Hardware Firewall

[blurrrr]

Dafür müssen die Freunde dann eben VPN einschalten, um zu uns ins LAN zu kommen.

Wie schlau ist sowas denn...

Jetzt bekomme ich bestimmt „Schimpfe“, weil ich zwei Freunde/innen meines Sohnes über VPN hereinlasse...

Aber hallo, vom feinsten... Wenn man die Zugänge nicht vernünftig managen kann, sollte man sowas tunlichst unterlassen, weil man auch nicht weiss, was für eine Rotze (sorry) auf den Rechnern der sich einwählenden rumtreibt. Sowas ist einfach nur hochgradig <piep> ?

@Stationary Du bist nicht zufällig Programmierer? (*klick* ?? Ist natürlich nur Spass...?)

Wenn man die Zugänge entsprechend regeln kann (MC-Server-only), dann kann man sowas durchaus machen, aber ansonsten würde ich davon schon abraten, zumal man es so auch in keinster Weise unter Kontrolle hat. Wäre es "real" (Freunde im Haus) müssten die schon "wissender Weise" Schaden anrichten, damit es übel wird. Dummerweise wissen die meisten nichtmals, dass irgendein Müll auf der eigenen Kiste läuft, daher kann man den Leuten noch nichtmals einen Vorwurf machen...

EDIT: Das hier ist dann noch das A und O (oder B?)...:

Tommes schrieb:

Und falls es mich dann doch mal erwischt, dann werde ich auch das überleben... wozu gibt es schließlich gut durchdachte Backup Strategien.

Allerdings hat die Sache auch einen Haken... Daten einfach nur "weg" ist eine, Daten abgezogen (und weiterverarbeitet) eine ganz andere (sollte man zumindestens auch mal drüber nachgedacht haben, da es ggf. auch nicht nur einen selbst betrifft).

 

[andronex]

Zum Minecraftserver zwei Hinweise: erstens mußt Du die Ports nicht nach außen aufmachen, sondern kannst den Server im LAN halten. Mache ich auch so. Dafür müssen die Freunde dann eben VPN einschalten, um zu uns ins LAN zu kommen. Ein wenig Vertrauen in die Freunde Deiner Tochter brauchst Du dann allerdings. Hängt aber auch davon ab, ob Du einen Bedrock-Server anbieten willst, oder einen Java-Server. Läuft beides hervorragend in Docker. Der Java-Server könnte allerdings auf einer 220+ etwas laggen. Mit einer 720+ läuft der definitiv besser. Ich habe beide Server auf meiner 720+ installiert, nach außen offen sind da keine Ports. Den Java-Server habe ich mittlerweile allerdings wieder abgeschaltet und lasse den auf einem Raspberry Pi 4 8GB laufen.
Wenn Du Tipps zu Minecraft-Servern für Deine Tochter willst, schick‘ mir einfach mal eine Privatnachricht. Da das eher kein Synology-Problem ist, können wir das getrennt besprechen.

Was den Umtausch der 220+ in eine 220j angeht, so würde ich die + behalten. Ist einfach das bessere Gerät.

Jetzt bekomme ich bestimmt „Schimpfe“, weil ich zwei Freunde/innen meines Sohnes über VPN hereinlasse...?

das hab ich auch schon überlegt, auch die LAN-LAN Kopplung, weil auf der Gegenseite auch eine Fritz vorhanden, aber soviel Vertrauen hab ich dann doch nicht ?

 

[blurrrr]

Site2Site würde bedeuten, dass Du nicht nur den Freund reinlässt, sondern auch alle seine Freunde ("Ey, gib ma WLAN-Passwort!" und so)...

 

[Stationary]

LAN-LAN-Kopplung würde ich da eher nicht machen, weil das wirklich ständig offen ist. Bei VPN-Zugang auf den Bedrock-Server von einem Tablet aus habe ich etwas weniger Magenschmerzen, weil die Malware für ein iPad eher selten ist.
Sorgen bereitet mir eher der Zugang zum Java-Server. Da gebe ich @blurrrr durchaus Recht, ist ein Betriebsrisiko.

 

[Tommes]

@blurrrr meine Nacktbilder sowie diverser anderer Schund ? liegen bei mir in verschlüsselten, gemeinsamen Ordnern, die bei nicht Gebrauch auch getrennt sind. Und wer versucht, mit dem Rest von dem was er findet, rumzuplahlen, der darf das gerne tun. Das wäre dann aber schon ein wenig armselig. Aber du hast natürlich recht... die Gefahr ist immer da. Es könnte auch gleich jemand bei mir einbrechen, oder ich werde morgen von einem Auto angefahren. Das ganze Leben ist ein Risiko, man kann nur versuchen, so lang wie möglich am Leben zu bleiben, aber einen tot müssen wir alle sterben.

 

[andronex]

nun, momentan tut's auch ein MC Server bei Aternos zum Zusammenspielen, den auf der DS gibt's wenn überhaupt dann nur im LAN wenn die Freunde zu Besuch sind und als Backup für die MC Welten

 

[NSFH]

Der Router hat eine Firewall
Hier gebe ich Ports frei, damit bestimmte Dienste auf der Syno aus dem Internet nutzbar sind.
Sicherheit hergestellt
Dahinter schalte ich noch eine "Hardwarefirewall".
Hier gebe ich Ports frei, damit bestimmte Dienste auf der Syno aus dem Internet nutzbar sind.
Dahinter schalte ich noch eine "Hardwarefirewall".
Hier gebe ich Ports frei, damit bestimmte Dienste auf der Syno aus dem Internet nutzbar sind.
Dahinter schalte ich noch eine "Hardwarefirewall".
Hier gebe ich Ports frei, damit bestimmte Dienste auf der Syno aus dem Internet nutzbar sind.
...............(Was hat sich bisher gebessert oder verändert? Nada, nichts, rien)
In der Synology Firewall schalte ich zuletzt die Ports frei, damit bestimmte Dienste auf der Syno aus dem Internet nutzbar sind.

Jetzt verständlich wie sinnfrei die Frage an sich schon ist?
Lösen kann man das Problem nur mit 2 unterschiedlichen Netzen, zB mit einem Miniserver in der DMZ des Routers (wenn der sowas kann), losgelöst von der Syno im LAN.

 

[Stationary]

Zugang zum Java-Server

Weiß in diesem Zusammenhang jemand, ob ein Draytek Router zwei DynDNS-Adressen verwenden kann, mittels derer zwei voneinander getrennte Netzwerke (vielleicht auch DMZ-artig) angesprochen werden können? Ich weiß, gehört nicht ins Syno-Forum, aber vielleicht weiß es ja zufälligerweise jemand hier.

 

[blurrrr]

Also wenn es wer weiss, dann sicherlich @NSFH ?? Allerdings kann ich nicht ganz nachvollziehen, was das mit den zwei getrennten Netzen zu tun haben soll... DynDNS ist für die WAN-Seite, nicht für die internen Netze. WAN-seitig wird sowieso nur 1 Anschluss existieren...

 

[Stationary]

Ja, war schlecht formuliert. Die Idee, deren Realisierung ich seit einiger Zeit suche, ist die folgende: der RasPi-MC-Server soll in ein eigenes Netz, das vom Hauptnetz getrennt sein soll. Vom Hauptnetz sollte nach Möglichkeit (ist aber kein Muß) Zugriff darauf realisierbar sein und eben von draußen. Von diesem Netz soll aber auf keinen Fall Zugriff auf das Hauptnetz möglich sein.
Der Router hat Richtung DSL natürlich nur eine externe IP, und die Frage war, ob es sich realisieren läßt, daß ein Router erkennt, ob ein VPN-Client, der mittels DynDNS sein Ziel auf dem Router findet, in das Hauptnetz darf, oder in das getrennte Netz geleitet werden soll. Eben aufgrund des Problems, daß ich nicht sicherstellen kann, was andere auf ihren Rechnern haben. Kann man wahrscheinlich zeichnerisch besser erklären.

 

[blurrrr]

Vom Hauptnetz sollte nach Möglichkeit (ist aber kein Muß) Zugriff darauf realisierbar sein und eben von draußen. Von diesem Netz soll aber auf keinen Fall Zugriff auf das Hauptnetz möglich sein.

Das nennt sich dann "stinknormale Firewallregeln"?

ob es sich realisieren läßt, daß ein Router erkennt, ob ein VPN-Client, der mittels DynDNS sein Ziel auf dem Router findet, in das Hauptnetz darf, oder in das getrennte Netz geleitet werden soll.

Das könnte man z.B. mit statischen IP-Adressen für die VPN-Clients lösen, oder mit unterschiedlichen VPN-Netzen. Ist und bleibt aber so: In erster Instanz: Firewall-Regeln.

 

[the other]

Moinsen,
Hatte auch kurz gestutzt... Ich vermute mal, dass das Ziel ist:
Dyndns a (minecraft) fürs dmz
Dyndns b fürs lan

 

[Stationary]

stinknormale Firewallregeln

Daran scheitert es bei mir momentan...? das mit einer Fritzbox einzurichten. Falscher Router für so etwas, oder? Oder falscher Administrator ?
Ein bestimmtes Benutzerkonto darf eine Verbindung von außen herstellen, soll aber nach Möglichkeit nur auf den RasPi dürfen und nirgendwo sonst hin.

 

[blurrrr]

Sowohl als auch, der richtige Administrator hätte Dir dann schon gesagt, dass sowas nicht mit einer Fritzbox funktioniert, da schlichtweg die Regelmöglichkeiten fehlen (Quelle - Protokoll - Ziel - darf/darf nicht). Lässt sich über so manch vernünftige Firewall auch hübsch lösen.

 

[Stationary]

Lässt sich über so manch vernünftige Firewall auch hübsch lösen

Würde man da dann eine Hardware-Firewall hinter die Fritzbox hängen können, oder muß da ein ganz anderer Router her? Mich treibt das schon seit einem Monat um, seit ich den Java-Server eingerichtet habe, bei Bedrock mit den iPads hatte ich (vermutlich unberechtigterweise) weniger Bedenken.

 

[the other]

Moinsen,

der RasPi-MC-Server soll in ein eigenes Netz, das vom Hauptnetz getrennt sein soll. Vom Hauptnetz sollte nach Möglichkeit (ist aber kein Muß) Zugriff darauf realisierbar sein und eben von draußen. Von diesem Netz soll aber auf keinen Fall Zugriff auf das Hauptnetz möglich sein.

Das geht mit ner einfachen Router kaskadierung. Wenn (!) du mit doppelt nat leben kannst.
Es gibt auch Router mit vorkonfiguriertem dmz Port. Die haben dann oft auch vlan, vpn, Firewall mit an Board.
Oder eben opnsense / pfSense.
Aber, wie @Tommes leider geschrieben hat: die lernkurve ist am Anfang steil für quereinsteiger. Ging mir nicht anders. Und es bleibt ein stets dranbleiben. Das gilt eben für all den Netzwerk Kram, da haben normale Menschen eben eigentlich nie was mit zu tun. Das machen nur die beruflichen oder die bescheuerten... Wie wir.

 

[blurrrr]

Kannste ruhig dahinter hängen, aber dann wird auch erst ab dahinter geregelt. Fritzbox kann statische Routen, also brauchste auch kein Doppel-NAT. Habe hier 2 Anschlüsse mit 2 ISP-Routern und dahinter zentral die Firewall.

 

[Stationary]

Das geht mit ner einfachen Router kaskadierung

Das mit der Routerkaskadierung hatte ich mir schon mal angesehen, ich habe noch eine alte Fritzbox herumstehen. Was mir da dann nicht ganz klar war, war das folgende: DSL-Fritzbox1 (192.168.10.1, macht Hautpnetz auf), daran angeschlossen Fritzbox2 (192.168.20.1 mit angeschlossenem MC-Server). Das VPN geht dann ja von Fritzbox2 aus, wenn ich das richtig verstanden habe, dann kann ich aber kein VPN mehr von außen auf das Hauptnetz machen, soll heißen, meine LAN-LAN-Kopplung der drei Netzwerke entfällt. Und ich kann nicht mehr von außen auf meine Diskstation. Oder habe ich da etwas völlig falsch verstanden?

Kannste ruhig dahinter hängen, aber dann wird auch erst ab dahinter geregelt

Ein Modellempfehlung, die für Netzwerkeinsteiger nicht zu komplex zu konfigurieren ist, aber das macht, was ich vorhabe, hast Du nicht zufällig? (nicht, daß ich nicht danach suchen wollte, aber wenn bereits gute Erfahrungen mit einem Modell vorhanden sein sollten...Sophos, Ubiquiti?). Geht LAN-LAN-Kopplung mit der Firewall dazwischen noch? Also die beiden Diskstations sollten noch miteinander synchen können und aus dem Netzwerk ohne DS sollte man noch auf die Surveillance Station zugreifen können.

 

[blurrrr]

Ich persönlich nutze Sophos. LAN zu LAN kann sogar einfach so bestehen bleiben (wenn Du willst), an der Firewall kannst Du dann noch konfigurieren, was aus dem Remote-Netz überhaupt an die Syno darf (z.B. via Remote-IP) und/oder was auch immer Du willst. Wichtig zu wissen wäre nur, dass sobald die Syno das "LAN" (Dein primäres Netz) verlässt, um so z.B. in eine DMZ o.ä. zu wandern, dass dann die Broadcast-Domäne gewechselt wird. An sich nicht schlimm, nur wirst Du dann auf sämtliche Dinge verzichten dürfen, welche auf einen Broadcast setzen. Du wirst z.B. auch die Syno nicht mehr unter Windows unter "Netzwerk" sehen, kannst sie aber durchaus noch über ihre IP ansprechen, usw.

EDIT: Grundsätzlich sollte man da aber auch schon halbwegs wissen was man tut und vor allem auch worauf man bei div. Konstrukten verzichten darf/muss. Kannst ja erstmal mit einer kostenlosen Geschichte anfangen (pfSense/OPNsense wären so die üblichen Verdächtigen, alternativ Sophos UTM Home (von der XG halte ich persönlich nichts), etc.). Der Markt ist da recht breit gefächert, es gibt mehr als genug Auswahl. Machste eine VM mit und schaust Dir die Sachen erstmal an und entscheidest ggf. dann, ob Dir da was spezielles liegt und/oder, ob es überhaupt etwas für Dich ist. ??

 

[the other]

Was mir da dann nicht ganz klar war, war das folgende: DSL-Fritzbox1 (192.168.10.1, macht Hautpnetz auf), daran angeschlossen Fritzbox2 (192.168.20.1 mit angeschlossenem MC-Server).

Moinsen,
Also wenn, dann den mcserver ins erste Netz hinter der ersten fritzbox, dann den 2. Router mit dem LAN...
Theoretisch kann das gehen, aber mit den Zielen, das dann auch noch plus vpn auf den hinteren Router terminiert und nur mit ner fritzbox...
Mal langfristig gedacht... Vielleicht irgendwann bedarf nach differenzierter Netz Design? Iot Mist ins eigene Netz, Gäste sowieso.
Also eher mal die Frage stellen: will ich diesen Pfad wirklich beschreiten?
Konkretes Modell hab ich nicht, ausser eben die Richtung draytek oder apu Boards mit opnsense / pfSense. Das hinter den Router. Nur per vpn von außen erreichbar. Der komm-und-fang-mich schrott dann nur hinter die Fritz oder in ein eigenes netzsegmenten...