OpenVPN mit LG TV

[Hagen2000]

Klar, geht auch, die neueren Router haben in der Regel diese Möglichkeit. Ich bin da noch „old school“ - DHCP-Server ohne Adressreservierung und Lease Times von wenigen Stunden.

Je nach Land, in das dein VPN routet, kann es natürlich passieren, dass die Mediatheken der ÖR nicht funktionieren (sofern du sie am Fernseher nutzt).

 

[Benares]

Sollte man nicht auch ans Thema Sicherheit denken? Steht die DS über den Tunnel jetzt nicht ungeschützt im Internet?

 

[Benie]

Wenn Du di IP aus dem DHCP Bereich auf dem Router fest zuordnet und in der DS als feste IP hinterlegt, brauchst Du Dir keine Gedanken machen, da passiert da nichts.

 

[Hagen2000]

Sollte man nicht auch ans Thema Sicherheit denken? Steht die DS über den Tunnel jetzt nicht ungeschützt im Internet?

Sinn und Zweck einer VPN-Verbindung über NordVPN ist ja gerade die Anonymität im Internet. Dafür lässt die Firma sich bezahlen. Ich würde jetzt davon ausgehen, dass über den VPN-Tunnel prinzipiell keine Rückverbindungen aufgebaut werden können. Würde so etwas bekannt werden, wäre deren Geschäftsmodell ganz schnell dahin.
Letztlich muss man aber der Firma NordVPN vertrauen. Mit der Firewall auf dem NAS könnte man sich zusätzlich absichern, also nur ausgehende Verbindungen über den VPN-Tunnel zulassen.

Aus sicherheitstechnischen Überlegungen wäre ein dediziertes Gerät (VPN-Router) der Softwarelösung auf dem NAS vorzuziehen.

 

[Benares]

Da hast du Recht. Ich nutze NordVPN auch, aber nur temporär über deren PC-App. Wenn der Tunnel steht, ist ziemlich viel verbogen, sogar DNS läuft dann über deren eigene Server.

 

[metalworker]

NordVPN versucht schon bisl Sicherheit einzubauen.
Geht so in die Richtung einer NextGen UTM .

Verlassen würde ich mich da aber ni drauf.

 

[MichaelMueller]

Klar, geht auch, die neueren Router haben in der Regel diese Möglichkeit. Ich bin da noch „old school“ - DHCP-Server ohne Adressreservierung und Lease Times von wenigen Stunden.

Klar das wäre auf jeden Fall sauberer .

Sollte man nicht auch ans Thema Sicherheit denken? Steht die DS über den Tunnel jetzt nicht ungeschützt im Internet?

Ja Sicherheit sollte immer mit dabei sein.
Allgemein steht bei mir nichts im Internet, außer mein Raspi ist per VPN von außen erreichbar.

Allgemein muss man sich halt entscheiden ob die VPN Anbieter wie Tailscale, Surfshark , NordVPN vertrauenswürdig sind. Ich mein allgemein geht jetzt der Traffic durch deren Server.
So ein ON Demand VPN aufbauen kann die Synology soweit ich weiß leider nicht bzw. habe ich keine Einstellungen gesehen, aber ist meine Synology durch den Tunnel wirklich von außen erreichbar?

Ich habe jetzt keine kritischen Sachen auf meiner Synology weil ich aktuell es "nur" als RAID System für meine Bilder verwende, aber cool würde ich es natürlich finden

 

[Hagen2000]

aber ist meine Synology durch den Tunnel wirklich von außen erreichbar?

Ich würde sagen: Nein. Aber frag doch einfach mal bei NordVPN an. Als Kunde solltest Du da ja technischen Support erhalten.

 

[MichaelMueller]

Ich würde sagen: Nein. Aber frag doch einfach mal bei NordVPN an. Als Kunde solltest Du da ja technischen Support erhalten.

Das kann ich natürlich machen

 

[Hagen2000]

Ich habe ein ähnliches Setup laufen und - weil es mich selber interessiert - ein paar Tests durchgeführt.

Vom angesprochenen Gateway (bei Dir war das 10.100.0.1) ist durchaus eine Rückverbindung zum VPN-Client (also dem NAS) möglich.
Wenn Du also dem VPN-Anbieter nicht blind vertrauen willst, solltest Du die Firewall auf dem NAS aktivieren und Regeln erstellen, die Zugriffe von außen verhindern.

Das könnte beispielsweise so aussehen (beachte, dass die Schnittstelle auf "VPN" steht und nicht auf "Alle Schnittstellen"):

• Die erste Regel erlaubt das ICMP-Protokoll, damit die Steuerung über den VPN-Tunnel nicht gestört wird (ICMP ist nicht nur ping, sondern auch MTU-Erkennung, Steuerung der Fragmentierung u.a.).
• Die zweite Regel verbietet dann einfach alles andere.

Probier doch mal, ob mit diesen Einstellungen deine VPN-Verbindung noch einwandfrei funktioniert. Das sollte jetzt sehr restriktiv sein.

 

[Benares]

Interessant. Ich habe das eben auch mal getestet, allerdings mit dem NordVPN-Cllient auf meinem PC.

Also NordVPN-Client gestartet und z.B. Österreich gewählt. Es gibt dann einen NordLynx-Adapter auf dem PC mit folgenden Eigenschaften

Unbekannter Adapter NordLynx:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : NordLynx Tunnel
   Physische Adresse . . . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::723e:7ca:789d:a5aa%54(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.5.0.2(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . : 0.0.0.0
   DNS-Server  . . . . . . . . . . . : 103.86.96.100
                                       103.86.99.100
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

"NordLynx" scheint ein modifiziertes Wireguard zu sein.
Wenn ich damit auf www.wieistmeineip.de gehe, wurde mir als IP 194.35.121.18 aus Österreich angezeigt.
Vom Handy aus, kann ich die IP zwar anpingen, aber ein Portscanner sagt, alle Ports seinen zu. Die IP bleibt weiterhin anpingbar, wenn ich die Verbindung trenne.
Das gibt mir ein gutes Gefühl. Ich vermute, dass die evtl. doppeltes NAT machen. Kann natürlich sein, dass evtl. andere NordVPN-Kunden trotzdem Zugang haben könnten.

 

[MichaelMueller]

Danke für die Mühen. Ich teste mal die Firewall-Regel sicher ist sicher.

Support habe ich mal angeschrieben

Aber läuft bisher echt sauber auch beim streamen

Probier doch mal, ob mit diesen Einstellungen deine VPN-Verbindung noch einwandfrei funktioniert. Das sollte jetzt sehr restriktiv sein.

Sieht so aus als ob alles läuft mit den Regeln. Die anderen habe ich einfach leer gelassen und "nur" die zwei von oben reingemacht

 

[Hagen2000]

Du meinst die anderen Schnittstellen? Die sind bei mir auch leer.
Ich habe gerade gesehen, dass man die Regeln noch optimieren kann:
Den Radio-Button „Wenn keine Regel zutrifft:“ auf „Zugriff verweigern“ stellen, dann kann man die zweite Firewall-Regel weglassen. Aber so wie abgebildet ist es vielleicht klarer. Beides funktioniert.

Auf dem Synology NAS nutzt NordVPN wohl OpenVPN als Protokoll und mit OpenVPN habe ich auch getestet.
Im Netzwerkadapter sieht man ja das Transfernetz, das die VPN-Strecke nutzt. Dahinter ist mit Sicherheit ein NAT mit einer IP im gewählten Zielland, was den Rückwärts-Zugriff vom Internet verhindert. Die Firewall-Regeln schützen halt davor, dass sich ein Angreifer bei NordVPN befindet, der über das Transfernetz zugreifen würde.

 

[MichaelMueller]

Läuft auf jeden Fall soweit

 

[MichaelMueller]

Hier mal noch die Antwort ungefiltert:

After connecting to a VPN server a NAS device will only be accessible by using the IP address assigned to this device.

The hostname option to access the device will not work because of the VPN connection. This is because of how the VPN itself works - after you connect to a VPN server, your device appears as the VPN server that is not on your internal network.

This characteristic means that resolving hostnames from your internal network is not possible because of the VPN connection.