DSM - VPN Firewall Regeln für Internetverkehr

[rhhamburg]

Hallo,

bei den Firewall Regeln in der DSM gibt es ja die Punkte "Alle Schnittstellen", "LAN", "PPPoE" und "VPN". Ich habe unter dem Punkt "Alle Schnittstellen" alle Ports für "VPN (L2TP/IPsec)" freigegeben.
Im Bereich "LAN" habe ich die Option aktiviert "Wenn keine Regel zutrifft: Zugriff verweigern".

So weit so gut, das VPN funktioniert und ich komme aus dem VPN auch in das Internet.

Wenn ich nun aber im Bereich "VPN" der Firewall Einstellungen auch den Punkt "Wenn keine Regel zutrifft: Zugriff verweigern" aktiviere, kann ich aus dem VPN Netzwerk nicht mehr auf das Internet zugreifen. Obwohl bei "Alle Schnittstellen" die VPN Ports freigegeben sind. Ich kann in dem "VPN" Bereich sogar eine Regel erstellen und alle Ports freigeben. Trotzdem komme ich nicht mehr in das Internet. Erst wenn ich "Wenn keine Regel zutrifft: Zugriff erlauben" aktiviere, komme ich aus dem VPN Netzwerk auch wieder in das Internet.

Bei den Einstellungen für das "LAN" hat alles super funktioniert. Wieso gibt es hier bei dem "VPN" Bereich diesen Sonderfall? Ist das ein Fehler oder ein gewolltes Verhalten?

Vielen Dank für eure Hilfe
Robert

 

[hg1978]

Ich hab das gleiche Problem. Kann es wirklich sein, das ich bei der Schnittstelle VPN "Zugriff erlauben" einstellen muss? Die Einzelfreigabe der Ports HTTP(S) Ports und VPN Ports + Zugriff verweigern führt dazu das ich auch nicht mehr über meine Synology ins Internet komme. Any help?

 

[Basti26]

Hi Ich hab das gleiche Problem. Kann wer da Helfen ???

 

[NSFH]

Erst mal solltet ihr Kund tun, welche Art von VPN ihr nutzt. Das erfordert je nach Typ unterschiedliche/zusätzliche Ports.
Ausserdem würde ich empfehlen im Router die dann benötigten Ports nur auf die DS weiter zu leiten und für den Rest des Netzes sperren.

 

[Basti26]

Hi ja Sorry .... Hab OpenVPN am Laufen. Ich hab jetzt mal meine Firewall VPN Rule etwas umgestellt unten "Alles Zugelassen" an und 1x Regel alles auf Verweigern und komisch da gehts. ????

 

[NSFH]

VPN <> VPN. Was nutzt du? L2TP oder IPSEC???
Wenn du die Fw unten auf alles zulassen stellst kannst du sie auch auschalten.

 

[Basti26]

Was nutzt du? OPENVPN


Firewall VPN Rule etwas umgestellt unten "Alles Zugelassen" an und 1x Regel alles auf Verweigern

komisch da gehts

 

[NSFH]

Wenn du mit deinen Infos so geizt musst du wohl alleine klar kommen.
OpenVPN unterstützt unterschiedliche Verfahren. Da du nicht bekannt gibst welches du nutzt lies dich bitte selber schlau:
https://www.wintotal.de/tipp/welche...en-vpn-server-unter-windows-geoeffnet-werden/
Dein Screenshot ist sinnlos, da du unter Punkt2 ein Sammelsurium an Freigaben eingetragen hast. Wie soll man wissen was du da alles drin stehen hast?
Zudem steht in der Firewallregel ganz unten: Wenn keine Regel zutrifft alles erlauben. Super, schalte sie doch besser ganz aus. Heisst aber auch, dass du unter Punkt 2 OpenVPN gar nicht erfasst hast.
Wenn ich dann mal irgendwann Kaffeesatz lesen kann helfe ich gerne weiter!

 

[Basti26]

Erstmal Danke für die Hilfe. Mal ne Frage an dich.. Hast du schonmal was mit OPENVPN zu tun gehabt??? OpenVPN unterstützt unterschiedliche Verfahren ???
Unterstützt OpenVPN IPSec oder PPTP???
Es gibt drei große Familien von VPN-Implementierungen in breitem Einsatz heute: SSL, IPSec und PPTP. OpenVPN ist ein SSL VPN und ist daher nicht mit IPSec, L2TP oder PPTP
kompatibel. siehe Link https://openvpn.net/index.php/component/content/article/55.html

"Dein Screenshot ist sinnlos, da du unter Punkt2 ein Sammelsurium an Freigaben eingetragen hast. Wie soll man wissen was du da alles drin stehen hast?
Zudem steht in der Firewallregel ganz unten: Wenn keine Regel zutrifft alles erlauben. Super, schalte sie doch besser ganz aus. Heisst aber auch, dass du unter Punkt 2 OpenVPN gar nicht erfasst hast.
Wenn ich dann mal irgendwann Kaffeesatz lesen kann helfe ich gerne weiter! "

Lies mal bitte die Beiträge von oben nach unten in Ruhe durch.

 

[NSFH]

.........
Lies mal bitte die Beiträge von oben nach unten in Ruhe durch.

Nö!
Solange nicht alle Details der Einstellungen in der Fw offen gelegt sind ist das Kaffeesatz lesen, denn irgendwas fehlt ja definitiv.

 

[Frogman]

Mal ne Frage an dich.. Hast du schonmal was mit OPENVPN zu tun gehabt??? OpenVPN unterstützt unterschiedliche Verfahren ??? Unterstützt OpenVPN IPSec oder PPTP???

Hast Du schon mal? Ist Dir bewußt, dass OpenVPN - im Gegensatz zu den anderen - bspw. über UDP oder TCP arbeiten kann, über definierbare Ports, dazu auch den Ciphre-Algorithmus für Tunnel und Metadaten?

 

[MMD*]

Und ob es ein SSL VPN ist daruber konnte man auch diskutieren...

 

[blurrrr]

Was hat denn bitte die VPN-Art mit dem Firewall-Problem zu tun, ausser erstmal nix, weil die VPN-Verbindung doch zustande kommt und erst nach der Fummelei an der Firewall ging das gewünschte nicht mehr...

@basti: das mit dem "PPTP" vergessen wir bitte mal ganz schnell wieder, dass ist nämlich schon seit spät. 2012 obsolet. Also im Eigeninteresse: Finger weg!

Zur Problematik: Da das VPN an sich funktioniert und das Routing ja wohl soweit auch anscheinend und erst nach der Fummel an der Firewall die Probleme auftreten, würde ich schlichtweg mal vorschlagen einen entsprechenden Firewall-Reset zu machen und "klein" anzufangen (Haken setzen kann ja jeder ), also step-by-step:

@LAN (sofern nix anderes als VPN nach aussen offen)
1: LAN -> ANY -> ALLOW (anti-lock-out)
2: ANY -> VPN-Art -> ALLOW (<- ggf. auch nur aus Deutschland, oder wie auch immer ("Deutschland(Länderliste!)->VPN-Protokoll->ALLOW")
3: ANY -> ANY -> DENY

@VPN
1: VPN-Netz -> ANY -> ANY
2: ANY -> ANY -> DENY

Denke, wenn es heisst "das Internet funktioniert nicht mehr", werden vermutlich Webseiten angesprochen ("VPN-Netz -> 80+443 -> ANY", oder entsprechend andere Ports bei Sonderwünschen).

 

[NSFH]

Was hat denn bitte die VPN-Art mit dem Firewall-Problem zu tun, ausser erstmal nix, weil die VPN-Verbindung doch zustande kommt und erst nach der Fummelei an der Firewall ging das gewünschte nicht mehr...
..................

Wir haben uns hier gerade gekringelt vor Lachen über diesen Satz.
Solltest du vielleicht nochmals drüber nachdenken

 

[blurrrr]

Wir haben uns hier gerade gekringelt vor Lachen über diesen Satz.
Solltest du vielleicht nochmals drüber nachdenken

Hauptsache mal was gesagt?! (in diesem Zusammenhang muss ich immer an "Exhibitchee" denken )
Vielleicht tragt "ihr" (immerhin seid ihr dann ja wohl 2+ Köpfe) ja mal was vernünftiges zum Thema bei ?

 

[goetz]

Hallo,
@blurrrr
bitte keine Vollzitate und besonders nicht wenn Du direkt antwortest.
Danke.

Gruß Götz

 

[NSFH]

Wer solche Statements wie du in dem oberen Post vertritt kann wohl schwerlich beurteilen, was hier ein "vernünftiger" Beitrag ist und was nicht.......
Dieses offtopic Thema ist damit für mich durch, darfst jetzt ganz alleine weiter meckern.