Portfreigabe Anleitung für Fritzbox

[Martinglut]

Jedesmal wen ich mich einlogge von drausen ins DS Video kommt eine Meldung. Die Verbindung zu ihrer Synology NAS wird über den Quick Connect Dienst hergestellt, dadurch könnte die Zugriffsleistung beeinträchtigt werden. Wir empfehlen für eine bessere Leistung dringend, die Portweiterleitung Ihres Routers.

Brauche eine Anleitung dazu. danke im Voraus

 

[mayo007]

Google öffnen > Portweiterleitung Fritzbox > einrichten und fertig

 

[Stationary]

Ich würde ohnehin eher einen VPN-Zugang zur Fritzbox herstellen und mich dann zur Diskstation wie im Heimnetz verbinden, Portfreigaben fallen dann weg.
Der Umweg über QuickConnect fällt dann auch weg.

 

[Tommes]

Ich würde ohnehin eher einen VPN-Zugang zur Fritzbox herstellen…

Um es mit den Worten von @mayo007 zu sagen…

Google öffnen > VPN Fritzbox > einrichten und fertig

 

[synpi]

Warum über die FritzBox und nicht per Synology ? Gibt es Gründe ?

 

[Synchrotron]

Wo hast du dein Türschloss ? In der Tür zum Schlafzimmer ?

Also meines sitzt in der Haustür …

Für dein Heimnetzwerk ist die FritzBox die Haustür, also legt man den verschlüsselten Zugang sinnvollerweise dort drauf. Dann muss man niemanden erst ins Schlazimmer lassen, um zu prüfen, ob er den richtigen Schlüssel dabei hat.

Außerdem ist der eingebaute VPN-Server der FB seit FritzOS 7.21 ziemlich performant (schneller als der Upload der meisten Internetanschlüsse) und einfach einzurichten.

Ein Wort an die Profis: Ja, man kann ein VPN auch irgendwo sonst aufsetzen. In diesem Fall sehe ich die FB-Lösung als die beste und sicherste Variante. Bevor wir jetzt anfangen, wie man einen Port weiterleitet, dann den VPN-Server aufsetzt und ermattet davon lassen, bevor die Kiste wieder abgesichert ist.

 

[synpi]

Ich würde ohnehin eher einen VPN-Zugang zur Fritzbox herstellen und mich dann zur Diskstation wie im Heimnetz verbinden.

Wenn man einen/mehrere User für den VPN-Zugang auf der DS einrichtet und diesen keine weiteren Rechte auf der DS gibt, dann sieht es doch genau so aus, wie wenn ich mich per FB einlogge.
Ich bin erstmal im Heimnetz und muss mich um an Daten zu kommen mit einem berechtigten User an der DS einloggen, oder ?

EDIT: um die Sicherheit zu erhöhen, die automatische Blockierung einrichten, um unerlaubte Anmeldeversuche über VPN zu unterbinden. z.B. sperren nach 3 fehlgeschlagenen Versuchen innerhalb von 60min

 

[Stationary]

Ich bin erstmal im Heimnetz und muss mich um an Daten zu kommen mit einem berechtigten User an der DS einloggen, oder ?

Korrekt. Du brauchst einen für die DS berechtigten User. Du kommst mit einem VPN-Account durch die Fritzbox bis ins Heimnetz. Dieser VPN-User wird dann in der Fritzbox auch mit einer Heimetz-IP angezeigt. Dann brauchst Du den üblichen auf der Diskstation angelegten DS-User, den Du auch sonst im Heimnetz für den Zugriff auf die DS verwendest, um dort etwas machen zu können.
Wenn dem VPN-Nutzer die DS-Daten nicht bekannt sind, kommt er da auch erst einmal nicht drauf.

 

[synpi]

Dann wäre das doch eine Option, den VPN über die DS einzurichten. Und zwar per OpenVPN

https://de.vpnmentor.com/blog/lassen-sich-vpns-hacken-wir-untersuchen-das-mal-etwas-genauer/

Edward Snowden hat gesagt: "Verschlüsselung funktioniert. Auf gute und starke Kryptographie-Systeme kannst Du Dich verlassen." Wenn möglich, halte Dich aber von VPNs fern, die auf Hashing-Algorithmen mit MD5 oder SHA-1 basieren. Damit sind zum Beispiel die Protkolle PPTP und L2TP/IPsec gemeint. Nimm solche, die aktuelle Versionen von OpenVPN und SHA-2 unterstützen. Sie gelten als sehr sicher.

 

[Synchrotron]

Zur Einordnung:

PPTP hat bekannte Schwächen und sollte tatsächlich nicht mehr verwendet werden.

L2TP/IPSec ist ein älteres Verfahren, gilt m.w. weiter als sicher.

OpenVPN gilt als sicher, ist aber über die Jahre zu einem sehr umfangreichen Paket angewachsen. Meine Erfahrung: Eher schlecht einzurichten, würde ich einem Anfänger nicht empfehlen.

Der aktuelle Goldstandard bzgl. frei verfügbaren VPNs dürfte Wireguard sein. Klein, hoch performant, gut zu installieren - setzt aber (noch) einen kleinen Server wie einen Raspi voraus.

Nur unabhängig davon: Wenn ich Ports durchleite, dann gehört dazu ein Client, der „lauscht“ - und eine entsprechend eingerichtete Firewall.

Jetzt vergleichen wir mal:

FritzBox: Server läuft schon, 1x VPN-Zugang einrichten, fertig. DDNS macht die FritzBox selbst.

Irgendwo im Netz: Meistens DDNS einrichten, Portweiterleitung einrichten, VPN-Server einrichten, Firewall einrichten, VPN-Zugang einrichten, alles testen, vielleicht fertig.

Bei beiden Varianten müssen dann noch die Clients eingerichtet werden, das unterscheidet sich nur marginal.

Die Einrichtung im Heimnetz auf der FB dauert 10min beim ersten Mal, danach eher weniger. Und schief gehen wird wohl nichts.

Die Alternative ? Viel Spaß dabei, der Lerneffekt bei „meinem ersten Mal“ war jedenfalls erheblich …

 

[frogtwist]

und man kann sich ohne Probleme "VPN on Demand" z.B. auf dem iPhone einrichten. So fällt das lästige einschalten der VPN Verbindung weg.

 

[Stationary]

Ist VPN-on-demand nicht zur Verschleierung der eigenen Adresse gedacht? Geht das auch mit dem VPN, das man zu seinem eigenen Heimnetzwerk aufbaut?

 

[synpi]

Die Einrichtung von OpenVPN auf der DS ist keine Raketenwissenschaft ! Die Einrichtung auf einem RPi ist aufwändiger
Als Android App gibts "OpenVPN Connect"

 

[Stationary]

Wenn Du das doch alles weißt und kannst, wieso fragst Du hier eigentlich?

 

[synpi]

Ein Grund der aufgeführt wurde hat mich nachdenklich gemacht:
Wenn man sich per VPN an der DS anmeldet, ist der User direkt auf dem NAS. In meinem Fall habe ich meinen User-Account dazu genutzt. Also Username und Passwort für den VPN-Zugang idntisch mit dem eigentlichen DS-Zugang.

Daher werde ich nun einen extra User, der nur Rechte für VPN auf der DS hat einrichten, in der Hoffnung, noch etwas für die Sicherheit getan zu haben

 

[Mahoessen]

@Stationary:
https://www.iphone-ticker.de/kurzbe...rungen-loeschen-on-demand-vpn-anlegen-134573/

funktioniert hervorragend!! , keine Zusatzsoftware, sondern alles mit Boardmitteln…
läuft bei mir schon sehr lange zwischen IOS Geräten und Fritz!box.

 

[Stationary]

Danke! Die Kurzbefehle-App habe ich mir gerade wieder installiert.

 

[frogtwist]

Ein Grund der aufgeführt wurde hat mich nachdenklich gemacht:
Wenn man sich per VPN an der DS anmeldet, ist der User direkt auf dem NAS. In meinem Fall habe ich meinen User-Account dazu genutzt. Also Username und Passwort für den VPN-Zugang idntisch mit dem eigentlichen DS-Zugang.

Daher werde ich nun einen extra User, der nur Rechte für VPN auf der DS hat einrichten, in der Hoffnung, noch etwas für die Sicherheit getan zu haben

Das eine hat nichts mit dem anderen zu tun. Mit einer VPN Verbindung stellst du nur eine Verbindung in dein heimisches Netzwerk her. Soll heißen das du beim Aufruf einer IP im heimischen Netzwerk ( z.B. 192.168.0.XXX) von außerhalb direkt darauf zugreifen kannst. Du musst also keine Extra Unser für deine DS anlegen. Einloggen musst du dich trotzdem noch.

 

[synpi]

Dann habe ich mich hiervon irritieren lassen:

Für dein Heimnetzwerk ist die FritzBox die Haustür, also legt man den verschlüsselten Zugang sinnvollerweise dort drauf. Dann muss man niemanden erst ins Schlazimmer lassen, um zu prüfen, ob er den richtigen Schlüssel dabei hat.

Das mit dem Zugriff war klar, musste mich ja bisher auch extra anmelden ...

 

[Synchrotron]

Es sollten grundsätzlich neue User angelegt und mit völlig eigenen Zugangsdaten versehen werden. Das gilt für jede Anwendung, jedes Gerät, jeden Zugang. Am besten macht man daraus eine Gewohnheit, dann vergisst man es nicht. Ein Passwortmanager hilft dabei, trotzdem überall bequem zuzugreifen.

Die Hacker arbeiten inzwischen sehr arbeitsteilig. Eine „Branche“ dieses „Industriezweigs“ kümmert sich um Netzzugänge. Wenn die stehen, werden sie weiter verkauft, z.B. an Erpressergruppen.

Es ist längst Standard, dass erbeutete Zugangsdaten automatisiert bei einer Vielzahl von Accounts ausprobiert werden. Da läuft man mit wiederkehrenden Zugangsdaten ins Messer.

Wo immer möglich (z.B. bei allen Admin-Accounts der DS) sollte außerdem 2FA gesetzt werden.

Ein von außen ansprechbarer User mit den gleichen Zugangsdaten wie intern auf der DS ist ein absoluter No-Go.

Rant zu Ende …