ipsec oder nicht?

[Tommes]

Hi!

Vieleicht kann ich Dir noch meinen Favoriten OpenVPN an's Herz legen.

Das hatte ich bereits schon mal mit dem VPN-Server der DS am laufen, jedoch wollte damit keine Verbindung zu meinem iPhone erfolgen, irgendwie hab ich das mit den Zertifikaten o.ä. nicht hinbekommen. Es gibt hier glaube ich auch einen Thread darüber. Von daher bin ich erstmal wieder zurück zu PPTP...

Von PPTP ist anzuraten auf Grund einer Schwäche bei der Anmeldung. Braucht man nicht überbewerten, aber ist nun mal vorhanden.

Diese Schwäche ist mir bereits bekannt und habe mich da auch schon in anderen Threads zu geäußert, denn ich bin immer noch der Meinung, das PPTP für den normalsterblichen immer noch sicher genug ist. Und welcher Depp gibt schon Geld für Serverzeit aus um den PPTP-Zugang meiner DS zu knacken.

Tja, und L2TP eben dazwischen.

Ich denke das war so ziemlich die Eingangsfrage, die der TE beantwortet haben wollte. Und da es jetzt mit dem VPN-Server der DS möglich ist, es "sicherer" als PPTP ist und auf dem iPhone läuft, habe ich diese Verbindung gewählt. Und bei mir läuft es ja auch.

Bin mir sicher, das packst Du relativ zügig.

Da bin ich mir eigentlich auch sicher, ich halt nur mal damit anfangen. "Anwender mit gefährlichen Halbwissen" bin ich ja bereits auf diesem Gebiet.

...

Hallo Tommes, warum bist Du von der FritzBox weg ? Gruß Jo

Ich weiss das es eigentlich quatsch ist, aber ich bilde mir ein das es besser ist, das ich per VPN nicht mein gesamtes, lokales Netzwerk sehe, sondern nur meine DS! Soll heißen, das wenn ich den VPN-Zugang in der Fritzbox einrichte, ich per VPN vollen Zugriff auf alle Geräte in meinem Netzwerk erhalte, wenn ich jedoch den VPN-Server der DS nuzte, ich auch nur diese sehe. Und ich brauch halt nur den Zugang zu meiner DS und zu keinem anderen.
Oder kann man in den Konfigurationsscripten der Fritzbox irgendwo festlegen, auf welche IP's im lokalen Netz man Zugriff erhalten möchte und welche man sperren möchte?

Klingt das logisch, oder klinkt sich hier wieder mal nur mein perfektionismus ein?

Tommes

 

[joku]

Hallo Tommes,

Ich weiss das es eigentlich quatsch ist, aber ich bilde mir ein das es besser ist, das ich per VPN nicht mein gesamtes, lokales Netzwerk sehe, sondern nur meine DS!

Im Moment ist es einfacher in der DS einzurichten
Mit VPN bist Du in Deinem Netz.

Oder kann man in den Konfigurationsscripten der Fritzbox irgendwo festlegen, auf welche IP's im lokalen Netz man Zugriff erhalten möchte und welche man sperren möchte?

Ja, siehes accesslist = .... in der FritzBox vpnuser.cfg, mit einem Texteditor alles passen eintragen
Das soll ja besser werden, in der Oberfläche.

Gruß Jo

 

[fpo4711]

Das hatte ich bereits schon mal mit dem VPN-Server der DS am laufen, jedoch wollte damit keine Verbindung zu meinem iPhone erfolgen, irgendwie hab ich das mit den Zertifikaten o.ä. nicht hinbekommen. Es gibt hier glaube ich auch einen Thread darüber.

Ja. OpenVPN und iPhone ist ein Stück Arbeit. Hier müssen neue Zertifikate erstellt werden und die openvpn.conf angepasst werden. Geht aber. Hier hat 'rumknapser' das recht gut zusammengetragen.

Und joku hat es schon beschrieben, mit VPN bist Du im Netz auch mit der Lösung von Synology. Es fehlen nur die Routen bei PPTP und L2TP. Bei OpenVPN sind die sogar vorhanden.

Aber bevor wir hier den Thread völlig entführen halte ich mich mal zurück.

Gruß Frank

 

[joku]

Ja die FB is ja kein Problem, hab danach aber noch ne richtige firewall

Ah ha, wo sitzt den die "richtige" Firewall ?
Die Ports würde ich in der FritzBox eintragen, kein exposed Host verwenden.
Bei gruppenname habe ich den Benutzer eingetragen.

Gruß Jo

 

[Tommes]

Hi Jo, Hi Frank!

Im Moment ist es einfacher in der DS einzurichten

Das sehe ich genauso und da ich sowieso nur auf meine DS möchte, reicht mir das ja auch vollkommen aus.

Mit VPN bist Du in Deinem Netz.

Das ist mir schon klar. Ich meinte damit eher, das ich über den VPN-Server nur auf meine DS zugreifen kann, die anderen lokalen IP's kann ich damit (soweit ich das in Erinnerung habe) nicht ansprechen. Anders halt bei der VPN-Konfiguration über die Fritzbox.

Ja, siehes accesslist = .... in der FritzBox vpnuser.cfg, mit einem Texteditor alles passen eintragen

Hab ich mir grad mal angeschaut und auch etwas in einer Netzwerkzeitschrift (die hier so rumfliegt) zu diesem Befehl was gelesen.

Ja. OpenVPN und iPhone ist ein Stück Arbeit.

Ja, hab ich germerkt und hab's letzten irgendwie doch nicht hinbekommen. Hatte mich aber auch nur eher halbherzig da dran gegeben. Daran lag's vielleicht.

Und joku hat es schon beschrieben, mit VPN bist Du im Netz auch mit der Lösung von Synology. Es fehlen nur die Routen bei PPTP und L2TP. Bei OpenVPN sind die sogar vorhanden.

Könnte ich diese Routen denn irgendwo manuell in der DS einfügen (z.B. hier /var/packages/VPNCenter ?) und somit weitere "lokale" Netzwerkgeräte ansprechen? Wenn ja, wie würde das gehen?

Aber bevor wir hier den Thread völlig entführen halte ich mich mal zurück.

Stimmt, wir sollten den Bogen hier nicht überspannen. Und z.Z. brennt es ja auch nicht bei mir mit dem Thema. Aber ich weiß jetzt schon mal, an wen ich mich wenden kann, falls ich mal zu dem Thema nicht weiter komme. Das ist ja schon mal gut zu wissen und sehr beruhigend!

Danke euch auf jeden Fall schon mal für eure Bemühungen.

Tommes

 

[süno42]

p.s. Und daran denken für L2TP sind drei UDP Weiterleitungen nötig. Port 500,1701 und 4500.

Ich kann nur jedem empfehlen, sich genau über die einzusetzende VPN-Technik zu informieren, da hier mittlerweile viele unterschiedliche Varianten am Markt existieren. Ohne genaue Kenntnis kann man sich hier auch mehr oder weniger große Sicherheitslöcher aufreißen.

Beispielsweise gibt es keinen Grund, den Port 1701 für L2TP/Ipsec am NAT-Router weiterzuleiten.


Viele Grüße,
Süno42

PS Ich hoffe mal, daß Syno bei Einführung der neuen VPN-Variante nicht mit ähnlich niedriger Qualitätssicherung arbeitet wie bei anderen Baustellen. Da lob ich mir lieber mein natives IPSEC mit ESP+AH

 

[berlin10]

also bei mir geht ipsec immer noch nicht, ich hab die frizbox weitergeleitet an die firewall, die ports 500,1701 und 4500 (alle UDP). in der firewall hab ich alle weitergeleitet an die DS. die ds hat keine eingeschaltete firewall. worann kann es liegen, dass pptp geht und ipsec nicht?
menno
gibts sowas wie tracert auch für nen port vom iphone zur ds?

 

[Tommes]

Nur zur Info!

Da mir das Thema auch keine Ruhe gelassen hat, ich die nötige Zeit hatte und Spaß am experimentieren hatte, habe ich mich nochmal drangegeben den VPN-Zugang (L2TP/IPSec) wieder auf meine Fritzbox zu legen und habe den VPN-Server der DS, sowie die Portweiterleitung der UDP-Ports erstmal auf Eis gelegt.
Es ist zwar etwas aufwändiger, das über die Fritzbox zu steuern, aber ich denke, es ist die bessere Lösung. Ein Test mit meinem iPhone ließ dabei auch eine VPN-Verbindung im angemeldeten WLAN (gleiches, lokales Netz) zu. Über mein Ultrabook ging das jedoch nicht. Warum weiss der Geier!

Bringt dir jetzt vielleicht nicht wirklich was berlin10, aber ich mußte das mal grad loswerden. Vielleicht wäre es aber auch eine brauchbare Lösung für dich!

Tommes

 

[berlin10]

ne bringt nicht wirklich was, denn dann wäre ich im netz vor meiner firewall und von da komm ich auch nicht an die ds. hm hm hm, überlege echt ob ich den support anschreibe, denn die firewall sagt, dass sie die anfrage vom handy (3g netz) weiterleitet an die ds, port 500, aber was macht die ds? die sagt "der vpn-server antwortet nicht" aber da kann ich außer berechtigungen ja nicht viel einstellen.

 

[fpo4711]

Hallo berlin10,

wie schon richtig bemerkt 1701 mußt Du nicht weiterleiten. Hatte mich da geirrt. Bei den anderen hast Du wirklich UDP weitergeleitet?

Gruß Frank

 

[Tommes]

ne bringt nicht wirklich was, denn dann wäre ich im netz vor meiner firewall und von da komm ich auch nicht an die ds.

Sorry, aber da kann ich dir glaube ich auch nicht weiterhelfen.

Tommes

 

[berlin10]

ja definitiv UDP weitergeleitet, die firewall sagt auch 500 UDP kommt bei der ds an

 

[fpo4711]

Ach und da Tommes gerade seine Fritzbox angeführt hat. VPN-Profile hast Du dort hoffentlich nicht aktiviert. Siehe oben verlinkten Thread.

Gruß Frank

 

[berlin10]

nein, natürlich nicht, wie gesagt pptp geht ja auch....