DSM - VPN Firewall Regeln für Internetverkehr

Status
Für weitere Antworten geschlossen.

rhhamburg

Benutzer
Mitglied seit
16. Jan 2017
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo,

bei den Firewall Regeln in der DSM gibt es ja die Punkte "Alle Schnittstellen", "LAN", "PPPoE" und "VPN". Ich habe unter dem Punkt "Alle Schnittstellen" alle Ports für "VPN (L2TP/IPsec)" freigegeben.
Im Bereich "LAN" habe ich die Option aktiviert "Wenn keine Regel zutrifft: Zugriff verweigern".

So weit so gut, das VPN funktioniert und ich komme aus dem VPN auch in das Internet.

Wenn ich nun aber im Bereich "VPN" der Firewall Einstellungen auch den Punkt "Wenn keine Regel zutrifft: Zugriff verweigern" aktiviere, kann ich aus dem VPN Netzwerk nicht mehr auf das Internet zugreifen. Obwohl bei "Alle Schnittstellen" die VPN Ports freigegeben sind. Ich kann in dem "VPN" Bereich sogar eine Regel erstellen und alle Ports freigeben. Trotzdem komme ich nicht mehr in das Internet. Erst wenn ich "Wenn keine Regel zutrifft: Zugriff erlauben" aktiviere, komme ich aus dem VPN Netzwerk auch wieder in das Internet.

Bei den Einstellungen für das "LAN" hat alles super funktioniert. Wieso gibt es hier bei dem "VPN" Bereich diesen Sonderfall? Ist das ein Fehler oder ein gewolltes Verhalten?

Vielen Dank für eure Hilfe
Robert
 

hg1978

Benutzer
Mitglied seit
11. Feb 2017
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Ich hab das gleiche Problem. Kann es wirklich sein, das ich bei der Schnittstelle VPN "Zugriff erlauben" einstellen muss? Die Einzelfreigabe der Ports HTTP(S) Ports und VPN Ports + Zugriff verweigern führt dazu das ich auch nicht mehr über meine Synology ins Internet komme. Any help?
 

Basti26

Benutzer
Mitglied seit
07. Jun 2017
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hi Ich hab das gleiche Problem. Kann wer da Helfen ???
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
Erst mal solltet ihr Kund tun, welche Art von VPN ihr nutzt. Das erfordert je nach Typ unterschiedliche/zusätzliche Ports.
Ausserdem würde ich empfehlen im Router die dann benötigten Ports nur auf die DS weiter zu leiten und für den Rest des Netzes sperren.
 

Basti26

Benutzer
Mitglied seit
07. Jun 2017
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hi ja Sorry .... Hab OpenVPN am Laufen. Ich hab jetzt mal meine Firewall VPN Rule etwas umgestellt unten "Alles Zugelassen" an und 1x Regel alles auf Verweigern und komisch da gehts. ????
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
VPN <> VPN. Was nutzt du? L2TP oder IPSEC???
Wenn du die Fw unten auf alles zulassen stellst kannst du sie auch auschalten.
 

Basti26

Benutzer
Mitglied seit
07. Jun 2017
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Was nutzt du? OPENVPN
vpn.jpg

Firewall VPN Rule etwas umgestellt unten "Alles Zugelassen" an und 1x Regel alles auf Verweigern
vpn.fw.jpg
komisch da gehts
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
Wenn du mit deinen Infos so geizt musst du wohl alleine klar kommen.
OpenVPN unterstützt unterschiedliche Verfahren. Da du nicht bekannt gibst welches du nutzt lies dich bitte selber schlau:
https://www.wintotal.de/tipp/welche...en-vpn-server-unter-windows-geoeffnet-werden/
Dein Screenshot ist sinnlos, da du unter Punkt2 ein Sammelsurium an Freigaben eingetragen hast. Wie soll man wissen was du da alles drin stehen hast?
Zudem steht in der Firewallregel ganz unten: Wenn keine Regel zutrifft alles erlauben. Super, schalte sie doch besser ganz aus. Heisst aber auch, dass du unter Punkt 2 OpenVPN gar nicht erfasst hast.
Wenn ich dann mal irgendwann Kaffeesatz lesen kann helfe ich gerne weiter!
 

Basti26

Benutzer
Mitglied seit
07. Jun 2017
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Erstmal Danke für die Hilfe. Mal ne Frage an dich.. Hast du schonmal was mit OPENVPN zu tun gehabt??? OpenVPN unterstützt unterschiedliche Verfahren ???
Unterstützt OpenVPN IPSec oder PPTP???
Es gibt drei große Familien von VPN-Implementierungen in breitem Einsatz heute: SSL, IPSec und PPTP. OpenVPN ist ein SSL VPN und ist daher nicht mit IPSec, L2TP oder PPTP
kompatibel. siehe Link https://openvpn.net/index.php/component/content/article/55.html

"Dein Screenshot ist sinnlos, da du unter Punkt2 ein Sammelsurium an Freigaben eingetragen hast. Wie soll man wissen was du da alles drin stehen hast?
Zudem steht in der Firewallregel ganz unten: Wenn keine Regel zutrifft alles erlauben. Super, schalte sie doch besser ganz aus. Heisst aber auch, dass du unter Punkt 2 OpenVPN gar nicht erfasst hast.
Wenn ich dann mal irgendwann Kaffeesatz lesen kann helfe ich gerne weiter! "

Lies mal bitte die Beiträge von oben nach unten in Ruhe durch.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
.........
Lies mal bitte die Beiträge von oben nach unten in Ruhe durch.
Nö!
Solange nicht alle Details der Einstellungen in der Fw offen gelegt sind ist das Kaffeesatz lesen, denn irgendwas fehlt ja definitiv.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Mal ne Frage an dich.. Hast du schonmal was mit OPENVPN zu tun gehabt??? OpenVPN unterstützt unterschiedliche Verfahren ??? Unterstützt OpenVPN IPSec oder PPTP???
Hast Du schon mal? Ist Dir bewußt, dass OpenVPN - im Gegensatz zu den anderen - bspw. über UDP oder TCP arbeiten kann, über definierbare Ports, dazu auch den Ciphre-Algorithmus für Tunnel und Metadaten?
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24
Und ob es ein SSL VPN ist daruber konnte man auch diskutieren... :)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Was hat denn bitte die VPN-Art mit dem Firewall-Problem zu tun, ausser erstmal nix, weil die VPN-Verbindung doch zustande kommt und erst nach der Fummelei an der Firewall ging das gewünschte nicht mehr...

@basti: das mit dem "PPTP" vergessen wir bitte mal ganz schnell wieder, dass ist nämlich schon seit spät. 2012 obsolet. Also im Eigeninteresse: Finger weg! ;)

Zur Problematik: Da das VPN an sich funktioniert und das Routing ja wohl soweit auch anscheinend und erst nach der Fummel an der Firewall die Probleme auftreten, würde ich schlichtweg mal vorschlagen einen entsprechenden Firewall-Reset zu machen und "klein" anzufangen (Haken setzen kann ja jeder :p), also step-by-step:

@LAN (sofern nix anderes als VPN nach aussen offen)
1: LAN -> ANY -> ALLOW (anti-lock-out)
2: ANY -> VPN-Art -> ALLOW (<- ggf. auch nur aus Deutschland, oder wie auch immer ("Deutschland(Länderliste!)->VPN-Protokoll->ALLOW")
3: ANY -> ANY -> DENY

@VPN
1: VPN-Netz -> ANY -> ANY
2: ANY -> ANY -> DENY

Denke, wenn es heisst "das Internet funktioniert nicht mehr", werden vermutlich Webseiten angesprochen ("VPN-Netz -> 80+443 -> ANY", oder entsprechend andere Ports bei Sonderwünschen).
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
Was hat denn bitte die VPN-Art mit dem Firewall-Problem zu tun, ausser erstmal nix, weil die VPN-Verbindung doch zustande kommt und erst nach der Fummelei an der Firewall ging das gewünschte nicht mehr...
..................
Wir haben uns hier gerade gekringelt vor Lachen über diesen Satz.
Solltest du vielleicht nochmals drüber nachdenken ;)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wir haben uns hier gerade gekringelt vor Lachen über diesen Satz.
Solltest du vielleicht nochmals drüber nachdenken ;)

Hauptsache mal was gesagt?! (in diesem Zusammenhang muss ich immer an "Exhibitchee" denken ;))
Vielleicht tragt "ihr" (immerhin seid ihr dann ja wohl 2+ Köpfe) ja mal was vernünftiges zum Thema bei ?
 
  • Like
Reaktionen: Berti1

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.158
Punkte für Reaktionen
405
Punkte
393
Hallo,
@blurrrr
bitte keine Vollzitate und besonders nicht wenn Du direkt antwortest.
Danke.

Gruß Götz
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.077
Punkte für Reaktionen
561
Punkte
194
Wer solche Statements wie du in dem oberen Post vertritt kann wohl schwerlich beurteilen, was hier ein "vernünftiger" Beitrag ist und was nicht.......
Dieses offtopic Thema ist damit für mich durch, darfst jetzt ganz alleine weiter meckern.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat