iPhone VPN

nerd123

Benutzer
Mitglied seit
04. Dez 2021
Beiträge
19
Punkte für Reaktionen
0
Punkte
1
Guten Abend zusammen,

ich möchte einige Apps, wie zum Beispiel DS photo, Drive, DS file, Photos Mobile", auf dem iPhone nutzen.

So wie ich das verstehe gibt es dafür zwei Möglichkeiten:
1. Man gibt die dafür benötigten Ports (siehe https://kb.synology.com/en-global/D...ts_are_used_by_Synology_services#x_anchor_id6) auf dem Router UND auf der Firewall der NAS frei.
2. Man erstellt auf dem iPhone eine VPN Verbindung zum Router, an dem die NAS angeschlossen ist.

Möglichkeit 2 ist sicherer, da keine Ports freigegeben werden müssen und damit das Netzwerk nicht so leicht gehakt werden kann.

Stimmt das bis hierher noch alles?

Das VPN zu meinem Speedport Smart 4 Router funktioniert über Windows bereits. Ich habe auf dem iPhone bereits eine VPN Verbindung per L2TP aufgebaut. Das klappt auch. Soweit ich weiß ist aber IPsec deutlich sicherer als L2TP. Ist das so richtig?

Das VPN über IPsec klappt aber leider nicht.

Ich habe bei dem Screenshot "Eingabe" folgende Eingaben gemacht:
Typ: IPsec
Beschreibung: VPN1
Server: Die externe IPv4-Adresse von meinem Speedport Smart 4
Account: speedportvpnuser
Passwort: Das Passwort, das ich auf der Website meines Speedport Smart 4 für VPN festgelegt habe
Gruppenname: Nicht angegeben
Shared Secret: Den PreShared Key, der auf der Website meines Speedport Smart 4 unter VPN steht

Er wirft mir dann aber immer eine Fehlermeldung aus.

Was mache ich falsch?


Viele Grüße

nerd123
 

Anhänge

  • Eingabe.PNG
    Eingabe.PNG
    281,5 KB · Aufrufe: 12
  • Fehlermeldung.PNG
    Fehlermeldung.PNG
    553,8 KB · Aufrufe: 11

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.970
Punkte für Reaktionen
1.278
Punkte
194
Wenn an Deinem Router als Protokoll L2TP eingestellt ist, kannst Du auf dem iPhone nicht einfach IPSec nehmen. Das mußt Du natürlich auch mit L2TP konfigurieren.
 

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
468
Punkte für Reaktionen
273
Punkte
119
Protokoll: Du musst überall das gleiche Protokoll eintragen, sonst klappt das nicht.
Server: Bei mir habe ich im Feld "Server" nicht die IP-Adresse eingegeben, sondern den von Router vorgegebenen Benutzernamen. Dieser wurde mir vom Router vorgegeben, nachdem ich die VPN-Funktion eingeschaltet habe.

In der aktuellen Bedienungsanleitung Deines Routers steht geschrieben, dass Dein Router die Zugangsdaten automatisch generiert, sobald die Funktion aktiviert wird. Siehe Seite 220. Das weitere Vorgehen ist Schritt für Schritt ab Seite 225 beschrieben. Halte Dich daran und es wird klappen.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.160
Punkte für Reaktionen
1.651
Punkte
308
Server: Bei mir habe ich im Feld "Server" nicht die IP-Adresse eingegeben, sondern den von Router vorgegebenen Benutzernamen. Dieser wurde mir vom Router vorgegeben, nachdem ich die VPN-Funktion eingeschaltet habe.
Da gehört mit Sicherheit kein Benutzername hinein.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.160
Punkte für Reaktionen
1.651
Punkte
308
Zeige bitte die Stelle auf der von dir verlinkten Seite, bei der steht, dass in das Feld für den Server der Benutzername hineingehört.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.970
Punkte für Reaktionen
1.278
Punkte
194
Da verwechselt jemand den DNS-Namen (Punkt 5: Server) mit dem Benutzernamen (Punkt 3: Account).
 

nerd123

Benutzer
Mitglied seit
04. Dez 2021
Beiträge
19
Punkte für Reaktionen
0
Punkte
1
Hallo, ich habe nun geschafft beide VPN einzurichten, also über L2TP/IPsec unter über WireGuard.

WireGuard ist denke ich etwas schneller, aber da liest man immer etwas von einem offenen Port. Ist das dann unsicherer als L2TP/IPsec?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Ein offener Port ist erst mal nicht unsicher. Was unsicher sein kann, ist die Applikation, die man auf diesem Port erreicht. Wird etwas am Port abgeliefert, muss er immer noch mit der Applikation interagieren. Entweder es sind Zugangsdaten, oder es ist Schadcode, der ausgeführt wird.

Bei den Zugangsdaten kommt es eben darauf an, dass man sie entsprechend schützt. Schadcode wird dann gefährlich, wenn er von der Anwendung ausgeführt wird. Das Risiko steigt, wenn man seine Anwendungen nicht aktuell hält. Oft lassen bestimmte Ports Rückschlüsse auf die Anwendungen zu, die dahinter laufen.

Daher ein paar Regeln, ohne Anspruch auf Vollständigkeit. Nicht alles geht mit allen Anwendungen:
  • Der sicherste Port ist einer, der überhaupt nicht geöffnet ist.
    Nur funktioniert dann so einiges nicht ….
  • Wenn einen Port öffnen, einen im höheren 5-stelligen Bereich wählen, der keinen Rückschluss auf die Anwendung zulässt. Diesen Port dann intern entsprechend weiter leiten.
  • Gute Zugangsdaten verwenden: Starke, einzigartige Passwörter, Standardanmeldungen wie den beliebten „Admin“ User deaktivieren, zusätzliche Hürden wie 2FA einbauen, große Schlüsseldateien etc. - je nachdem, was die Anwendung ermöglicht.
  • Starke Firewall aufsetzen - zuerst die Regel (das ist dann in der Abarbeitung die letzte) „Alles weitere ist verboten“ setzen, davor die Ausnahmen einfügen, die zugelassen werden.
  • Weitere Schutzfunktionen nutzen, wie nur bestimmte IP-Bereiche (deutsche IPs ?!) zulassen, IP-Blockade nach Anmeldeversuchen, DDOS-Schutz aktivieren etc.
  • System und Pakete aktuell halten, egal ob Router, DS oder selbst installierte Software.
 

nerd123

Benutzer
Mitglied seit
04. Dez 2021
Beiträge
19
Punkte für Reaktionen
0
Punkte
1
Ok. Also brauche ich mir letztendlich mit WireGuard keine Sorgen machen?
 
Zuletzt bearbeitet von einem Moderator:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Wenn es richtig eingerichtet wurde, ist ein VPN-Zugang die sicherste Art, von außen auf ein lokales Netzwerk zuzugreifen. Darum verfahren ja auch die meisten Unternehmen so.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Wenn es funktioniert, ist es erst mal richtig eingerichtet. Wenn dann noch die Firewall entsprechend gesetzt ist, kommt auch niemand daran vorbei.

Es gibt da auch keine großen Unterschiede, alle VPNs benötigen mindestens 1 offenen Port.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat