GeoIP funktioniert nicht?!

[RasmusV]

Hallo liebe Forengemeinde,

ich musste nun feststellen, dass trotz aktiver Regionen Beschränkung ein Zugriff auf meine Diskstation aus nicht zugelassenen Regionen möglich war. Im Prinzip ist die Firewall wie in diesem Thema dargestellt parametriert.

Es sind also lediglich bestimmte Ports ausschließlich aus der Region Deutschland erreichbar. Trotzdem konnten sich Benutzer über die Mobilen Apps aus dem europäischen Ausland auf die Diskstation einloggen (Kein Angriff, das Einloggen erfolgte durch "authorisierte" Benutzer).

Darauf hin habe ich mir die IP des Benutzers geschnappt und bei GeoIP Tools eingegeben. Und siehe da, sie wurde als "nicht Region Deutschland" identifiziert.

Man muss dazu sagen, dass Quickconnect aktiviert ist und evtl. dort das Problem liegt. Allerdings würde ich das auch bei aktivierten Quickconnect als sehr ungewünschtes Verhalten der Firewall sehen. Da die Nutzer, welche sich gerade im europäischen Ausland befinden, ein wenig unbeholfen sind, kann ich leider derzeit auch nicht testen, ob es bei anderen Zugriffsweisen als Quickconnect anders aussieht.

Konntet ihr die Sicherheit/Funktionsweise eurer Firewall bezüglich Regionen testen? Welche Erfahrungen habt ihr? Habe ich vielleicht etwas falsch konfiguriert?

Viele Grüße!

 

[mördock]

Auch ich hatte einige Zeit "Probleme" mit der Firewall. Der Teufel liegt oft im Detail.
Prüfe bitte:
- sind nur Regeln bei LAN eingetragen, denn sollte bei "Alle Schnittstellen" was eingetragen sein, im schlimmsten Fall das alles erlaubt ist, griefen die Regeln bei "LAN" nicht mehr.
- bedenke das die Firewall von oben nach unten arbeitet. Steht z.B. etwas bei "Alle Schnittstellen" das zutrifft werden alle weitere Regeln ignoriert, auch die, die erst bei "LAN" auftauchen.
- testen kannst Du Deine Einstellungen recht gut mit dem Opera Browser (die Entwicklerversion, glaube das Feature hat es noch nicht in die endgültige Version geschafft) , der bietet einen Proxy, so dass Du den Zugrif aus dem Ausland simulieren kannst.

 

[RasmusV]

Vielen Dank für die schnelle Antwort!

Bezüglich der Schnittstellen ist mir sowieso etwas nicht klar. Unter welcher Schnittstelle muss ich meine Regeln denn definieren?

• Alle Schnittstellen
  Eigentlich würde ich alle meine Regeln hier definieren, da ich mir dann sicher sein kann, dass sie angewendet werden (Prioritätenliste der Firewall-Regeln)
• LAN
  Bisher hatte ich die Regeln hier definiert, da ich mir dachte, dass sämtliche Zugriffe ja über die "Schnittstelle LAN" erfolgen.
• PPoE
  Wird nicht genutzt. Also hier auch keine Regeln definieren.
• VPN
  Wird derzeit nicht genutzt. Also hier auch keine Regeln definieren.

Bei den letzten drei Schnittstellen ist dann auch jeweils "Zugriff verweigern, wenn keine Regeln zutreffen" aktiviert.

Wie macht man es denn richtig? Bzw. wofür stehen die Schnittstellen?

Viele Grüße!

 

[mördock]

Bei mir stehen die Regeln nur unter "LAN". Habe mich, wie Du, an Tommes Anleitung orientiert.
- loakles Netz komplett freigegeben
- bestimmte Ports nur für Deutschland freigegeben.

Hast Du unten auch angeklickt, das der Zugriff verweigert wird wenn keine der Regeln zutrifft? Ich hatte mal nen Gedankenfehler drin, weiß aber nicht mehr genau was ich falsch verstanden hatte. Inzwischen geht es einwandfrei.

 

[RasmusV]

So, habe nun mehrfach die Firewall Konfigurationen geprüft und sie sind logisch sowie nach dem oben genannten Beispiel parametriert.

Darüber hinaus habe ich mittels Proxyservern den Zugriff aus dem Ausland erprobt. Dabei ergibt sich vornehmlich das Problem, dass die Proxyserver meist nur über eine Port verfügen und dann manchmal auch nicht klar ist, ob der Zugriff aufgrund der Firewall Einstellungen nicht möglich war, oder weil beispielsweise der Port grundsätzlich nicht durch den Proxy geleitet wird oder eventuell die Zeit überschreitet.

Somit habe ich z.B. den WebMan Zugriff auf HTTP und Port 80 gelegt, damit bei einem 80er Proxy auch dieser verwendet werden kann. Das Ergebnis war, dass ich aus dem Ausland keinen Zugriff hatte. Interessanterweise hatte ich aber auch nach freigeben der entsprechenden Region in der Firewall keinen zugriff. Also keine anständige Durchleitung durch den Proxy?

Bei der Verwendung von QuickConnect sah es größtenteils auch so aus, als dass ich keinen Zugriff bekomme. Das ganze habe ich auch noch mit einer Diskstation geprüft, welche nicht in meinem lokalen Netzwerk steht und auf diese konnte ich nicht zugreifen. Allerdings hat hier QuickConnect auch immer auf den freigegebenen 5001 navigiert, welcher wohl sowieso nicht durch den Proxy kommt?!

Allerdings war es mir einmal möglich mittels QuickConnect und einem USA Proxy auf meine hiesige Diskstation zuzugreifen. Der Zugriff mittels gleichen Proxy auf eine entfernte Diskstation war nicht möglich. Die IP des Proxys für den erfolgten Login wurde auch im Protokollcenter gespeichert. Wurde nun also durch QuickConnect die Firewall ausgehebelt?

Ich bin weiterhin verwirrt, insbesondere auch, da der erste oben geschriebene Login trotz meiner Meinung nach richtigen Firewall Einstellungen möglich war. Weiterhin war auch der Zugriff über Proxy und entsprechend freigegebener Region nicht möglich. Also war über den zu dem Zeitpunkt gewählten Proxy vllt. sowieso kein Zugriff möglich?


Ich würde nun gerne in die Runde fragen, wie denn die Erfahrungen mit geoIP und entsprechender Zugriffsverweigerung entsprechender Regionen in der Firewall sind. Wurde die Firewall diesbezüglich von Euch erfolgreich getestet?

Viele Grüße!

 

[RasmusV]

Da ich nicht alle Tage ins Ausland komme, erfolgt hier nun eine relativ späte Antwort zu weiteren Tests die ich bezüglich des obigen Themas noch durchgeführt habe.

Bei der Verwendung von Quickconnect scheinen teilweise die Regeln der Firewall außer Kraft zu sein. Um das zu testen, habe ich alle Ports im Router dicht gemacht. Quickconnect kann somit keine offenen Ports finden. Die Firewall war entsprechend obiger genannter Beispiele so konfiguriert, dass nur ein Zugriff aus Deutschland möglich sein sollte. Allerdings konnte aus dem Ausland trotzdem mittels Quickconnect auf die Diskstation zugegriffen werden. Anscheinend werden die Firewall Regeln der Diskstation bei der Kommunikation über den Quickconnect Relay-Server teilweise oder gänzlich außer Kraft gesetzt.

Das bestätigt wiederum, dass von der Nutzung von Quickconnect doch eher abzuraten ist.

Viele Grüße!

 

[Andy14]

... Anscheinend werden die Firewall Regeln der Diskstation bei der Kommunikation über den Quickconnect Relay-Server teilweise oder gänzlich außer Kraft gesetzt. ...

Wenn die ganze Kommunikation über den Relay Server läuft müsste die DS ja schon ihre Firewall Regeln (bezüglich IPs) zum Relay Server übermitteln der dann den Client abweisen müsse. Das NAS sieht ja nur den Syology Server und nicht den Client!

 

[RasmusV]

Ja...

Allerdings ist die IP, welche im Protokoll-Center angezeigt wird, einer ausländischen zugeordnet. Die Diskstation hat also trotz Quickconnect die ausländische IP gesehen und die Verbindung zugelassen.