Fragen zur Synology Firewall Konfiguration

[SwissSabai]

Hallo

meine DiskStation und mein Laptop befinden sich im selben WiFi-Netzwerk, wobei der Router meines Providers zu Hause als DHCP Server agiert.
Der DiskStation habe ich die statische Adresse 192.168.0.201 zugewiesen, der Laptop hat eine die dynamische Adresse 192.168.0.94 erhalten.
Soweit so gut, ich kann die DiskStation auch von meinem Laptop aus via Webbrowser unter 192,168.201ort erreichen, als auch unter meiner <domain>.diskstation.me-Adresse.

Nun wollte ich die Firewall auf der DiskStation konfigurieren und sämtliche Zugriffe von ausserhalb meines Netzwerkes unterbinden. Habe dazu die folgenden Regeln erfasst;

• Rule 1: Ports: All | Protocol: All | Source IP: Subnet: 192.168.0.1 (mask 255.255.255.0) | Action: Allow
• Rule 2: Ports: All | Protocol: All | Source IP: Single Host: 192.168.0.94 | Action: Allow
• Rule 3: Ports: All | Protocol: All | Source IP: All | Action: Deny

Natürlich ist die Regel 2 redundant, ich habe sie hinzugefügt, weil ich mir nicht sicher war, ob mein Problem an Regel 1 liegt. Denn, sobald ich Regel 3 aktiv habe meldet mir Synology, dass mein Computer von der Firewall Regel blockiert würde und wendet diese deshalb nicht an. Nur wenn ich Regel 3 auf Allow setze, kann ich die Firewall Konfiguration in Kraft setzen.

Leider scheint es auf der DiskStation keine Firewall Logs zu geben, die ersichtlich machen, weshalb ein Request blockiert wird. Irgendeine Ahnung, weshalb meine Regeln 1 & 2 nicht ausreichen um weiter von meinem Laptop aus auf die DiskStation zugreifen zu können? Könnte dies an Port Forwarding Regeln auf dem Router liegen (habe dort den Port zum DSM als auch die VPN Ports weitergeleitet.

 

[Benares]

Wie/wo hast du die Portweiterleitungen des Routers eingerichtet? Direkt auf dem Router (davon weiß die DS nix) oder indirekt über die DS und UPnP? Direkt auf dem Router ist besser/sicherer/übersichtlicher.
Wie bist du Zeitpunkt der Firewall-Konfiguration verbunden? Über die lokale IP/Name oder über diskstation.me?

 

[Rene1]

bei dem Zugriff über <domain>.diskstation.me wird Dein Laptop mit der externen IP identifiziert, nicht mit der lokalen.

 

[SwissSabai]

Wie/wo hast du die Portweiterleitungen des Routers eingerichtet? Direkt auf dem Router (davon weiß die DS nix) oder indirekt über die DS und UPnP? Direkt auf dem Router ist besser/sicherer/übersichtlicher.
Wie bist du Zeitpunkt der Firewall-Konfiguration verbunden? Über die lokale IP/Name oder über diskstation.me?

Die Portweiterleitungen habe ich direkt auf dem Router konfiguriert. Dieser agiert auch als DHCP-Server für mein lokales LAN.

Ich hatte versucht die Firewalleinstellungen über das DSM Webinterface vorzunehmen, zu dem ich über https://diskstation.local:<port> verbunden war. Wenn ich die DiskStation via IP-Adresse anspreche (während ich die Firewall-Regeln konfiguriere) funktioniert es. Nun bin ich also bereits einen Schritt weiter in der Lokalisierung des Problems.

Verbleibende Frage: was für eine Regel muss ich definieren, dass der Zugriff auch über https://diskstation.local:<port> klappt (weiss nicht mehr ob ich so über SMB oder AFP oder Bonjour gekommen bin).

 

[SwissSabai]

bei dem Zugriff über <domain>.diskstation.me wird Dein Laptop mit der externen IP identifiziert, nicht mit der lokalen.

Ja, das ist korrekt. Ich wollte damit lediglich aufzeigen, dass die Diskstation soweit korrekt aufgesetzt ist und auch auf verschiedene Arten erreicht werden kann.

 

[NSFH]

mal abgesehen davon, dass alle 3 Regeln Quatsch sind, denn wer in deinem Netz drin ist hat keinerlei Hürden vor sich da ausnahmslos alle Ports der Syno offen sind.
Die letzte Regel ist überflüssig, weil man das mit dem Haken am untreren Ende des Konfig-Fensters regelt.

Mich würde erst mal interessieren mit welcher Adresse du versuchst auf vom Laptop auf die Syo zuzugreifen.
Wenn du PortForwarding im Router aktiviert hast willst du deine Syno doch nicht nur im LAN betreiben, sehr widersprüchlich was du schreibst.
Solange du also da keine Klarheit schaffst ist das hier Kaffeesatzlesen.

 

[SwissSabai]

Hallo NSFH:
Ja natürlich sehen diese 3 regeln, so wie sie dastehen etwas seltsam aus. Ich versuche ja auch erst mal die Basiskonfigurationen herauszufinden um mich dann an die endgültige Konfiguration heranzutasten.

Erst mal hatte ich sämtliche Regeln für "All Interfaces" spezifiziert (und dort gibt es keine "Deny access" Option als Standardverhalten, dies gibt es nur auf der Ebene der einzelnen Interfaces, daher auch die Deny All Regel zum Schluss. Inzwischen bin ich aber einen Schritt weiter gekommen und habe LAN 1 wie folgt konfiguriert (ich habe lediglich Ports 80 und 443 offen gelassen für den Zugriff von irgendwo) (LAN 2 und PPoE habe ich disabled, zu VPN komme ich weiter unten noch). Ich hoffe diese Konfiguration macht nun auch auch mehr Sinn.


Und so klappt es nun auch! Ich habe das ursprüngliche Problem lösen können, indem ich im Webbrowser für den DSM Aufruf die lokale IP eingegeben habe und so dann auch die Konfiguration auch habe abspeichern können. Damit ist eigentlich dieser Thread geschlossen, denn dies war ja das eigentliche Problem.

Nun möchte ich einen Schritt weiter gehen, brauche hierzu wohl aber nun den Support von UPC Schweiz. Ich möchte den weltweiten Zugang per VPN ermöglichen (IP Adressen 10.0.2.x) was auch funktioniert, sofern ich auf den Clients VPN aktiviere, wenn sich diese im lokalen WiFi LAN befinden. Sobald dies nicht der Fall ist, kann aber keine VPN Verbindung hergestellt werden. Der Verdacht ist, dass trotz korrekter Konfiguration der Portweiterleitung in der UPC Connect Box ans NAS, gewisse UDP Pakete (IP Sec?) nicht durchgereicht werden. So habe ich zumindest die Problematik verstanden, mit der auch andere User in der Schweiz kämpfen. Aber dies ist wie beschrieben ein Thema für einen anderen Thread. Ich wollte lediglich zum Schluss nochmals eine Konfiguration stehen haben, die nun hoffentlich auch Sinn macht. Danke für Euren Support.

 

[plang.pl]

Hinweis: Bei deiner ersten Regel musst du die Netzadresse angeben, die bei deiner Subnetzmaske die .0 ist und nicht die .1.

 

[SwissSabai]

Danke @plang.pl , ich hatte die Konfiguration aus einem Tutorial übernommen. Werde ich anpassen!

 

[Gulliver]

Soll die DS denn selber den vpn-Zugriff handeln?

Als vpn-Server könntest du einen Raspberry mit wireguard ins Netz stellen (zB pivpn.io). Den Port kannst du frei wählen.

 

[SwissSabai]

Meine Idee war schon den VPN Service auf der DS zu betreiben. Ich bin mir zwar bewusst, dass extern besser wäre.

Versuche immer noch zu verstehen, wie die Synology-Firewall für VPN konfiguriert werden sollte.

 

[NSFH]

die 3.Regel ist wieder Quatsch. In der Firewall stehen nur allowed und am Ende kommt mit dem Haken das deny für den Rest.
Mit der ersten Regel erlaubst du aus dem LAN alles. Dann brauchst du keine Firewall.
Es werden nur die Dienste frei gegeben die benutzt werden, alles andere ist dann automatisch zu.

Wenn du sagst du willst testen, dann gibst du in der ersten Regel entweder den IP-Bereich an von .1 - .255 oder die Range, dann ist das 0.0 bei 255.255.255.0
Dann sperrst du dich auch nicht aus.

 

[SwissSabai]

@NSFH Idee der dritten Regel war alle Services von überall mit Ausnahme von Port 80 und 443 zu sperren. Aber Du hast wohl Recht, dass dies kein allow für 80 und 443 impliziert. Ist sicher klarer eine explizite Allow-Regel für Ports 80 und 443 zu definieren, insbesondere auch deshalb weil ich auch noch eine Regel für den Zugang zum VPN Service aus der Schweiz benötige.

Habe dies nun auch entsprechend angepasst. Stolperstein ist nun lediglich noch die korrekte Konfiguration der Firewall für den VPN Zugang. Bei LAN 1 gewähre ich nun den Zugriff auf den VPN Server (UDP 500, 1701, 4500). Damit kann ich nun auch von meinem Mobiltelefon im Mobilnetz nun eine VPN Verbindung zum Synology VPN Service herstellen. Wo ich noch nicht durchblicke ist, dass ich um auf DSM zugreifen zu können diesen Dienst offenbar auch noch im LAN 1 interface freischalten muss und zwar für die externen IP Adressen. Ich dachte, hierfür wäre es ausreichend eine Regel im VPN Interface Dienste freizuschalten (entweder alle Dienste für alle Locations, oder nur gewisse Dienste für gewisse Locations, wie z.B. die dynamischen Adressen des VPN-Servers (10.2.0.x)). Doch leider scheine ich hier auf dem Holzweg zu sein. Muss ich die DSM Verwaltungsdienste effektiv auch im LAN 1 Interface freischalten für Zugriffe von ausserhalb meinem lokalen Netzwerk? Dies möchte ich eigentlich nur sehr ungern.

 

[NSFH]

man keine keine dynamischen IPs freischalten. Wie der Name schon sagt, nie gleich.
Und klar musst du DSM im lokalen LAN freischalten, aber auch hier sollte man nur mit HTTPS arbeiten. Freischalten für Internet-IPs musst du dagegen nicht. Das würde ja bedeuten, dass du 5001 im Router weiterleitest auf die Syno. Der Sinn des VPN ist ja verschlüsselt ins eigene LAN zu kommen und ab hier gelten die Regeln des LAN.
Um ganz sicher zu sein aktiviere 2FA für Serverzugriffe via Webbrowser.

 

[SwissSabai]

@NSFH ich kann Dir so weit folgen und verstehe auch die einzelnen Statements, es hat bei mir aber noch nicht "klick" gemacht, und so verstehe ich noch nicht woran es klemmt. Es geht spezifisch um die Konfiguration der Synology FW und hier insbesondere des LAN 1 und VPN Interfaces (auch was wohin muss). Ich finde einfach keine Dokumentation von Synology, aus der ich Erklärungen zum VPN Interface finde.

Grundsätzliche Konfiguration meines LAN
- Router vom Kabelprovider, agierend als DHCP Server und daran angeschlossen mit fixer lokaler IP Adresse die Synology Disk Station
- bei der DiskStation habe ich die standard admin und guest accounts deaktiviert
- stattdessen habe ich auf der DiskStation einen alternativen admin-account, der 2FA erfordert eingerichtet
- die Standard Ports 5000 und 5001 habe ich umkonfiguriert auf 5200 und 5201
- Requests an http werden an https weitergereicht
- auf dem Router habe ich ein Port Forwarding für die Ports 5200-5201 zur DiskStation eingerichtet (also ja, ich leite DSM Aufrufe vom Router an die DiskStation weiter, sehe aber keine Alternative dazu lange der Router auch als DHCP Server meines LANs agiert)

Firewall ( & VPN) Konfigurtion auf der DiskStation
- in der Synology Firewall habe ich auf Stufe (alle Interfaces) keine Regeln konfiguriert
- in den Interfaces LAN 2 und PPPoE verweigere ich sämtliche Zugriffe (Standardverhalten "Deny")
- im Interface "LAN 1" habe ich Port 5201 für "lokale" Adressen (192.168.x.x) freigegeben (= DSM im lokalen LAN freigeschaltet)
- im Interface "LAN 1" habe ich die VPN Ports für L2TP/IPSec (UDP 500, 1701, 4500) für Zugriffe aus der Schweiz freigegeben (ist wohl zwingend erforderlich, denn ich kenne ja die externen IP Adressen nicht).
- Von da geht's komme ich nicht mehr zufriedenstellend weiter: VPN aktivieren geht, nicht aber der Zugriff auf DSM bei aktiviertem VPN (wenn ich über's Mobilfunknetz mit dem Internet verbunden bin. Bin ich aber mit dem lokalen WiFi verbunden geht es logischerweise). Es scheint also eine Regel in meiner Firewall Konfiguration zu fehlen (Ich konnte dies verifizieren indem ich "temporär" im Interface "LAN 1" den DSM-Dienst (Port 5201) auch für Schweizer IP-Adressen freigeschaltet habe). Aber diese "temporäre" Regel ist mir ein Dorn im Auge. An dieser Stelle dachte ich, dass ich stattdessen in der Synology Firewall eine Regel im Interface "VPN" konfigurieren muss/kann um den Zugriff zu erlauben. Aber auch wenn ich im Interface "VPN" alle Dienste, aus allen Locations freischalte geht es nicht (testweise hatte ich die Freischaltung für "dynamische" Adressen aus dem 10.2.x.x Netz konfiguriert, da solche vom VPN Server vergeben werden (ich hatte einfach das ganze Subnetz freigeschaltet um den dynamischen Aspekt au adressieren).

 

[Gulliver]

Wenn du aus dem LAN auf die DS zugreifen willst, brauchst du dafür den Port am Router nicht öffnen. Die Weiterleitung blockiert er ja nur zwischen WAN und LAN - und das sollte so bleiben.
An der DS-Firewall musst du deinen 5201 an "Lan1" öffnen (ggf nur für die IP deines PC oder Laptop), um aus dem LAN den DSM zu erreichen.

Weiterleitung der L2TP-Ports am Router zum VPN-Service muss natürlich sein, um von aussen zugreifen zu können.
Um via VPN dann auch DSM zu erreichen, muss 5201 auch in der DS-Firewall für "VPN" offen sein. (Kannst die IP an dieser Stelle eigentlich weglassen, denn wer es in dein VPN schafft, ist eh drin.)

 

[SwissSabai]

Hallo @Gulliver

das macht aus meiner Sicht alles Sinn und ich habe die Firewall nun genau so konfiguriert.

Anbei die Konfiguration für das "LAN 1" Interface:


Und anbei noch die Konfiguration für das "VPN" Interface:

Mit dieser Konfiguration schaffe ich es nicht mich mit meiner DiskStation zu verbinden wenn ich vom Mobilfunknetz über VPN verbunden bin. Nur wenn ich in "LAN 1" Die DSM Zugriff für die Schweiz öffne klappt es. Das ist das Problem an dem ich anstehe und bisherig all meinen Recherchen und Fragen nicht weitergekommen bin. Weshalb ist die Regel im "VPN" Interface nicht ausreichend, was fehlt noch?

 

[Gulliver]

Die Regeln sollten doch eigentlich Durchlass gewähren (DSM mit dem richtigen Port benannt?).
Ich nutze für mein VPN einen RPi im LAN (und nicht den vpn-Server der DS), daher läuft bei mir alles über die Firewall-Einstellungen von LAN1 und ich kann es hier jetzt nicht nachbauen.
Liegt es evtl. an den VPN-Einstellungen oder zugewiesenen Berechtigungen am vpn-Server?

 

[NSFH]

Du hast tatsächlich noch gar nichts verstanden.
Sinn des VPN ist es, dass du dein LAN zu machst bis auf den VPN Zugang.
Dazu musst du alle VPN Ports im Router zur DS weiterleiten. MEHR NICHT! Alle anderen Freigaben löschen.
Bist du dann per VPN im LAN greift die Regel 1 mit der du intern alles frei gibst (was nach wie vor sehr fragwürdig ist).
In der Firewall sind dann noch die Ports für VPN und zB Land Schweiz freizugeben.
Deine Regel 3 ist wieder Unsinn.

 

[SwissSabai]

Zum einen bin ich ja schon dankbar für die Tipps, zum anderen finde ich aber den Ton manchmal doch auch etwas gar streng und wenig hilfreich ...

Ich "taste" mich ja an die richtige Konfiguration heran und die Regel 3 war ja auch nur zum "Debuggen" gedacht, deshalb ist sie ja auch deaktiviert. Es würde ja schon ungemein helfen, wenn wenigstens Synology selbst besser dokumentieren würde wann genau die Regeln im VPN-Interface greifen, doch leider habe ich hierzu wenig sinnreiches gefunden. Auch wenn Synology versucht es einem einfach zu machen, ist es halt doch alles andere als selbsterklärend. Eine Regel die z.B. alle Services für alle Locations freigibt (oder verbietet) ist z.B. nicht gleichwertig mit dem Haken unten im Interface wonach grundsätzlich traffic erlaubt oder geblockt werden soll, wenn in einem Interface keine Regel greift. So fehlt z.B. port 53 in den vorkonfigurierten Services (ist ja offenbar auch oft ein Stolperstein). So fände ich es wesentlich hilfreicher allenfalls mal eine konkrete Antwort auf die Frage betreffend Regeln die ins VPN Interface gehören zu bekommen als, bloss die wiederholte Ansage, dass man nichts verstanden hätte...

Dass man schliesslich - sobald man im VPN ist - wie von zu Hause aus lokal auf die freigegebenen Dienste zugreifen kann, ohne weitere Port-Forwardings vom Router zu benötigen ist mir auch klar. Den einen oder anderen Port (allenfalls 443) werde ich aber dennoch vom Router weiterleiten wollen um externen Besuchern allenfalls Zugriff auf den Webserver auf der DSM zu geben, die haben ja nichts in meinem VPN verloren.

Ich verstehe inzwischen auch weshalb Regel 1 als fragwürdig betrachtet wird, die werde ich schliesslich sicher noch restriktiver umsetzen können (als Teil des haroenings). Ist ja vor allem um Attacken von "innen" zu unterbinden. Derzeit bin ich aber noch der einzige Nutzer im lokalen Netz und solange ich die VPN Geschichte nicht zum "fliegen" kriege, muss ich ja nicht noch weitere potenzielle "Fehlerquellen" konfigurieren.

Zum Stand der Dinge: ich weiss nicht, ob im Router vom Kabelprovider was "geklemmt" hat, nach einem Neustart desselben klappt nun endlich auch der Zugriff auf den DSM über VPN (mit der in den Screenshots geteilten Konfigurationen). Nur klappt nun der Zugriff auf das WAN nicht mehr, aber da scheine ich in guter Gesellschaft mit vielen anderen Nutzern sein. Ich vermute die Ursache rund um Verfügbarkeit oder Erreichbarkeit der DNS-Dienste, muss mir die Problematik aber erst mal etwas genauer anschauen und mich mit dem Thema besser vertraut machen.

Danke für die Unterstützung bis dahin.