Toggle sidebar

Einstellungen Firewall "vereinfachen"

A

appel2000

Benutzer
Registriert
05. Aug. 2013
Beiträge
327
Reaktionspunkte
9
Punkte
18
Hallo Zusammen,

ich brauche mal wieder Eure Hilfe....

Die Firewall auf meiner 415+ (DSM 7.1.1) ist aktiviert und scheint auch zu funktionieren.
Allerdings haben die verschiedenen Anwendungen recht viele Einträge hinterlassen, für meinen Geschmack zu viele und vor allem zu unübersichtlich.

Zum Verständis:
Was ich unter "Alle Schnittstellen" einrichte hat, wie der Name schon sagt, Gültigkeit für alle Schnittstellen. Korrekt?
Ich habe nämlich keinen Bedarf an einer Unterscheidung, das würde also passen.

Mein Wunsch:

- unbegrenzer Zugriff von den IPs aus dem Heimnetzwerk
- unbegrenzter Zugriff, wenn ich mich via OpenVPN auf der Diskstation anmelde
- Freigabe der für die jeweiligen Programme/ Apps benötigten Ports (wo sehe ich, welche Ports welche Anwendung nutzt) aus Deutschland (und ausgewählten anderen Ländern)
- und der Rest der Welt soll bitte draussen bleiben.

Wie könnte ich das einstellen und wie habt Ihr das realisiert?

Herzlichen Dank!
 
Die ersten beiden Punkte sind das gleiche, wenn du dich per VPN mit deinem Heimnetzwerk verbindest, bist du ja letztlich im internen Netzwerk, wenn du da nicht ein eigenes getrenntes VLAN für hast.

Hier findest du eine Liste, welche App von Synology welchen Port nutzt.

Ich lasse die Apps ihrer entsprechenden Einträge selber machen, ich bekomme ja jedes Mal eine Benachrichtigung darüber und kann dann immer noch entscheiden, ob ich das für notwendig halte oder nicht. Ansonsten habe ich ganz unten noch eine letzte Einstellung, die alle übrigen Zugriffe, egal, woher sie kommen, verhindert und das entspricht auch der Empfehlung der meisten Profis hier.

Zusätzlich solltest du noch überlegen, eventuell das Skript von @geimist zum herunterladen und blocken ungewünschter IP-Adressen regelmäßig laufen zu lassen: Update_Blocklist
 
  • Like
Reaktionen: appel2000 und *kw*
Danke!

Aber ich dachte, wenn ich mich über VPN verbinde, habe ich eine andere IP als die übliche im Heimnetz.
Siehe Bild.

Oder verwechsle ich da was?

Und wenn ich nun alle Berechtigungen rauswerfe, melden sich die Apps dann wieder, um eine neue (erneute) Freigabe zu erhalten?



Bildschirmfoto 2024-02-03 um 20.08.28.jpg
 
Du stellst mit deinem VPN-Tunnel erstmal nur eine Punkt-zu-Punkt-Verbindung zwischen deinem externen Endgerät und dem Router her. Dem ist die IP deines Endgerätes egal. Der legalisiert ab diesem Punkt nur den Zugriff auf das LAN. Und dort behalten die Geräte ihre IP bei.
 
Ja klar, die einzelne IP Adresse des Gerätes wechselt, aber wenn du eh einen Bereich festlegst, ist das ja egal, solange es der gleiche Bereich ist, der auch dem VPN zu gewiesen ist.

@*kw* so pauschal ist das nicht richtig, bei WireGuard in der FRITZ!Box erhält beispielsweise jede einzelne VPN-Verbindung ihre eigene IP und mit dieser greift auch das verbundene Gerät auf das Netzwerk dahin zu.
 
  • Like
Reaktionen: *kw*
@Monacum: da hast du recht. Ich bezog es eher darauf, wie sich das Endgerät - bildlich gesprochen - verhält.
 
  • Like
Reaktionen: Monacum
Also ich habe bisher gedacht, es läuft wie folgt:

Ich stelle einen VPN-Tunnel vom Endgerät (Client?) zum OpenVPN Server der Diskstation her,
und von diesem Server bekommt der Client dann eine IP zugewiesen im Adressbereich wie oben im Bild dargestellt.
Also von 10.8.0.0 bis 10.8.0.255.
Und dann müsste, nach meinem Verständis, dieser Bereich auch in der Firewall der DS freigegeben werden?!
 
Ja, der muss freigegeben werden. Ich hab jetzt hier nicht alles gelesen. Daher meine Frage: Wieso gibst du den Bereich nicht einfach frei?
 
Damit es nicht zu "Verwirrungen" kommt. Grundsätzlich sollte die VPN-Verbindung über den Router ausgehandelt werden.

Im Beispiel einer FritzBox und einer WireGuard-Verbindung, bekommt jeder Tunnel ("VPN-Account") eine IP aus der lokalen Range, bspw. 192.168.178.88. Die steht auch so im DHCP.
 
Da bin ich bei @*kw* . Grundsätzlich ist es ungünstig, einen File-Server als VPN-Gateway zu missbrauchen
 
plang.pl schrieb:
Ja, der muss freigegeben werden. Ich hab jetzt hier nicht alles gelesen. Daher meine Frage: Wieso gibst du den Bereich nicht einfach frei?
Zum Vergrößern anklicken....

Mache ich, wenn ich muss.
Wollte es nur verstehen

*kw* schrieb:
Damit es nicht zu "Verwirrungen" kommt. Grundsätzlich sollte die VPN-Verbindung über den Router ausgehandelt werden.

Im Beispiel einer FritzBox und einer WireGuard-Verbindung, bekommt jeder Tunnel ("VPN-Account") eine IP aus der lokalen Range, bspw. 192.168.178.88. Die steht auch so im DHCP.
Zum Vergrößern anklicken....
Weil ich derzeit noch nicht vom Mac via Wireguard auf die Fritzbox komme.
MacOS zu alt...:(

Daher den weg über VPN Server der DS.
 
Na jeder Client, der auf die DS will, muss per IP (Range) zugelassen sein. Sonst wird das nix. Du kannst auch den ganzen VPN-Bereich auf der Firewall freigeben.
 
  • Like
Reaktionen: appel2000
Aber nochmal zur Eingangsfrage:

Die Freigaben erstelle ich bei "alle Schnittstellen", korrekt?
Und wenn ich die bestehenden Freigaben nun lösche, fordern die Apps dann wieder neu an?
 
Es gibt nur diese Einstellung in der Firewall, wenn man eine App neu installiert, dass diese eine Freigabe anfordert. Das gilt aber dann m.W. für alle Netzbereiche und nicht für spezifische.
Wenn ich da was lösche, wird das auch nicht neu angefordert. Und ja, i.d.R. "alle Schnittstellen"
 
  • Like
Reaktionen: appel2000
Also ich bin kein Apple-Jüngling, daher vielleicht eine blauäugige Frage: IPSec VPN geht auch nicht, wenn WireGuard schon nicht hinhaut?
 
IPSec ist bei mir vorhanden, weiß aber nicht, ob das bei macOS 11.x schon implementiert war.
 
Ja, dann kuck mal. Is nicht wirklich ein Nachteil zu WireGuard (außer, dass es etwas komplizierter ist).
Gibts da nicht auch so ne App mit dem Namen "Tunnelblick" - was kann die denn?
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten