Empfehlung für sichere Einstellung der Firewall für VPN Zugang

forus

Benutzer
Mitglied seit
24. Dez 2017
Beiträge
41
Punkte für Reaktionen
2
Punkte
8
Hallo,

ich möchte zukünftig nur noch über den OpenVPN Zugang der Synology von außen (Internet) auf diese zugreifen.
Jetzt suche ich die optimale Einstellung für die Firewall. Hatte dabei an folgende Regeln gedacht:

Regel 1:
- alle Ports zulassen
- IP Bereich auf das lokale Netz beschränken z.B.192.168.0.1 bis 192.168.0.255

Regel: 2
- Port 1194 für die OpenVPN Zugang freigeben
- IP Bereich alles freigeben (oder ggf. auf Deutschland begrenzen)

Ich hatte beim ersten Gedanken in der Regel 1 noch Ports für verschiedenen Anwendungen spezifiziert, dacht dann aber das es nicht notwendig ist weil das ja nur intern abläuft.

Das müsst doch eigentlich ok sein, oder habe ich da einen Gedankenfehler drin?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Du brauchst keine Regel 2 weil du mit Regel 1 eine Portanfrage schon erlaubt hast. Regel 2 wird gar nicht mehr abgefragt.
Vielleicht solltest du dich erst mal damit beschäftigen, wie ein Firewall prinzipiell funktioniert!
 
  • Like
Reaktionen: RichardB

forus

Benutzer
Mitglied seit
24. Dez 2017
Beiträge
41
Punkte für Reaktionen
2
Punkte
8
Verstehe ich jetzt nicht ganz. Die Ports bei Regel 1 gelten ja nur für den internen IP Bereich. Ich habe das vielleicht etwas unklar ausgedrückt.
Wenn von außen (Regel 2) zugegriffen wird geht es eben nur über die VPN mit dem entsprechenden Port.

1614102012098.png
 

Anhänge

  • 1614101858069.png
    1614101858069.png
    7,7 KB · Aufrufe: 3
Zuletzt bearbeitet von einem Moderator:

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Mal von deiner eigentlichen Frage abgesehen...
Soll in der Quell IP Zone der Adressbereich wirklich so sein, wie im Screenshot?? Also 192.168.0.1 bis 192.168.1.255??
Dann solltest du auch bedenken, dass heute die meisten Angriffe von innen kommen (Schadsoftware auf einem Client im eigenen Netz). Also vielleicht doch nur die ports freigeben, die wirklich nötig sind.
Und schließlich kannst du auch einstellen, dass alles verboten ist, wofür keine explizite erlaubt-Regel besteht.
Davon ab: @NSFH hat durchaus recht, denn du erlaubt oben ja auch alles INKLUSIVE Port für udp für ALLE Schnittstellen. Du kannst im Fenster oben rechts aber auch die einzelnen Schnittstellen (lan1, vpn, usw) einzeln anwählen und dann dort die für eben diese Schnittstelle geltende Regel einrichten.
Jetzt klarer geworden?
;)
 

forus

Benutzer
Mitglied seit
24. Dez 2017
Beiträge
41
Punkte für Reaktionen
2
Punkte
8
Soll in der Quell IP Zone der Adressbereich wirklich so sein, wie im Screenshot?? Also 192.168.0.1 bis 192.168.1.255??
Dann solltest du auch bedenken, dass heute die meisten Angriffe von innen kommen (Schadsoftware auf einem Client im eigenen Netz). Also vielleicht doch nur die ports freigeben, die wirklich nötig sind.

ok, das überlege ich mir dann noch einmal.

Davon ab: @NSFH hat durchaus recht, denn du erlaubt oben ja auch alles INKLUSIVE Port für udp für ALLE Schnittstellen.

Das habe ich jetzt noch einmal getestet. Ich kann von außen über die VPN aber nur zugreifen wenn ich die Einstellungen wie folgt gemacht habe:

1614171473053.png
Mit diesen Einstellungen geht VPN von außen definitiv nicht:

1614171538813.png
Ich erkläre mir das so, dass die erste Regel nur für die internen Zugriffe des IP Bereiches 192.168.0.1 bis 192.168.1.255 gilt.
Der VPN Zugriff erfolgt aber mit einer exteren IP aus Deutschland, oder?

Du kannst im Fenster oben rechts aber auch die einzelnen Schnittstellen (lan1, vpn, usw) einzeln anwählen und dann dort die für eben diese Schnittstelle geltende Regel einrichten.
Jetzt klarer geworden?

Dann kann man aber nicht kombinieren, oder? die Einstellung gilt ja dann für die gesamte Firewall Regeln dann.

Was wirklich einmal interesant wäre - für Anfänger - wie mich ein paar Beispielkonfigurationen. Ich würde vermuten, dass bei den meisten die Einstellugen nicht optimal sind. Ist wirklich schwer zu verstehen, wenn man das nicht jeden Tag macht.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Was wirklich einmal interesant wäre - für Anfänger - wie mich ein paar Beispielkonfigurationen.
Siehste, genau SO fängt es nämlich NICHT an ;) Für Anfänger auch schon mal "garnicht". Da setzt man sich auf seine 4 Buchstaben und liest erstmal was über OSI-Layer 3 (z.B. IP/Routing), OSI-Layer 4 (z.B. TCP/UDP) + ggf. noch die oberen Schichten (HTTP, DNS, etc.) und wenn man das so halbwegs kapiert hat, dann hat man auch verstanden, wie das mit den Firewall-Regeln funktioniert, bzw. wie diese für entsprechende Applikationen auszusehen haben.

Ein "paar"? Kein Thema:

ANY -> ANY -> ANY - allow
ANY -> ANY -> ANY - deny

So funktioniert "alles", drehst Du die Reihenfolge um, funktioniert "nichts" mehr. Happy Birthday ?

EDIT: Nur, damit es nicht allzu langweilig wird und Du wieder auf die Idee mit den "paar Beispielen" kommst...:
- https://de.wikipedia.org/wiki/OSI-Modell
- https://de.wikipedia.org/wiki/Internet_Protocol
- https://de.wikipedia.org/wiki/Routing
- https://de.wikipedia.org/wiki/Transmission_Control_Protocol
- https://de.wikipedia.org/wiki/User_Datagram_Protocol
- https://de.wikipedia.org/wiki/Firewall (kann dann ja auch nicht schaden)
- https://de.wikipedia.org/wiki/Geoblocking (da die Syno-Firewall es auch kann)

... denke Du bist erstmal versorgt, wir sprechen dann nächstes Jahr nochmal darüber, wenn Du alles durch und verstanden hast ?..... mal eben....:ROFLMAO:
 
Zuletzt bearbeitet:

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Und schließlich kannst du auch einstellen, dass alles verboten ist, wofür keine explizite erlaubt-Regel besteht.
das geht aber nur auf der jeweiligen Schnittstelle. Der TE hat aber das ganze im Bereich: „Alle Schnittstellen“ konfiguriert.
Ich würde die FW-Regeln auf der jeweiligen Schnittstelle anlegen.

Und FW ist ja kein Hexenwerk:

- FW-Regeln werden von oben nach unten abgearbeitet
- Trifft eine Regel zu, wird der Rest verworfen bzw gar nicht mehr weiter abgearbeitet
- auf der jeweiligen Schnittstelle der Synology definierst Du Ausnahmen/was ist erlaubt, unten klickst Du an: Trifft keine dieser Regeln zu, blockieren

In Deinem Screenshot oben erlaubst Du Clients aus dem LAN den Zugriff, ausserdem alle Anfragen aus dem Internet per UDP, der Rest von ausserhalb wird verworfen. Wenn Du die FW-Regel „VPN-Server“ deaktivierst, ist es logisch, dass OpenVPN nicht mehr klappt, weil der über den UDP-Port 1194 geht.

Also: Ich würde die Fw-Regeln oben mal rausnehmen, sie stattdessen auf der einzelnen Schnittstelle definieren. Dort also erlauben: Zugriff aus dem LAN-Adressbereich, Erlauben UDP-Port 1194, Rest:Blockieren.

Und ganz eigentlich würde ich da auf der Syno gar nix machen, sondern mir einen gescheiten Router holen, und dort die Firewall sowie den VPN-Zugang einrichten. Die Firewall gehört auf das Verbindungsglied Internet-Heimnetz.Auf der Syno dann die ganzen Sicherheitsdinge wie 2-FA, blockieren nach dreimal falschen Zugangsdaten, etc.
 
  • Like
Reaktionen: the other

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Danke für die Nachhilfe. Im Fall des TE, der ja alle Länder ausser Deutschland ausschließen will, wäre unter Linux statt der obigen jedoch folgende iptable sinnvoller:

iptables -A INPUT -p udp --dport 1194 -m geoip ! --source-country DE -j DROP

Aber das ist OT und hat mit den vom TE angefragten GUI-Einstellungen auf seiner Synology wenig zu tun. Daher bin ich hier nun raus und wünsche einen schönen Abend.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Ich glaube das entgleist jetzt ein wenig.
Wenn es in die Richtung deines vorigen Postings geht verlassen wir den Bereich Synology und driften in den rein professionellen Bereich ab. Dann reduziert sich hier im Forum der Kreis der Verständigen auf geschätzt 1%.
So extrem muss man das Thema Firewall auch nicht herunter brechen. Hier wäre es schon ein Riesenerfolg, wenn alle Router nutzen würden in denen der inbound und outbound traffic gefiltert wird.
Wir sind bei der Masse an Routern noch nicht mal in der Lage sowas wie flood überhaupt erkennen zu können, geschweige denn irgendwie darauf zu reagieren.
Zum konfigurtieren einer Firewall gehört dann auch nicht nur das Erstellen von Regeln sondern auch das Tracen alle Dienste um die Einstellungen zu checken genau so wie der penetrationstest von Aussen. Wer sich also mit dem Thema beschäftigt muss absolut sattelfest in IP Technik sein!

Auf Basis einer Synology Firewall sind wir auf der simpelsten Lösung einer Firewall überhaupt. Es gibt nur Eingangsregeln und diese werden von oben nach unten abgearbeitet.
Daher sollte man sich erst mal eine Liste anfertigen in der alle Dienste und alle Ports erscheinen, welche überhaupt auf die Syno dürfen.
Die muss man dann in eine sinnvolle Reihung setzen, immer nach dem Prinzip des Erlaubens. Alsletztes setzt man dann unten im Firewallfenster den Haken, dass alles andere verworfen wird.
Hexenwerk ist das wirklich nicht bei einer Syno, vernünftig geplant werden muss es trotzdem.
 
  • Like
Reaktionen: RichardB

NocTec

Moderator
Teammitglied
Lösungspartner
Sehr erfahren
Mitglied seit
21. Jan 2007
Beiträge
204
Punkte für Reaktionen
253
Punkte
113
Ich habe hier mal durchgefegt. Schade, wenn dabei auch die ein oder andere nützliche Information verloren gegangen ist.

Wir wollen diesen offensiven Umgangston hier im Forum nicht sehen. Es kann jetzt gerne sachlich weiter gehen.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen @servilianus,

das geht aber nur auf der jeweiligen Schnittstelle. Der TE hat aber das ganze im Bereich: „Alle Schnittstellen“ konfiguriert.
Ich würde die FW-Regeln auf der jeweiligen Schnittstelle anlegen.
Deswegen hatte ich den te ja darauf hingewiesen. Doppelt hält aber bekanntlich besser... ;)
Danke fürs durchfegen... Hatte die gelöschten Beiträge zum Glück noch gar nicht gelesen, stimme aber der Aktion und Begründung voll zu. Der Ton macht die mucke und hier ist eben idR ein angenehmer Sound wahrzunehmen und unbedingt zu bewahren.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Laut Erinnerung werden die Listen nacheinander durchgegangen. Zuerst alle Schnittstellen und dann die Regeln der einzelnen Schnittstellen.
Wenn man Einträge für alle macht sollte es also reichen, wenn man bei den einzelnen die Blockierung aktiviert falls keine Regel zutrifft.
Oder eben gleich alle Einträge nur auf der passenden Schnittstelle.
Hinderlich ist da, dass die Syno Automatik immer ihre Einträge auf alle Schnittstellen setzt, wenn man nicht aufpasst.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Auch meine Empfehlung alle Schnittstellen nie zu nutzen sondern für jede Schnittstelle, also LAN, VPN etc die passenden Regeln erstellen und bitte nie vergessen am Ende des Fensters den Haken zu setzen um alles nicht Zutreffende zu verwerfen!
Und noch ein Rat: Für jedes Protokoll oder jeden Dienst den man erlaubt eine eigene Regel erstellen. Keine Sammelregeln, denn damit verliert man den Überblick!
 
  • Like
Reaktionen: the other

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
88
Punkte für Reaktionen
7
Punkte
8
Hallo,
habe auch Regeln für die Firewall angelegt. Unter der Schnittstelle "LAN". Alles schön getrennt nach den Diensten. Für den Überblick.

Habe aber noch Fragen
Die Bedeutung der Schnittstelle "Alle Schnittstellen" ist mir noch nicht ganz klar.
Sollte man diese Schnittstelle wählen oder eher meiden?
Wenn man diese Schnittstelle doch wählt, dann hat man nicht die Möglichkeit bei keiner Regel den Zugriff zu erlauben oder den Zugriff zu verweigern.
Es steht dort:
Wenn keine Regeln in "Alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst.
Kann mir jemand den 2. Halbsatz erklären.
Habe hier im Forum gelesen, dass die einzelnen Schnittstellen der Reihe nach verarbeitet werden. Innerhalb der Schnittstellen auch in der Reihenfolge. Bei meiner DS218+ werden das insgesamt 4.
Ist das von mir richtig dargestellt?
Das man Regeln für die Schnittstelle "LAN" einrichtet, leuchtet mir ein.
Kann mir jemand Beispiele nennen, bei denen die Regeln in den Schnittstellen "PPPoE" und "VPN" notwendig sein könnten.

spatzimatzi
 
  • Like
Reaktionen: the other

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
PPPoE nur bei Einwahl und VPN ist für das VPN-Transfernetz bzw. die "Netze" (dafür jede Clienteinwahl ein eigenes kleines gebildet wird).

Entweder nutzt Du Deine Regeln für alle Schnittstellen und gibst dort gewünschtes an, oder Du konfigurierst es "pro Schnittstelle". Ersteres ist "einfacher", zweiteres ist zielgerichteter.
Alles schön getrennt nach den Diensten. Für den Überblick.
(y)
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
88
Punkte für Reaktionen
7
Punkte
8
Hallo,
ich hatte schon vermutet, dass die Eintragungen unter "Alle Schnittstellen" allgemeiner gehalten sind. Aber kann ich dann auch alle Zugriffe verweigern, wenn die Regeln nicht zutreffen?

spatzimatzi
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Die Regel gilt dann eben für alle Schnittstellen. Im übrigen: Ich erwähne die CleanUp-Rule auch nur Gewohnheit (alle Macht der Gewohnheit!), die Syno selbst bietet ja unten so Knöpfe an, was passieren soll, wenn keine Regel zutrifft, kann man also auch machen. Ich kenne es nur anders (da gibt es keine bunten Knöpfe) und deswegen "muss" ich diese Regel dann auch setzen. Auf der anderen Seite (nein, nicht doppelt gemoppelt hält besser, sondern) dient das ganze natürlich auch ein wenig der Übersicht UND (vllt noch viel wichtiger als das) ihr lieben Leute gewöhnt euch das evtl. direkt "richtig" an und wenn es irgendwann mal etwas anderes ist (keine Syno mit Bobbels), dass dann auch direkt intuitiv die Regel "richtig" erstellt werden ;)
 
  • Like
Reaktionen: the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
kurze Ergänzung maße ich mir bei dem Wetter mal an: kommt auch immer etwas auf die jeweilige FW an. Bei der pfsense/opensense FW ist es zB so, dass im default erstmal ALLES verboten ist. Wenn du das Ding dann das erste mal einschaltest und keine Allow Regel einfügst, tja, dann geht auch nix in andere Netzsegmente durchs jeweilige Interface.
;)
 

spatzimatzi

Benutzer
Mitglied seit
14. Apr 2020
Beiträge
88
Punkte für Reaktionen
7
Punkte
8
Hallo,
gut, die Regeln unter "Alle Schnittstellen" gelten für alle Schnittstellen.
Aber unter "Alle Schnittstellen" gibt es nicht die Anklick-Möglichkeit (zumindest bei meiner DS218+), den Zugriff zu erlauben oder den Zugriff zu verweigern.
Es gibt nur diesen Hinweis:
Wenn keine Regeln in "Alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst.
Und zu dem Hinweis hätte ich gerne die Erklärung.

spatzimatzi
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wie oben schon erwähnt einfach unter den einzelnen Schnittstellen überall die Option zum verwerfen anklicken.
Oder wie erwähnt unter alle Schnittstellen eine letzte Regel zum verwerfen einfügen. Gleiches Resultat, eventuell minimal performanter.

Und um dir ganz sicher zu sein einfach testen.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat