Einstellungen Firewall "vereinfachen"

[appel2000]

Hallo Zusammen,

ich brauche mal wieder Eure Hilfe....

Die Firewall auf meiner 415+ (DSM 7.1.1) ist aktiviert und scheint auch zu funktionieren.
Allerdings haben die verschiedenen Anwendungen recht viele Einträge hinterlassen, für meinen Geschmack zu viele und vor allem zu unübersichtlich.

Zum Verständis:
Was ich unter "Alle Schnittstellen" einrichte hat, wie der Name schon sagt, Gültigkeit für alle Schnittstellen. Korrekt?
Ich habe nämlich keinen Bedarf an einer Unterscheidung, das würde also passen.

Mein Wunsch:

- unbegrenzer Zugriff von den IPs aus dem Heimnetzwerk
- unbegrenzter Zugriff, wenn ich mich via OpenVPN auf der Diskstation anmelde
- Freigabe der für die jeweiligen Programme/ Apps benötigten Ports (wo sehe ich, welche Ports welche Anwendung nutzt) aus Deutschland (und ausgewählten anderen Ländern)
- und der Rest der Welt soll bitte draussen bleiben.

Wie könnte ich das einstellen und wie habt Ihr das realisiert?

Herzlichen Dank!

 

[Monacum]

Die ersten beiden Punkte sind das gleiche, wenn du dich per VPN mit deinem Heimnetzwerk verbindest, bist du ja letztlich im internen Netzwerk, wenn du da nicht ein eigenes getrenntes VLAN für hast.

Hier findest du eine Liste, welche App von Synology welchen Port nutzt.

Ich lasse die Apps ihrer entsprechenden Einträge selber machen, ich bekomme ja jedes Mal eine Benachrichtigung darüber und kann dann immer noch entscheiden, ob ich das für notwendig halte oder nicht. Ansonsten habe ich ganz unten noch eine letzte Einstellung, die alle übrigen Zugriffe, egal, woher sie kommen, verhindert und das entspricht auch der Empfehlung der meisten Profis hier.

Zusätzlich solltest du noch überlegen, eventuell das Skript von @geimist zum herunterladen und blocken ungewünschter IP-Adressen regelmäßig laufen zu lassen: Update_Blocklist

 

[appel2000]

Danke!

Aber ich dachte, wenn ich mich über VPN verbinde, habe ich eine andere IP als die übliche im Heimnetz.
Siehe Bild.

Oder verwechsle ich da was?

Und wenn ich nun alle Berechtigungen rauswerfe, melden sich die Apps dann wieder, um eine neue (erneute) Freigabe zu erhalten?

 

[*kw*]

Du stellst mit deinem VPN-Tunnel erstmal nur eine Punkt-zu-Punkt-Verbindung zwischen deinem externen Endgerät und dem Router her. Dem ist die IP deines Endgerätes egal. Der legalisiert ab diesem Punkt nur den Zugriff auf das LAN. Und dort behalten die Geräte ihre IP bei.

 

[Monacum]

Ja klar, die einzelne IP Adresse des Gerätes wechselt, aber wenn du eh einen Bereich festlegst, ist das ja egal, solange es der gleiche Bereich ist, der auch dem VPN zu gewiesen ist.

@*kw* so pauschal ist das nicht richtig, bei WireGuard in der FRITZ!Box erhält beispielsweise jede einzelne VPN-Verbindung ihre eigene IP und mit dieser greift auch das verbundene Gerät auf das Netzwerk dahin zu.

 

[*kw*]

@Monacum: da hast du recht. Ich bezog es eher darauf, wie sich das Endgerät - bildlich gesprochen - verhält.

 

[appel2000]

Also ich habe bisher gedacht, es läuft wie folgt:

Ich stelle einen VPN-Tunnel vom Endgerät (Client?) zum OpenVPN Server der Diskstation her,
und von diesem Server bekommt der Client dann eine IP zugewiesen im Adressbereich wie oben im Bild dargestellt.
Also von 10.8.0.0 bis 10.8.0.255.
Und dann müsste, nach meinem Verständis, dieser Bereich auch in der Firewall der DS freigegeben werden?!

 

[plang.pl]

Ja, der muss freigegeben werden. Ich hab jetzt hier nicht alles gelesen. Daher meine Frage: Wieso gibst du den Bereich nicht einfach frei?

 

[*kw*]

Damit es nicht zu "Verwirrungen" kommt. Grundsätzlich sollte die VPN-Verbindung über den Router ausgehandelt werden.

Im Beispiel einer FritzBox und einer WireGuard-Verbindung, bekommt jeder Tunnel ("VPN-Account") eine IP aus der lokalen Range, bspw. 192.168.178.88. Die steht auch so im DHCP.

 

[plang.pl]

Da bin ich bei @*kw* . Grundsätzlich ist es ungünstig, einen File-Server als VPN-Gateway zu missbrauchen

 

[appel2000]

Ja, der muss freigegeben werden. Ich hab jetzt hier nicht alles gelesen. Daher meine Frage: Wieso gibst du den Bereich nicht einfach frei?

Mache ich, wenn ich muss.
Wollte es nur verstehen

Damit es nicht zu "Verwirrungen" kommt. Grundsätzlich sollte die VPN-Verbindung über den Router ausgehandelt werden.

Im Beispiel einer FritzBox und einer WireGuard-Verbindung, bekommt jeder Tunnel ("VPN-Account") eine IP aus der lokalen Range, bspw. 192.168.178.88. Die steht auch so im DHCP.

Weil ich derzeit noch nicht vom Mac via Wireguard auf die Fritzbox komme.
MacOS zu alt...

Daher den weg über VPN Server der DS.

 

[plang.pl]

Na jeder Client, der auf die DS will, muss per IP (Range) zugelassen sein. Sonst wird das nix. Du kannst auch den ganzen VPN-Bereich auf der Firewall freigeben.

 

[appel2000]

Aber nochmal zur Eingangsfrage:

Die Freigaben erstelle ich bei "alle Schnittstellen", korrekt?
Und wenn ich die bestehenden Freigaben nun lösche, fordern die Apps dann wieder neu an?

 

[*kw*]

Du musst es ja auch nicht über macOS direkt machen (Netzwerkeinstellungen). Hierfür gibt's doch eine App.

https://apps.apple.com/us/app/wireguard/id1451685025?ls=1&mt=12

 

[plang.pl]

Es gibt nur diese Einstellung in der Firewall, wenn man eine App neu installiert, dass diese eine Freigabe anfordert. Das gilt aber dann m.W. für alle Netzbereiche und nicht für spezifische.
Wenn ich da was lösche, wird das auch nicht neu angefordert. Und ja, i.d.R. "alle Schnittstellen"

 

[appel2000]

Du musst es ja auch nicht über macOS direkt machen (Netzwerkeinstellungen). Hierfür gibt's doch eine App.

https://apps.apple.com/us/app/wireguard/id1451685025?ls=1&mt=12

Würde ich gerne.
Die App gibts ab MacOS 12, ich habe aber nur 11.7....und meine Hardware ist zu alt für ein Update

 

[plang.pl]

Also ich bin kein Apple-Jüngling, daher vielleicht eine blauäugige Frage: IPSec VPN geht auch nicht, wenn WireGuard schon nicht hinhaut?

 

[*kw*]

IPSec ist bei mir vorhanden, weiß aber nicht, ob das bei macOS 11.x schon implementiert war.

 

[appel2000]

Das könnte ich mir mal anschauen, ja....

 

[plang.pl]

Ja, dann kuck mal. Is nicht wirklich ein Nachteil zu WireGuard (außer, dass es etwas komplizierter ist).
Gibts da nicht auch so ne App mit dem Namen "Tunnelblick" - was kann die denn?