Fernzugriff auf Netzlaufwerk sicher gestalten - VPN?

[Reinertreiber]

Moin in die Runde!

Bin Nutzer einer DS723+ und nutze ihn aktuell ausschließlich Lokal, verbunden im LAN.

Da ich nun vermehrt an Wochenenden unterwegs bin und auch im Urlaub gerne den Zugriff auf das "lokale" Netzlaufwerk per Windows Explorer haben möchte, bin ich auf der Suche nach einer soliden Zugriffsmöglichkeit.

Bereits ausprobiert habe ich den Fernzugriff per Fritzbox. Allerdings war die Datenübertragung mega lahm und bei jedem Disconnect aus der VPN, wurde ich mit einem Bluescreen belastet.

Da ich weiterhin zu 95% den Zugriff im lokalen LAN durchführen werde, möchte ich den Fernzugriff sicher gestalten.

Hierzu dachte ich an einen Zugriff per OpenVPN, doch kann ich das Sicherheitsniveau nicht abschätzen.
Wie anfällig ist OpenVPN? Gibt es Möglichkeiten eventuelle Anfälligkeiten gut in den Griff zu bekommen?

Auch ist mir nicht bekannt, ob ich wahlweise Lokal und zeitweise per VPN auf das Netzlaufwerk per Windows Explorer zugreifen kann.
Ungern möchte ich für den Fernzugriff einen separaten Ordner einbinden wollen.

Gibt es weitere Alternativen, die meinen Anforderungen besser entsprechen?

Ich freue mich auf jeglichen Feedback!

 

[ottosykora]

ich habe selber kein Fritzbox, aber du wirst hier sicher die Empfehlung bekommen: Wireguard VPN auf die Fritzbox zu machen.

wenn du etwas mit Null Aufwand möchtest, dann geht auch Quickconnect, geht von überall und einfach, von aussen oder innen

 

[Synchrotron]

VPN mit Wireguard auf der FB funktioniert für mich sehr gut - nutze allerdings Macs, kein Windows.

Ansonsten mal Tailscale ausprobieren, gibt es als Paket im Paketzentrum.

Von OpenVPN rate ich ab. Erstens für diese Art Anwendung technisch überholt, zweitens ist das VPN-Paket von Synology nur eine Schmalspurlösung.

 

[maxblank]

Keinesfalls SMB ohne VPN im Internet präsentieren, also dafür keinesfalls eine Portweiterleitung einrichten.

Welche FRITZ!Box Modell hast du? Wireguard ist dafür definitiv das korrekte Protokoll mit dem höchstmöglichen Durchsatz.

Welche Internetanbindung?

Eingerichtete Netzlaufwerke kannst du sowohl lokal als auch mit aktiver VPN-Verbindung nutzen, verhält sich identisch.

Bluescreen auf dem Laptop wegen VPN-Abbruch ist nicht normal, dies zuerst fixen.

 

[Reinertreiber]

Danke an ottosykora, Synchrontron und maxblank für die schnelle Hilfestellung!

Habe mich nach Wireguard erkundigt und werde es definitiv probieren.

@maxblank aktuell die 7530 AX. Zuvor Kabel-Anschluss mit 6591 gehabt.
Der Bluescreen scheint bei einigen zu erscheinen, wenn Fritzbox VPN genutzt wird.

Aktuell habe ich 100 MB Down und 40 MB Up.

Hast du eine Anbieter-Empfehlung hinsichtlich DNS? Wie ich mich informiert habe, sollte die Wireguard Verbindung per DynDNS eingerichtet werden.

 

[maxblank]

Das schlägt AVM vor.

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/30_Dynamic-DNS-in-FRITZ-Box-einrichten/

 

[Benie]

Anbieter-Empfehlung hinsichtlich DNS?

Du kannst auch direkt die Synology DDNS verwenden, Zertifikat von LetsEncrypt, da kannst Du Dir auch gleich auf der DS ein Wildcard Zertifikat (wegen der Subdomains) für Deine Adresse erstellen lassen.

 

[Reinertreiber]

Danke für den Link, maxblank!

@Benie ist die Synology DDNS denn "sicher"? Ich meine gelesen zu haben, dass die DDNS von Synology wiederholt Angriffen ausgesetzt war. Leider finde ich den entsprechenden Beitrag nicht.

 

[ottosykora]

die DDNS von Synology wiederholt Angriffen ausgesetzt war.

und gibt es tatsächlich so etwas was nicht gelegentlich angegriffen wird?

 

[Reinertreiber]

Natürlich erwarte ich keine 100%ige Sicherheit. Die wird es vermutlich nicht geben.
Ein "Sicherheitsfaktor" wird auch sein, dass der Fernzugriff von einer technisch affinen Person - und nicht einem Experten . eingerichtet wird.

Allerdings könnten die Wahrscheinlichkeiten zulasten der DDNS von Synology sprechen, da diese (weltweit?) bekannt sind.
Ein eventuell kleinerer/unbekannter DDN Anbieter wird vermutlich weniger angegriffen, nehme ich mal an.

 

[metalworker]

na wovor hast denn da genau angst?
Im schlimmsten Falle geht halt der DynDNS update nicht . Aber das solltest ja verkraften können.


Aber ich gebe dir recht , die Fernzugriff und allgemein den Router von nem Fachmann einrichtne zu lassen kann nicht schaden.

 

[Benie]

ist die Synology DDNS denn "sicher"?

Ich weiß zwar nicht wo Du das gelesen hast, hier im Forum denke ich mal nicht.
Ich benutze die für eigentlich nahezu alles und habe kein ungutes Gefühl, zudem ich eh auf alles von außen normalerweise nur über VPN / Wireguard zugreife. Das ist das sicherste.

 

[Reinertreiber]

@ Benie das hatte ich nicht auf diesem Forum gelesen. Allerdings finde ich den Artikel leider nicht mehr.

@ all
Habe nun eine Verbindung zwischen Fritzbox und Windows 10 per Wireguard hergestellt und getestet.

Die Verbindung funktioniert, wenn auch das Öffnen von PDF Datein (2-10MB) eine gewisse Zeit in Anspruch nimmt.

Allerdings habe ich Probleme beim Öffnen eines bereits eingerichteten Netzlaufwerks.

Unter Laufwerksbuchstaben "Y:" habe ich mittels "\\Server-IP\Ordnername\" bereits ein Netzlaufwerk eingebunden.

Im lokalen Netz habe ich vollen Zugriff. Sobald ich mich per Wireguard verbinde, kommt die Fehlermeldung: "Y: ist nicht verfügbar".

Wenn ich aber nun bei bestehender Wireguard Verbindung den besagten Ordner als "Z:" einbinde, wird mir dieser ohne Probleme geöffnet.

Da ich aber einen dauerhaften Pfad einrichten möchte, bräuchte ich einen zuverlässigen Zugriff unter bereits bestehendem Laufwerksbuchstaben.

Gibt es hierfür eine Lösung?

 

[metalworker]

Einfach Statt des Servernamens die IP Adresse nehmen .
Also

192.168.0.x/Freigabe

 

[plang.pl]

Dachte ich mir auch. Hat er aber ja demnach scho gemacht:

\\Server-IP\

 

[metalworker]

Ach sorry. Nicht genau gelesen .

Aber Neuverbinden geht ?

Und testest es auch außerhalb vom Netzwerk?

 

[plang.pl]

Ich arbeite nicht mehr mit Netzlaufwerken, sondern greife einfach per UNC-Pfad zu. Vielleicht wäre das eine Alternative. Kann man die Verknüpfung zu "\\IP_DER_DS" auf den Desktop legen. Ansonsten gibt vielleicht die Ereignisanzeige mehr Infos her.

 

[Synchrotron]

ist die Synology DDNS denn "sicher"? Ich meine gelesen zu haben, dass die DDNS von Synology wiederholt Angriffen ausgesetzt war.

Ein DDNS Dienst ist nur eine Netzauskunft: Man fragt eine ausgeschriebene Adresse an, und bekommt eine IP zurück. Das ist die IP, unter der die ausgeschriebene Adresse zum Anfragezeitpunkt erreichbar ist.

Das hat mit “Sicherheit“ erst mal nichts zu tun. Die IP kann auch ohne DDNS angeklopft werden.

Du meinst vermutlich den QuickConnect-Dienst. Der routet tatsächlich von einer im Internet erreichbaren Adresse auf eine DS in ihrem Heimnetzwerk. Den sollte man genau so absichern, wie jeden anderen Zugang auch. Vorteil von QC ist, dass der vorgeschaltete Synology-Server Angriffskonzepte wie Brute Force abweist. Darum muss sich der Benutzer nicht mehr kümmern.

 

[maxblank]

Unter Laufwerksbuchstaben "Y:" habe ich mittels "\\Server-IP\Ordnername\" bereits ein Netzlaufwerk eingebunden.

Im lokalen Netz habe ich vollen Zugriff. Sobald ich mich per Wireguard verbinde, kommt die Fehlermeldung: "Y: ist nicht verfügbar".

Ich könnte mir vorstellen, dass es da ein Problem mit den NTFS-Permissions gibt.

Kannst du die mal aus dem lokalen Netzwerk geöffnet mit Screenshots posten. Rechte Maustaste - Eigenschaften

 

[Benie]

Lass die Netzlaufwerke weg und verbinde Dich über den UNC Pfad, wie auch schon von @plang.pl vorgeschlagen.

https://de.minitool.com/bib/unc-pfad.html?amp