufe
1.151
LRE
L
M
Windows 11 nach Installation absichern
Antworten
18
Aufrufe
2.256
1lluminate23
1lluminate23
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz