DSM 6.x und darunter Internetverbindung nur über VPN erlauben? eingebaute Firewall?

Alle DSM Version von DSM 6.x und älter

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
Hi,

ganz knapp:
Kann man der DiskStation diktieren nur über eine VPN Verbindung mit dem Internet zu kommunizieren?
VPN einrichten ist ja trivial, aber wenn er abbricht, wieso auch immer, dann laufen die Daten ungeschützt. Das will ich vermeiden.
Klar könnte man das über das Gateway des LANs bzw. eine ordentliche Firewall machen, einfach die Regel gesetzt, dass Host NAS nur zum VPN Server kommunizieren darf. Trivial. Die DSM eingebaute Firewall finde ich ein wenig rudimentär, aber vielleicht übersehe ich ja eine Möglichkeit. Ich nutz die nie.
Geht das irgendwie damit?

Ist nicht für mich, aber es gibt halt auch Leute, die keine ordentlichen konfigurierbaren Router/Firewalls haben.
Ich hab auch öfter hängende abgebrochene und dann auf "connecting" hängende OpenVPN Verbindungen im DSM. Wenn dann die externe Firewall nicht den Traffic unterbinden würde würde alles so übers Netz geschoben, daher fände ich die Funktion kritisch und gut zu wissen.

Danke & Grüße
Randfee
 
Zuletzt bearbeitet:

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Was meinst du mit die DSM soll nur über vpn mit dem Internet kommunizieren?
Soll die ds selbst Dienste anbieten oder soll damit nur sichergestellt werden saß die DS "sicher" ihre Update bezieht?
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
von Diensten bis downloads. Ich will einfach, dass der komplette Internetverkehr der DS nur über den Tunnel erfolgt. Wie gesagt, man kann VPN ja einrichten und automatisch verbinden lassen. Aber erfahrungsgemäß bricht der Tunnel ja auch mal ab und genau für die Momente soll die DSM-eigene Firewall halt dicht machen.
 

tschortsch

Benutzer
Mitglied seit
16. Dez 2008
Beiträge
1.645
Punkte für Reaktionen
34
Punkte
74
Wenn der Tunnel sowieso von der ds aufgebaut wird und nicht vom router dann besteht sowieso kein Zugriff von aussen bei einem nat Router wenn die VPN Verbindung tot ist und auf dem router keine portweiterleitung aktiv ist ;)
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
Das ist mir klar aber du verstehst es nicht bzw. ich drücke mich missverständlich aus.
Ich will nicht, dass das NAS Zugriff aufs Internet hat ohne durch den Tunnel zu gehen. Kein Dienst, gar nichts!
Wenn ich jetzt zB OpenVPN einrichte und verbinde, dann geht erstmal alles durch den Tunnel. Wenn die VPN Verbindung aber abbricht, dann läuft alles ganz normal ohne Tunnel weiter. Ziel ist es, dass das NAS ohne Tunnel auch nicht ins Internet kann. Wenn der Tunnel dann wieder steht geht wieder alles dadurch. Das ist inakzeptabel!

Ich habe bereits geschrieben dass mir völlig klar ist dass man so etwas mit einer externen Firewall kann. Meine Frage ist wie kann ich das im DSM selber realisieren?!
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
Hallo nochmal,

weiß niemand eine Lösung? Ich kriegs jedenfalls mit der Firewall im DSM nicht hin.

Grüße
Randfee
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Du hast die Lösung eigentlich schon selbst gegeben. Wie soll die NAS denn den Tunnel aufbauen ohne Internet?

Die sog. Firewall der NAS filtert nur eingehenden traffic.
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
"Ohne Internet". Die DS soll ja explizit auf den VPN Server zugreifen dürfen, auf sonst nichts.
In einer ordentlichen Firewall doch einfach zuweisbar?!

Wahrscheinlich kann die wirklich nur mit eingehendem Traffic umgehen. Schade... eine reine Software-Sache. Wahrscheinlich kann das Router DSM solch aus meiner Sicht mitlerweile fundamentalen Security-Maßnahmen auch nicht... dabei spielte ich schon mit dem Gedanken einen RT2600ac zuzulegen.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Und Dein VPN-Server steht im LAN?!?
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
Ich glaube, randfee meint, dass die DS nur in Verbindung einer VPN-Connection erreichbar sein soll. Aber da wäre die DS gar nicht für VPN empfänglich.
Aber wie soll die DS dann checken - wenn die VPN unterbrochen ist (siehe Posting oben) - dann soll man die DS "offline" machen. Wenn du dann die VPN wieder aufbauen willst, wie merkt die DS dann?

Check die Gedankengänge hier nicht so ganz!
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
hm... wenn ihr's alle nicht versteht bin ich wohl zu blöde zum erklären. Nochmal ein Versuch, denn es ist eigentlich Firewall 1mal1.

  • Regel 1: Allen Traffic verbieten (inbound ist eh klar, aber vor allem auch outbound!!)
  • Regel 2: IP-Range zuhause erlauben
  • Regel 3: Statische IP des VPN servers auch erlauben

fertig. Wo ist das Problem? Ganz typisch sind die Regeln, wenn in der richtigen Reihenfolge "kumulativ" und funktionieren einfach. Ich bin kein Profi (also nicht vom Fach), daher fällt hier die Erklärung wohl so schwer möglicherweise fehlt mir die Terminologie. Auch weiß ich nicht, ob meine Methoden nur Gelächter beim Profi auslösen, aber sie funktionieren und ganz blöd bin ich auch nicht :). Ich bin aber nur IT-Hobbyist. Früher hab ich sowas "genattet", das ist ja aber längst vorbei mit den richtigen Tools. Ich hätte halt gedacht, dass man das im DSM mit dessen Firewall Regeln bzw. Routes selber machen kann.

Mir ist klar, dass "outbound connections" normalerweise auf Gateway Ebene gesetzt wird, mach ich doch auch seit 10 Jahren so. Na und? Ärgere mich schon lange, dass zumindest Endkunden Betriebssysteme sowas nicht von Haus aus mitbringen. Auf Windows mach ich sowas mit Glasswire, aufm Mac mit LittleSnitch. Es geht um den outbound traffic. Ich finde das schon seit Langem sinnvoll und will auch nicht, dass meine Diskstations vollen Netzzugang haben. Ist es nicht auch eine gute "best-practice" erstmal alles dicht zu machen und nur das zu erlauben, was man explizit will? Mache ich seit 20 Jahren so und bin immer gut gefahren.
Wäre doch im DSM alles für abbildbar - ich finde aber nichts und vermute, es geht einfach nicht. --> manko. Besonders Kleinunternehmer sehe ich, die eigentlich auch dicht haben wollen sprich auch dem Client, in dem Fall der DS, kein Internetzugang erlauben, mit wenigen Ausnahmen (Cloud-Backup Server z.B.).

Falls ihr das nicht versteht, vielleicht nochmal mit einem Anwendungsszenario:
Es könnte um Obscurity gehen. Die Download-Station der DS kann auch torrents ziehen. Wenn die Eltern keine Fans sind von alles verbieten und die Kids es jetzt mit der Legalität mal nicht so genau nehmen, sei es nur aus versehen, kann das Ärger machen. Also richtet man z.B. ne VPN Verbindung zu einem der zahlreichen VPN Anbieter ein. Ist der Tunnel offen geht der ganze traffic beim DSM völlig automatisch durch den Tunnel und die externe IP ist nicht zurückverfolgbar zum Anschluss (Geheimdienste außen vor). Bricht der VPN aber ab, verbindet die DS munter weiter mit dem Internet, jetzt aber mit der IP des Anschlusses! Nicht gut! Da man dem DSM nicht beibringen kann, dass ToolXYZ (hier jetzt DownloadStation) gefälligst alles über den Tunnel routen MUSS, kriegt man es dank der Kids so evtl. mit dem Abmahnanwalt zu tun. Meiner Ansicht nach fehlt diese Funktion!
Also, was tun! Dem Gateway sagen, dass die DS nicht mit dem Web kommunizieren darf, weder inbound noch outbound. AUSNAHME, der VPN Server. Dann ist alles safe. Bricht der tunnel ab hat die DS halt de facto keine Internetzugang.

Der Bekannte hat exakt dieses Problem, aber leider keine enterprise-mäßige Firewall/Router zuhause wie ich rumstehen, ganz zu schweigen das Know-How sowas einzurichten/zu pflegen. Ich würde von Synology erwarten, dass sowas Einfaches direkt im DSM umgesetzt werden kann. Egal ob in der Firewall oder z.B. bei den VPN settings. Ich kann mir x andere Szenarien ausmalen wo ich nicht will, dass die DS mit dem Internet kommunizieren darf, aber halt mit einem VPN Gateway. Bricht der Tunnel dann ab dann muss auch dicht bleiben. Das ist jetzt einfach nicht der Fall!

War das jetzt nachvollziehbar ;-)
 
Zuletzt bearbeitet:

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Der Anwendungsfall ist klar. Und ganz am Rande halte ich es heutzutage für absolut notwendig genauso zu handeln, insbesondere wenn Kinder daheim sind.

Aber die Synology ist weder ein Gateway, noch eine Firewall oder ein Router. Ggf. lässt sich das auf Linux-Ebene teilweise bewerkstelligen, aber definitiv nicht im DSM!

Wie ich sehe nutzt Du auch eine Sophos UTM. Genau hier kannst Du alle Deine Anforderungen umsetzen. In eine NAS gehört es jedenfalls nicht imho.

Btw - ich bin mir nicht sicher, ob nicht der von Synology angebotene Router auch Firewalling für Outbound-Traffic kann. Hier muss jemand, der den kennt, mal was dazu sagen...
 

randfee

Benutzer
Mitglied seit
08. Apr 2010
Beiträge
1.070
Punkte für Reaktionen
3
Punkte
64
ja, ich dachte mir ja, dass die Kiste es nicht kann, frag aber lieber. Hier sehe ich ein Manko. Heißt das wirklich "outbound firewalling"? :)
Von den WLAN Fähigkeiten interessiert mich der RT2600ac von Synology auch, aber von den Gateway-Funktionen würde ich auch mal gerne sehen was los ist.

Wie gesagt, es geht darum es mit DSM zu machen, wenn es nicht geht, pech. Ich brauch es nicht, hätte es aber trotzdem gerne gewusst.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat