Open VPN Zugriff eingerichtet - bisherige Portweiterleitungen deaktivieren?

THZBS

Benutzer
Mitglied seit
03. Okt 2018
Beiträge
106
Punkte für Reaktionen
7
Punkte
18
Hallo
ich habe bei meiner DS220+ soeben Open VPN erfolgreich installiert, habe jetzt aber eine Frage zum Zugriff von extern: was muss ich nun deaktivieren, damit ich nur noch via Open VPN von aussen her auf die DS komme? Muss ich alle Portweiterleitungen ausser die VPN löschen?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Mit VPN benötigst Du keine Weiterleitungen wenn das VPN auf dem Router läuft.
 

THZBS

Benutzer
Mitglied seit
03. Okt 2018
Beiträge
106
Punkte für Reaktionen
7
Punkte
18
Vielen Dank. Ich habe nun mal die Weiterleitungsregeln für DS File deaktiviert, jetzt komme ich aber nicht mehr auf diese App. Die Anmeldedaten in der App sind:
meine_dns_Adresse:7001
Auf DS Drive und Photos komme ich.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wenn du die Portweiterleitung ausschaltest, geht natürlich der DDNS nicht mehr. Zugriff erfolgt dann so:
VPN aufbauen und dann mit IP verbinden
 

THZBS

Benutzer
Mitglied seit
03. Okt 2018
Beiträge
106
Punkte für Reaktionen
7
Punkte
18
Hat geklappt! Danke.

Bei der Gelegenheit hätte ich noch eine Frage... vielleicht kann ich sie gleich hier stellen, sonst müsste ich einen neuen Thread aufmachen: in der Firewall der Synology habe ich meine Regeln definiert - zuunterst soll gemäss Anleitungen eine Regel 'Deny ALL' hinzugefügt werden, so dass alles blockiert wird, was nicht in einer der obigen Regeln erlaubt wird. Wenn ich das mache, bekomme ich aber immer die Meldung, dass mein Computer ausgesperrt würde, und somit diese DENY ALL Regel zurückgesetzt (deaktiviert) wird. Was muss ich da machen?
Ich habe die Regeln unter Firewall -> Alle Schnittstellen ergänzt
 
Zuletzt bearbeitet:

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Naja - wenn Du Deinen Rechner aussperrst kannst Du Di ja vorstellen was passiert.
Mal nicht manisch werden - von außen bist Du ja schon gut gesichert und ich glaube, dass Du Deinen eigenen Geräten traust, oder?
 

THZBS

Benutzer
Mitglied seit
03. Okt 2018
Beiträge
106
Punkte für Reaktionen
7
Punkte
18
ja, ich vertraue meinen Geräten... Hab mich einfach gewundert, als ich gelesen habe, dass diese Regel unbedingt hinzugefügt werden soll.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Welche Regel genau? Präzise bitte, welcher Dienst, welcher Port?
Deny all würde ich tunlichst unterlassen…
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Die erste Regel der Firewall sollte eine Ausnahmen des LANs sein. LAN ->Any ->Allow
Unten kann man dann aktivieren "Wenn keine Regel zutrifft blockieren".
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.760
Punkte
468
Kommt diese Warnung nicht nur, wenn der aktuell zugreifende Client nicht bereits in einer der Regeln darüber erlaubt wurde?
Manche waren auch schon z.B. über QuickConnect verbunden und wollten die Firewall konfigurieren :rolleyes:
 

THZBS

Benutzer
Mitglied seit
03. Okt 2018
Beiträge
106
Punkte für Reaktionen
7
Punkte
18
Ich habe in der Firewall > unter LAN/PPPoE/VPN überall : ALLOW ALL
Unter alle Schnittstellen > hab ich all meine Regeln definiert.

Zum VPN noch etwas: ich muss für das Secure Signin aber dennoch eine Portweiterleitung auf die DS aktivieren, Secure Signin funktioniert nicht mit IP-Adressen.
 
Zuletzt bearbeitet:

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
ich sag mal, wenn du die Firewall aktivierst und dann als erste (!) und einzige (!!) Regel Alle dürfen alles einträgst, dann kannst du das Ding auch gleich wieder deaktivieren.
Ein kurze Anleitung hierzu gibt es hier (für die basics):
https://www.heimnetz.de/anleitungen/nas-netzwerkspeicher/synology/synology-firewall-einrichten/

Du benötigst später nur noch Portweiterleitungen
a) auf den VPN Server mit dem entsprechenden Port
b) ggf. etwas für Zertifikate bzw. deren Aktualisierung
Denn alles andere läuft dann ja immer durch den VPN Tunnel...
;)
 

THZBS

Benutzer
Mitglied seit
03. Okt 2018
Beiträge
106
Punkte für Reaktionen
7
Punkte
18
Also nein, ich habe nicht als einzige Regel 'Alle dürfen alles' erstellt. Ich habe es so gemacht: ich habe in den einzelnen Schnittstellen keine Regeln angelegt, ausser in PPPoE, dort habe ich DENY ALL angelegt.
Ich habe in der CUSTOM FIREWALL die von mir benötigten Regeln angelegt.

Meine Frage ist dann: ich habe 2 völlig gegensätzliche Tutorials gelesen, im einen (siehe Punkt 3 unter https://www.wundertech.net/how-to-set-up-the-firewall-on-a-synology-nas/) steht, dass die Firewall nur nützt, wenn zusätzlich am Ende eine Blockiere-Alles-Regel angelegt wird.
Hier aber https://hometechblogger.com/how-to-secure-synology-nas/ steht, dass nur die Regeln die man wünscht, angelegt werden müssen, andere Verbindungen werden automatisch blockiert:
"In the screenshot below are some rules that I have set up. I don’t need to have a ton of rules to explicitly block traffic, I only need to make rules to allow certain traffic. If traffic does not match one of these rules, it is dropped anyway."
Was ist dann nun richtig?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Im link zu Beitrag #12 ist es (auf deutsch) nochmal erklärt...bzgl interface, regeln, und deny all als abschließende Regel. Schau dir das nochmal an, es sollte deine Fragen eigentlich erklären.
:)
 

THZBS

Benutzer
Mitglied seit
03. Okt 2018
Beiträge
106
Punkte für Reaktionen
7
Punkte
18
Moinsen - vielen Dank, hab's geschafft! Der Fehler war, dass ich die Regel für den Zugriff auf die 'Verwaltungsoberfläche' nicht aktiviert hatte. Nachdem ich diese hinzugefügt habe, kann ich nun in allen Schnittstellen den Zugriff verweigern, sofern keine Regel zutrifft.
 
  • Like
Reaktionen: the other

Dirk71

Benutzer
Mitglied seit
26. Dez 2022
Beiträge
248
Punkte für Reaktionen
41
Punkte
28
Ich hänge mich mal an das Thema, weil ich für die Frage kein neues Thema aufmachen möchte. Ich habe bei mir testhalber OPEN VPN auf dem DSM eingerichtet. Funktioniert soweit auch alles. Als Port habe ich für OpenVPN nicht den Standardport, sondern einen höheren 54xxx genommen. Auch das klappt. Was ich jedoch nicht verstehe....ich muss die Portweiterleitungen nur in meinem Router einrichten, nicht jedoch in der Firewall im DSM. Wie kann das sein? In allen Anleitungen, die ich bisher gelesen habe, steht, dass man die Ports auch als Ausnahmeregel in der Firewall eintragen muss. Habe ich vielleicht irgendwo eine Einstellung aktiv, die sich über die Firewall hinwegsetzt?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wenn die Firewall nicht aktiv ist am NAS oder generell alles durchlässt, musst du da nix freigeben.
Ansonsten schon
 

Dirk71

Benutzer
Mitglied seit
26. Dez 2022
Beiträge
248
Punkte für Reaktionen
41
Punkte
28
Doch, sie ist aktiv. Und trotzdem komme ich von außen auf die Ports, z.B. 8083 (freigegeben auf dem Router).
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Zeig doch mal deine Firewall-Regeln als Screenshot
 

Dirk71

Benutzer
Mitglied seit
26. Dez 2022
Beiträge
248
Punkte für Reaktionen
41
Punkte
28
Da gibt es eigentlich nicht viel zu sehen....

1673978733053.png
 

Anhänge

  • 1673978719583.png
    1673978719583.png
    59,5 KB · Aufrufe: 1


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat