Frage zu DSM Firewall

[HijoDelSol]

Hallo,

ich hab eine kleine Frage bezüglich der Synology Firewall.
Nachdem der OpenVPN Server durch Synology verbessert wurde möchte ich diesen gerne verwenden.

Also alles eingerichtet, OpenVPN in der Firewall aktiviert und einen Verbindungsversuch gestartet. Die Verbindung
zwischen Client und Server funktioniert ohne Probleme, aber nach dem erfolgreichen Verbindungsaufbau ist kein
Kontakt zwischen dem Client und dem Netzwerk hinter dem VPN oder dem Internet möglich. Nachdem ich die Firewall
zum testen deaktiviert habe war auch dies Problemlos möglich. Das Problem ist die Firewallkonfiguration.

Die Frage ist also was bei der Firewall eingestellt werden muss, um VPN nutzen zu können ohne die Firewall abzuschalten.

Danke vorab und Vg

 

[Ulfhednir]

Mutmaßlich die Einstellungen, die von dir im VPN Server hinterlegt sind. Sprich Port und Protokoll:
Siehe Screen: https://i.imgur.com/8UB01rF.png

Nachtrag: Bedenke, dass das DSM standardmäßig einen anderen Adressbereich vorgibt, um auf das NAS zuzugreifen. Du greifst dann nicht mit der selben IP darauf zu, wie du es vlt. im normalen Heimnetz tätigst.

 

[HijoDelSol]

@Ulfhednir

Der entsprechende Port+Protokoll ist schon in den Einstellungen unter "Alle Schnittstellen" eingetragen. Aus diesem Grund klappt die Verbindung einwandfrei.
Der Zugriff auf das Lokale Netzwerk sowie das Internet funktioniert nicht.

Zum Nachtrag: Ich weiss was du meinst, bin mir aber unschlüssig ob dies Einfluss auf obiges Problem hat.

 

[Ulfhednir]

Für mich zum Mitschreiben: Portweiterleitung ist auf deinem Router eingerichtet. Du hast die OpenVPN-Datei ebenfalls auf extern umgebogen und es kommt zu einer korrekten Verbindung, wenn du die DS-Firewall deaktivierst?
Wie sieht denn deine Firewall aus? Hast du versehentlich in einem anderen Profil irgendeinen Ausschluss definiert? Zur Not einmal ein leeres Profil anlegen und aktiv schalten (übernehmen).
Wenn es dann immer noch Probleme gibt, würde ich testweise PPTP über Windows probieren und schauen, ob dies ebenfalls Probleme bereitet. (Nein, ich sage nicht, dass du PPTP standardmäßig verwenden sollst)

 

[HijoDelSol]

Fast richtig. Die Verbindung klappt bei eingeschalteter DS-Firewall. Lediglich der weitere Zugriff auf zB das Internet über das VPN, die DiskStation oder sonst irgendein Gerät im Netzwerk ist nicht möglich. Das geht dann erst wenn ich die DS-Firewall ausschalte.

 

[HijoDelSol]

Hallo nochmal,

nun konnte ich die Erkenntnis gewinnen, dass die Einstellung "Zugriff verweigern" bei der VPN Schnittstelle in den Firewall Einstellungen die Ursache für das Problem ist. Soweit ich weiss verweigert die DS dabei den Zugriff über die jeweilige Schnittstelle solange nichts anderes definiert ist. Die Schnittstellen "LAN" und "PPPOE" habe ich auf "Zugriff verweigern" gestellt. Bei VPN möchte ich das aus Sicherheitsgründen eigentlich auch gerne tun.

Kennt sich jemand mit den Einstellungen hierbei aus?

Danke vorab

 

[SyntaxX_3rroR]

Das ist richtig.
Du musst Firewall Regeln separat anlegen für VPN.
"Zugriff verweigern" ist gut so, erstell halt jetzt die Regeln für die Dienste und Ports, die du für VPN freigeben möchtest.
Die Diskstation gibt dir eine lange Liste mit Beschreibung, was du alles öffnen Kannst und was darüber läuft.
Einfach mal bei der Firewall > Profil bearbeiten und im Dropdown dann VPN auswählen.
Dort dann die Regeln hinzufügen und checken, dass sie auf "erlauben" stehen.

LG SyntaxX_3rroR

 

[HijoDelSol]

Heißt das ich muss unter der "VPN" Schnittstelle die Ports freigeben die dann nur für Clienten gelten die über VPN eingeloggt sind?
Falls ja, welchen Port muss ich freigeben, damit der eingeloggt Client über die DS anfragen an das Internet stellen kann.

Dann würde ich einen extra Benutzer erstellen der nur VPN rechte hat. Es geht hauptsächlich darum in unsicheren HotSpots über einen sicheren Tunnel im Internet zu surfen.

 

[SyntaxX_3rroR]

Denke mal, dass du Port 80 für HTTP und 443 für HTTPS freigeben musst.
Die Firewall der Syno ist manchmal etwas unklar, sollte dann aber funktionieren.

Ein extra Benutzer nur für VPN zur Benutzung über unsichere Hotspots hört sich gut an.

LG SyntaxX_3rroR

 

[HijoDelSol]

Hallo @SyntaxX_3rroR, danke erstmal für deine Hilfen. Ich bin mir aber nicht ganz sicher, ob ich das Problem und meine Ausgangssituation genau genug geschildert habe.
Daher versuche ich das mal ein wenig in Übersicht zu bringen.

Wie gesagt habe ich den OpenVPN Server auf der DS und einen Client eingerichtet.

Die DS-Firwall ist folgendermaßen eingerichtet:
- Einstellung "Zugriff verweigern" in allen Schnittstellen ist gesetzt.
- Unter "Alle Schnittstellen" ist der IP-Bereich 192.168.1.0 und das Subnetz 255.255.255.0 eingerichtet.
- Unter "Alle Schnittstellen" ist des Weiteren für die Region DE der Port für OpenVPN eingerichtet.
Bei den Schnittstellen "LAN", "PPPOE" und "VPN" ist keine Ausnahme festgelegt, da dies unter "Alle Schnittstellen" schon getan ist.

Bei diesem Szenario kommt eine Verbindung zwischen OpenVPN Server und meinem Client problemlos zu Stande. Zugriff auf das Internet über die
DS oder eine Verbindung zu anderen Geräten im Heimnetzwerk ist nicht möglich.

Das ist im Prinzip die Ausgangssituation. Die Freigabe der Ports 80 und 443 in der Schnittstelle "VPN", wie du es angegeben hast, führt auch nicht zum Ziel.
Hierbei bin ich auch sicher, dass damit nur der Zugriff auf die DS über diese Ports gemeint ist und nicht von der DS weitergeleitet wird.

 

[HijoDelSol]

Bin ich der einzige der dieses Problem hat? Kann mir kaum vorstellen, dass nicht auch andere mal an diesen Punkt gekommen sind und dieses auch irgendwie gelöst haben. Vlt wäre an dieser Stelle auch interessant zu wissen, ob die Außnahmen unter der Schnittstelle "VPN" überhaupt eingerichtet werden müssen. Ich verstehe das so, dass dort der Zugriff auf Ports definiert werden kann, der nur für Clienten gilt die auch erfolgreich über VPN mit der DS verbunden sind. Hierzu habe ich aber keine Informationen finden können.

Weiss da noch jemand was zu?

 

[Sascha_L_a_S]

Hallo.

Ich bin heute auf den zugegebenermaßen etwas alten Thread gestoßen. Ich habe auch das gleiche Problem.

Sobald ich in der Firewall zur VPN-Schnittstelle die Einstellung "Zugriff verweigern" einschalten und die Ports 80 und 443 erlaube, komme ich mit meinem iPhone nicht mehr ins Internet. Am PC funktioniert dies aber weiterhin.

Hat da noch jemand ne Idee? Danke schon mal vorab.

 

[the other]

Moinsen,
sind iPhone und PC beide via vpn online??
Bekommt dein Phone zb DNS (port53 idR )?
In Sachen synology Firewall bin ich nicht der Profi, üblicherweise wird aber bei der Grundeinstellung deny all dann auch wirklich alles bis auf die explizite Freigabe geblockt, eben auch DNS. Und dann ist nix mit Internet.
Kommst du wie im alten Beitrag ohne eingeschaltete Firewall mit dem Phone ins Netz?