Fragen zur Synology Firewall Konfiguration

[NSFH]

Ich wehre mich einfach dagegen Dinge wiederholt durchzukauen, die im Web problemlos auffindbar sind.
Erst wenn sich daraus Fragen entwickeln merkt man, dass sich derjenige wirklich mit der Materie beschäftigt und nur noch kleine Anstösse braucht. Der Rest fällt bei mir unter die Kategorie stinkend faul und lass die anderen mal arbeiten.......
Musst du jetzt nicht unbedingt auf dich beziehen. Und mein Ton, ok, ist mir aber egal. Will hier keine Freundschaften schliessen und auf Floskeln habe ich keine Lust. Wer es nicht mag mich bitte auf ignore setzen, so einfach ist das.

http://norcats.blogspot.com/2018/09/diskstation-firewall-and-vpn-server.html
Nur grundsätzlich zu Firewallregeln:
Sie werden immer von oben nach unten abgearbeitet. Trifft also eine Erlaubnis zu werden die anderen Regeln nicht mehr geprüft.
Es werden nur Erlaubnisse erstellt
Es gibt nur ein deny, und das steht ganz unten.
Have fun.

 

[SwissSabai]

@NSFH Du bist ja zweifellos ein Experte in diesem Bereich

Wäre ich in einem "normalen" Netzwerk-Forum wäre ja soweit auch alles klar (Regeln von oben nach unten und fertig).
Dies hier ist ja aber ein Synology-Forum und ich habe bewusst hier nachgefragt, weil in keinem Netzwerk-Forum werde ich Antwort erhalten wann Regeln im VPN Tab zu definieren sind und wann in den anderen Interfaces. In der Dokumentation, in vielen Posts und Videos werden die Regeln meist in "All Interfaces" definiert, was ich nicht unbedingt schlau finde. Zumal gibt es dort auch kein "deny" das ganz unten steht - dies verleitet wohl viele dazu eine Regel zu definieren, die alles verbietet, die dann aber eben doch nicht so konsequent ist wie ein "Deny" ganz unten in den spezifischen Interface Seiten.

Über den verlinkten Artikel bin ich schon früher "gestolpert" und der Autor beschreibt ja darin auch wie verwirrend das VPN interface ist und bringt ja auch zum Ausdruck, dass er sich auch nach der Konfiguration noch nicht ganz sicher ist ("IDK"):

The VPN interface was also confusing to me, I figured it meant either when Diskstation itself was configured to be a VPN client, or it would mean the interface for VPN Server clients. After much back and forth I found that the VPN interface in fact means the latter (maybe also the former, IDK)

Deshalb habe ich die Frage ja auch wiederholt im Forum gestellt. Die Synology Dokumentation ist diesbezüglich eben sehr sehr dürftig.

 

[NSFH]

Idk= i dont know
Und ja, die fw einstellungen bzw beschreibungen beziehen sich auf den vpn Server.
Von den globalen Einstellungen der syno firewall halte ich auch nichts. Besser ist es jedes interface einzeln zu definieren.

 

[SwissSabai]

Soweit sind wir ja gleicher Meinung, und genau wegen dem IDK habe ich das Zitat ja auch gepostet.

Bin mich noch immer am Einlesen rund um die DNS Thematik weil ich hier die Ursache vermute, dass ich - wenn ich mal im VPN bin - nicht mehr auf externe Adressen zugreifen kann. Hauptsache ich habe die Tür erstmal von aussen ziemlich "verriegelt", komme aber selbst immer noch von extern auf die DSM - dies war ja auch mein Hauptanliegen.

 

[SwissSabai]

Nahchtrag: ich habe nun auch eine Erklärung gefunden, weshalb ich so Mühe bekundete von meinem Laptop bei aktivieren VPN auf meine Diskstation zuzugreifen (der Laptop ist mittels Tethering mit meinem iPhone als mobilen Hotspot mit dem Internet verbunden). Die vom VPN Server zugeteilte IP-Adresse werden vom iPhone nicht an den Laptop zurückgegeben. Die Zugriffe vom Laptop auf die Diskstation erfolgen stets mit der externen, vom Mobilfunkbetreiber zugewiesenen IP-Adresse. Das scheint eine grundsätzliche Limitierung (zumindest des iPhones) zu sein. Weiss nicht, ob es sich dabei um einen "Bug" oder allenfalls gar um ein "Security" Feature handelt. Auch ist es nicht möglich die aktive VPN auf dem iPhone mittels tethering und Hotspot zu nutzen. Der laptop bekommt immer die IP Adresse des Mobilfunknetzbetreiber zugewiesen. So kann ich einfach zu Hause keine externen Zugriffe vom Laptop aus simulieren. Vom iPhone aus klappt aber nun alles wie erwartet und konfiguriert (bei einer aktiven VPN-Verbindung).

 

[plang.pl]

Kannst du dich nicht (zusätzlich) mit dem Laptop auch mit dem VPN-Server verbinden?

 

[SwissSabai]

Zu Hause verfüge ich nur über ein lokales WLAN. Und natürlich kann ich mit dem Laptop direkt und über VPN mit der Disk Station verbinden (habe also immer eine lokale IP-Adresse, die es durch die Firewall schafft)

Zur Simulation eines externen Zugriffs, habe ich den Laptop mit dem Hotspot meines iPhones verbunden, das wiederum mit dem Mobilfunk-Netz verbunden ist. Fies funktioniert nicht (scheitert an meinen Firewall Rules) weil ab iOS 13 offenbar kein VPN passthrough mehr unterstützt witd für L2TP/IPSec, d.h. mein Laptop bekommt trotz stehender VPN Verbindung (egal ob auf iPhone oder Laptop) immer die IP-Adresse meines Mobilfunk-Providers zugewiesen und nie die lokale “VPN”-Adresse. Deshalb schaffen es die Zugriffe dann auch nicht durch die Firewall (externe IP Adressen blockiere ich).

Ein Problem wird es dann, wenn ich im Ausland kein WLAN zur Verfügung habe und auf meinen Hotspot angewiesen bin.

Eventuell funktioniert VPN passthrough mit OpenVPN. Das habe ich noch nicht ausprobiert.

 

[synfor]

Geht der Traffik des Laptops überhaupt durchs VPN? Der IP-Adresse nach eher nicht.

 

[SwissSabai]

@synfor Wenn ich über das heimische LAN Verbunden bin: ja (sehe dann auch, dass der Laptop die Adresse vom VPN Server zugewiesen bekommen hat)

Wenn ich über meinen iPhone Hotspot verbunden bin, dann sorgt iOS dafür dass mein Laptop sich der einer externen Adresse ausweist. Ich müsste die Firewall öffnen um zu sehen, ob die Requests über zum VPN Server gelangen, möchte dies ja nicht so offen lassen.

 

[NSFH]

VPN aus dem heimischen Lan ins heimische Lan geht nicht!
Sender und Empfänger müssen in unterschiedlichen subnets laufen.

 

[Benares]

VPN aus dem heimischen Lan ins heimische Lan geht nicht!

Och, teilweise geht das schon, wenn es nicht gerade ein LAN2LAN-VPN ist

 

[SwissSabai]

Nun ja, gemäss Logs des VPN Servers sieht es aber schon danach aus.... ansonsten sind die Logs zumindest für mich irreführend:

1. Verbindung vom iPhone (22:56):
   • iPhone über WiFi
   • iPhone VPN on/off
2. Verbindung vom iPhone (22.57):
   • iPhone über 4G
   • iPhone VPN on/off
3. Verbindung vom MacBook (22:58):
   • MacBook über WiFi
   • MacBook VPN on/off
4. Verbindung vom MacBook (22:59):
   • via Hotspot zum iPhone via 4G
   • MacBook VPN on/off

 

[synfor]

Das was der VPN-Server da loggt ist immer die Adresse des VPN-Clients. Beim Hotspot des iPhones übers Mobilfunktnetzt ist das das iPhone selbst mit halt der 178.197.xxx.xxx

 

[SwissSabai]

Ja, mein Post war als Antwort auf @NSFH gedacht, aber vielleicht habe ich ihn auch falsch verstanden. Auf alle Fälle protokolliert der VPN Server Zugriffe aus dem eigenen LAN.

Ich werde es demnächst mal mit OpenVPN versuchen, weil ich so hoffe, dass dann auch mit den Zugriffen über's Mobilfunknetz die VPN IP Adresse vom iPhone durchgereicht wird (VPN Passthrough) und nicht die vom Telecomprovider zugewiesene externe Adresse.

 

[synfor]

Du hast das mit dem VPN Passthrough anscheinend nicht richtig verstanden. Das müsste der Router vor deiner DS unterstützen und nicht der VPN-Server auf der DS.

Ach ja, ich habe da was übersehen: Der VPN-Client ist nicht immer das iPhone. Das stellt aber dem Macbook den Internet über den Hotspot zur Verfügung und daher erscheint, wenn der VPN-Client das Macbook ist, da die gleiche öffentliche IP-Adresse beim VPN-Server im Log. VPN Passthrough ist da meiner Meinung nach keine Baustelle, denn der Tunnel wird ja aufgebaut. Du kommst mit dem Macbook nur nicht ins Netzt hinter dem Server. Was für private IP-Adressen bekommt denn dein Macbook am Hotspot? Nicht dass die mit denen im Netz des VPN-Servers kollidieren.

Schon mal testweise versucht, das VPN mit dem iPhone aufzuspannen und den Traffik aus dem Hotspot darüber zu leiten? Ursprünglich hatte ich angenommen, dass du das so machst, weshalb ich auf die Idee gekommen bin, dass der Traffik des Macbooks am VPN vorbei läuft und das dann natürlich nicht funktioniert.

 

[SwissSabai]

Vielleicht verwende ich mit VPN Passthrough den falschen Begriff - in den bisherigen von mir konsumierten Artikeln wurde an diversen Stellen darauf hingewiesen, dass das mit dem iPhone als Hotspot keine VPN Verbindungen mehr aufgebaut werden können (erst seit dem Update auf iOS 13 nicht mehr), das "VPN Passthrough" nicht mehr unterstützt würde für L2TP/IPSec, da zu unsicher. Dies soll sich so auswirken, dass eben nicht die vom VPN-Server zugewiesenen IP Adressen "weitergereicht" werden, sondern stets die externe des iPhones.

Und ja, es spielt auch keine Rolle ob ich das VPN am iPhone aufbaue (auf ausprobiert) oder am MacBook, das MacBook versucht dann nach wie vor mot der externen Adresse des iPhones auf die DS zuzugreifen. Der Zugriff vom iPhone direkt auf die DS klappt jedoch, d.h. in diesem Fall weist sich das iPhone mit der vom VPN Server zugewiesenen Adresse aus (wie es auch sein sollte).

 

[synfor]

Das fehlende VPN Passthrough, sofern das wirklich die Ursache ist, sollte dann aber den Aufbau des VPN vom Macbook aus verhindern. Ist das so? Deinem Beitrag mit dem Log des VPN-Servers nach eigentlich nicht. Außerdem, wenn das iPhone das VPN aufmacht und den Traffik des Hotspots darüber leitet, wird VPN Passthrough auf dem iPhone gar nicht benötigt. Es muss nur der Traffik (nicht unbedingt der komplette) des Hotspots durchs VPN geroutet werden, was möglicherweise nicht passiert.

Aber vielleicht kommst du ja mit OpenVPN ja doch ans Ziel.

Der Zugriff vom iPhone direkt auf die DS klappt jedoch, d.h. in diesem Fall weist sich das iPhone mit der vom VPN Server zugewiesenen Adresse aus (wie es auch sein sollte).

Der VPN-Server sieht aber immer die öffentliche Adresse deines iPhones, egal wer das VPN aufmacht, das iPhone selbst oder das Macbook über den den Hotspot.