Portweiterleitung, VPN und/oder VLan

[spatzimatzi]

Ein Hallo in die Runde,
mir ist bewusst, dass das Thema Sicherheit bei externem Zugriff schon mehrfach angesprochen wurde.
Und in diesem Zusammenhang kamen dann häufiger die Begriffe wie im Thema beschrieben vor.
Zur Situation:
Mein Bruder betreibt ein Multiuser-Programm und hat eine DS920. Die Kinder wohnen in einem anderem Gebäude und greifen per VPN auf das Programm zu. Zugleich wird auch das NAS genutzt.
Die VPN läuft als Lan-Lan-Kopplung über 2 Fritzboxen. Das die Kinden auf die Rechner der Eltern zugreifen können wird akzeptiert. Man muss halt viel Vertrauen entgegen bringen
Diese Lösung ist stabil und sicher.
Nun gibt es aber noch Mitarbeiter, die auf Baustellen arbeiten und viele Informationen auf der DS920 ablegen sollen (Dokumentationen, Arbeitsberichte,...). Die einfachste Lösung ist sicherlich auch hier eine VPN-Verbindung. Nur das bedeutet doch, dass die Mitarbeiter direkten Kontakt auf die Rechner meines Bruders haben.
Der Ausweg könnte die Portweiterleitung sein. Das würde jedoch bedeuten, dass man die Abschottung zum Internet im FritzBox-Router durchlöchert. Und dies wird in den Diskussionen häufig abgelehnt, da zu unsicher.
Nun bleibt noch die Thematik mit dem VLan. Kann und muss man evtl. mehrere virtuelle Netze schaffen, um zwischen den Familienangehörigen und den Mitarbeitern zu unterscheiden?

Wer kann an dieser Stelle etwas Licht ins Dunkel bringen? Da diese oder ähnliche Konstellationen tausendfach auftreten, könnten viele User Informationen für die Sicherheit erhalten.
Ich habe zwar auch eine DS, bin aber auf dem Gebiet des externen aber sicheren Zugriffs ein totaler Anfänger.
Selbstverständlich kann ich jederzeit zusätzlich Informationen nachliefern.

Ich wünsche mir eine rege Diskussion
spatzimatzi

 

[the other]

Moinsen,
es würde auch eine Absicherung mittels Firewall gehen: die Clients, welche via VPN reinkommen, erhalten dann ihre feste IP. In den Regeln gibst du dann an:
IP Bauarbeiter erlauben IP NAS, alles andere verbieten.
IP Kinder erlauben IP NAS, alles andere verbieten.

Alternativ:
klar geht das auch mit VLANs. Ist eben noch mehr Aufwand, da zusätzlich zu den o.g. Regeln auch die VLANs eingerichtet werden wollen.

Insgesamt find ich aber hierbei schwierig, das EIN Gerät sowohl für ürivate wie auch ggf. gewerbliche Zwecke genutzt wird. Da sind dann eben auch eine ganze Reihe weiterer Dinge zu bedenken (Aufbewahrungsfristen, Datenschutzverordnung, etc).

 

[spatzimatzi]

Hallo #the other,
die Sache mit der Firewall ist ein interessanter Aspekt.
Du meinst doch sicher die Firewall der Fritzbox. Könntest Du Deine Ausführungen noch etwas verfeinern.

spatzimatzi

 

[spatzimatzi]

Hallo,
habe noch etwas vergessen.
Der Server mit dem Programm und das NAS werden nicht privat genutzt. Die Geräte stehen im Moment nur im privaten Haushalt.
Ist die Werkstatt mit Verwaltung erst renoviert, dann werden auch die Geräte umziehen.

spatzimatzi

 

[the other]

Moinsen,
ich versuche es mal...
1. Die Fritzbox hat keine eigentliche Firewall. Die "einfachen" Router bieten NAT (NetAdressTranslation), sie übersetzen also www-Adressen in heimische Adressen, damit trennen sie internes LAN vom WAN zuverlässig.

2. Eine so genannte Firewall macht darüber hinaus noch mehr: sie gibt Regeln vor, wie der Datenverkehr in einem Netz (oder auch zwischen diversen Netzen) geroutet werden darf.
Beispiel mit nur einem Netz: in der Firewall des NAS ist die Regel enthalten, dass Client mit IP X nicht auf Client NAS zugreifen darf. Ergo, geht nicht.
Beispiel mit mehreren Netzwerksegmenten: in der Firewall im Netzwerk ist die Regel enthalten, dass Client mit IP X im Netzwerk XYZ auf das andere Netzwerksegment mit YYZ zugreifen darf, nicht aber auf einen speziellen Client mit der IP Y. Ergo: du kannst auf Netzwerk YYZ zugreifen, erreichst aber trotzdem nicht den Client mit IP Y.

Innerhalb eines Netzsegmentes erfolgt idR KEIN Routing, also greifen hier auch nicht die Regeln (also kann ich innerhalb des Netzes YYZ alle anderen Clients anpingen).

3. Um sowas einzurichten gibt es diverse Ansätze:
all-in-one Router (zB draytek, mikrotik usw. Oder auch eine Firewall Anwendung auf einem Minirechner (APU Board usw), hier dann opensense/pfsense.

ABER (war ja klar, oder): eine solche Lösung macht GENAU das, was ihr vorgegeben wird. Soll bedeuten: sitzt der Fehler mal wieder VOR dem Netzwerk (also DU), dann macht die Firewall eben auch Dinge, die für rasche Frustration sorgen (kein Netz, kein Internet, keine Erreichbarkeit, Ärger von Kollegen, Freunden, Familie, Armut, Einsamkeit, Depression...)
Es ist imho nur dann sinnig, wenn du a) jemanden dazu holst, der das schon kann oder b) bereit bist Geld und besonders VIEL LEBENSZEIT dafür aufzubringen. Es ist eigentlich total einfach, aber das sagte man am Anfang vom Schwimmen und Fahrradfahren auch. Fühlte sich aber am Anfang nicht so an, oder?
Ohne die basics zu kennen (musst nicht alle jederzeit auswändig wissen, aber wissen, dass es da bestimmte basics gibt und diese wechselwirken mit anderen um zum Erfolg zu führen) wird das nix oder schlimmer: du wiegst dich in falscher Sicherheit, während du dir dein Netzwerk kaputt und scheunentorweit geöffnet konfiguriert hast.

So, viel Text für das schöne Wetter...denk mal in Ruhe drüber nach und meld dich, wenn Fragen auftauchen oder du konkret einsteigen willst.
Ansonsten:
Freund google fragen zu:
Firewall, pfsense, VLAN, Routing, DNS und DHCP, Netzwerksegmente, u.a.

 

[spatzimatzi]

Hallo #the other,
an Deinen Ausführungen habe ich mal ordentlich zu knabbern.
Es hört sich so an, als ob Du auch beruflich mit den Thema Sicherheit zu tun hast.
Ich hatte das Thema "Portweiterleitung" angesprochen.
Privat habe ich auch eine DS, auf die ich mittels Portweiterleitung zugegriffen habe. Das hat auch einwandfrei funktioniert. Nach vielen negativen Beiträgen hier im Forum habe ich diese geschlossen und bin umgezogen auf VPN.
Würdest Du auch auf die Portweiterleitungen aus Sicherheitsgründen verzichten oder siehst Du den Einsatz bei den Mitarbeiter noch als geeignet.
Wenn ja, dann wäre das Wunschspektrum abgedeckt.
Wenn nein, dann werde ich meinem Bruder empfehlen, professionelle Hilfe in Anspruch zu nehmen. Sicher soll und muss es sein!

spatzimatzi

 

[the other]

Moinsen,
ähhhh...nö.
Hab damit beruflich so rein gar nix zu tun (nur als User, der sich aus dem homeoffice per VPN in die Firma einwählt).
Alles rein privat und autodidaktisch.

Ich habe hier genau eine einzige PWL gesetzt: wenn Anfragen auf den VPN Server auf dem Port eintreffen, werden genau diese an den VPN Server durchgereicht. Dort erfolgt dann eine Authentifizierung (darf der das?), dann erst der Tunnelaufbau und dann der Zugriff auf EIN EINZIGES SEGMENT des Heimnetzes...
Ich würde also immer wieder nur VPN empfehlen.

 

[spatzimatzi]

Hallo #the other,
Du verwirrst mich. Dieses autodidaktisch klingt gut. Das möchte ich auch.
Du hast genau eine PortWeiterLeitung, über die dann VPN gesteuert wird.
Was meinst Du mit "EIN EINZIGES SEGMENT"
Hast Du keine Bedenken, dass der Port mißbraucht wird? Die VPN steckt doch hinter dem Router!

spatzimatzi

 

[blurrrr]

.oO(vielleicht sollte ich einfach mal Kurse anbieten.... Wobei 99% vermutlich schon weg sind, bevor der "grobe" Theorie-Teil durch ist... ?)

@spatzimatzi Stell es Dir einfach so vor: Dein Router ist Deine Haustür, Dein Haus (Netzwerk) besteht z.Zt. nur aus einem einzigen großen Raum. Eine "Segmentierung" würde bedeuten, dass dieser Raum in weitere Räume aufgeteilt wird, welche dann auch eigene Türen bekommen. Die Zugriffe an den Türen kannst Du mit einer entsprechenden Firewall regeln (wer darf wohin (rein/raus)). Die Fritzbox ist etwas "eigensinnig" was VPN angeht, normalerweise landen VPN-Teilnehmer auch in einem eigenen "Netz" (Raum). Somit wäre es z.B. möglich, bei einem Site2Site-VPN zu definieren, dass das Remote-Netz "nur" an das NAS darf und ggf. auch "nur" mit bestimmten Protokollen (SMB/CIFS, HTTPS, etc.), mitunter auch nur bestimmte IP-Adressen aus dem Remote-Netz. Somit ist grundsätzlich eine wesentlich feinere Steuerung möglich. Die Fritzbox hingegen sagt bei einem Site2Site-VPN erstmal "ist egal was, ist egal wohin, darf alles".

 

[the other]

Moinsen,

Dieses autodidaktisch klingt gut. Das möchte ich auch.

Äh, naja...wenn man keine Freunde hat, dann ist das ein guter Zeitvertreib. Und da ich mir sowas immer gerne alleine antue, also nicht in nem Kurs und sowieso soziale Rückzugstendenzen habe, war das für mich eben der gangabare Weg.

Nochmal kurz zu deinem Post: die PWL geht hier so, dass eine Anfrage am Router eingeht auf zB Port UDP 1194 (openvpn), diese wird daraufhin weitergeleitet an die pfsense (hier an den openVPN Router). Dieser checkt: wer fragt da nach, hat der was zum Authorisieren (Zertifikat), zusätzlich muss ich noch n Passwort in Kombination mit 2fa eingeben zum Verbindungsaufbau. Sicherlich auch das irgendwie zu knacken, aber nicht von den 0815 Menschen. Also, für mich sicher genug. Bin ich dann "durch", befinde ich mich in von @blurrrr erwähntem "Wartezimmer" (das VPN Segment) und bekomme da eine IP zu. Die Firewall auf der pfsense schaut sich dann eben diese IP an, sieht, dass von dieser aus NUR auf das NAS und NUR mit folgenden Ports (=Diensten) zugegriffen werden darf. Zusätzlich schaut auch die NAS eigene Firewall nochmals drauf.
Ich nutze ausschließlich ein Roadwarrior Setting (also keine site2site Lösung, sondern Zugriff vom Smartphone, Tablet, Notebook, immer wieder neuer Aufbau zum VPN Server, keine Standverbindung.
Und zu @blurrrr 's Bemerkung zur "Firewall" der Fritzbox: genau das meinte ich anfangs, die kann so differenziert nichts regeln, da geht dann eben alles nach dem Motto "der durfte per VPN rein, also darf er jetzt auch alles im Netz" (wenn die Option gewählt wurde, eine der wenigen die vorhanden sind).
Zur Frage nach ein einziges Segment: ich habe hier sagen wir mal 5 VLANs (=5 Netzwerksegmente). Wenn ich mich per VPN einwähle, dann darf ich mit der IP aber nur in EIN SEGMENT von den fünfen. Und in diesem NUR aufs NAS. Das meinte ich damit, okay?

und last not least: OT @blurrrr ...na? Hast du dein Wochenendprojekt voranbringen können?? Sollte das mit dem Kurs Form annehemn, dann trag mich ein. Dafür würde ich sogar meinen Pseudo-Autismus aka meine Menschenscheu mal kurz in den Schrank hängen und mitmachen.

 

[spatzimatzi]

Hallo @the other,
vielen Dank für Deine Ausführungen.

spatzimatzi

 

[NSFH]

Das Problem bei vielen Firmen ist, dass von Aussen Zugriff erfolgen soll, dieser aber nicht mit betriebseigenen Geräten erfolgt. Das macht die Nutzung von VPN schwierig bzw schwer administrierbar.
In diesen Fällen lasse ich den WebDav Zugang via HTTPS und Portweiterleitung aus dem Router zur Syno zu. Das funktioniert insbesondere für den Anwender sehr unkompliziert.
Man muss, wie immer wenn es um IT-Sicherheit geht, abwägen wieviel man verbieten kann OHNE den praktischen Nutzen zu gefährden. Dieser Mittelweg ist nie eindeutig und muss von Fall zu Fall beleuchtet werden.
Ich muss aber auch dazu sagen, dass ich in diesen Fällen nie sowas wie eine Fritzbox einsetze sondern etwas professionellere Router, wo auch Portweiterleitungen durch die Firewall geschleift werden. Irgendwo muss man ja etwas Sicherheit zurück holen.

Mein Lösungsansatz hier wäre daher den Firmenrouter auszutauschen und für Firmenangehörige WeBdav nutzen und innerhalb der Familie weiter VPN, hier aber auch mit klaren Einschränkungen hinsichtlich Zugriff ausnahmslos auf die Syno und nicht das gesamte LAN.

 

[spatzimatzi]

Hallo @NSFH,
habe zufällig Deine Ausführungen gelesen. Sehr schön.
Kann man eine Empfehlung für einen professionelen Router aussprechen oder handelt es sich dann um Werbung (nicht erlaubt im Forum).
Es betrifft einen Kabelanschluss (1000/50 MBit).
Einen Zugriff über VPN mit den Mitgliedern der Familie und WebDAV für die Mitarbeiter für den Zugriff auf bestimmte Ordner auf dem NAS wäre eine Lösung, die auch noch sicher (meine bescheidene Bewertung) ist.
Trotzdem wird ein professioneller Blick auf das "Ganze" nicht schaden. Evtl. ergeben sich dann noch weitere wichtige Erkenntnisse.

spatzimatzi

 

[blurrrr]

WebVPN gibt es auch noch, und und und... aber... such Dir mal einen "professionellen" Blick, wird das beste sein, siehst Du doch bestimmt auch so @NSFH, oder? ?

Btw NSFH geht nicht hin und sagt Dir, dass Du Draytec kaufen sollst, sondern nur, dass er es gern benutzt, ich erwähne zwischendurch auch immer wieder die Sophos, aber da hat das eine mit dem anderen nichts zu tun. Wenn NSFH jetzt eine Empfehlung für irgendwas ausspricht, dann wurde ja danach gefragt... Es geht eher darum, dass die Leute nicht für sich selbst oder ihre eigenen Produkte Werbung machen (so wie Du es anscheinend für Dich schon getan hast, sonst wärst Du wohl nicht so arg mit der Thematik beschäftigt... ?). Es heisst auch nicht "kauf über mich/den und den", sondern es wird ein "Modell" genannt und fertig (ähnlich wie: Kauf Dir eine Fritzbox XY), das ist keine Werbung (ausser es sagen Leute von AVM, oder man verkauft die Dinger selbst)... und vor allem: nicht irgendwelchen Müll spammen und nicht irgendwelchen Müll in der Signatur stehen haben... Ist doch garnicht so schwer, eigentlich ganz einfach ??

 

[NSFH]

Ich nutze nahezu nur noch VPN Router (ohne integriertes Modem) der Firma Draytek. Das ist keine Werbung, davon habe ich nichts. Die Geräte haben sich halt nur als zuverlässig, performant erwiesen und bieten zudem noch einen kostenfreien, aussergewöhnlichen Mail oder Telefon Direktservice in Deutschland. Ausserdem liefert Draytek kostenlose VPN Clients für die PCs, was die VPN Anbindung vereinfacht.
"Problem" bei dir evtl der Kabelanschluss. Ideal wäre es den Kabelanschluss nur mit einem Modem abzuschliessen und dahinter einen VPN Router zu betreiben. Als weniger schöne Lösung bliebe noch die Fritzbox nur im Bridge-Mode zu nutzen und dahinter einen neuen Router.

Natürlich kannst du auf das alles auch verzichten und WebDav auch nur mit der Fritz machen. Man muss nur verstehen, dass mit der erforderlichen Portweiterleitung in der Fritz die Syno damit direkt mit diesem Bein im Internet steht. Die einzige Sicherheit ist dann nur noch die Firewall der Syno.
Bei diesem Konstrukt muss daher die Firewall der Syno 100% korrekt eingestellt sein.
Zur Nutzung WebDav via HTTPS brauchst du noch zwingend eine Domain, über welche du ein allgemein gültiges Zertifikat erstellen kannst. Ohne klappt das nicht.

Für den Laien alles gar nicht so einfach, professionelle Hilfe ist daher nicht umsonst kostenpflichtig (ein schöner Satz) ;-)

 

[NSFH]

@blurrrr : Meinst du mit WebVPN SSL-VPN?
Das ist mein meist genutztes VPN weil es überall auf der Welt funktioniert, selbst aus Hotels heraus die sonst alles blocken.
Einziger Nachteil, es ist die fast langsamste Variante.

 

[blurrrr]

Jo, bin mal gespannt, ob man bereit ist für den "professionellen Blick" (wie will man das als Laie überhaupt beurteilen können? ?) Hunderte von Euros auf den Tisch zu legen (im privaten Umfeld) für einen "Blick"... fragwürdig..., aber kann man sicherlich machen. Und bevor man sich jetzt über die Kosten aufregt: https://www.tierarzt-rueckert.de/blog/details.php?ID=21145 (finde ich persönlich ganz nett geschrieben ).

@NSFH jo, sicher ist das langsam, dafür braucht die Gegenseite nix besonderes, war auch sicherlich keine Empfehlung, aber einfach mal ein paar Möglichkeiten in den Topf geworfen... Aber... was wissen wir Stümper schon ? Vllt kriegt man ja noch so einen Hau und dann steht bald ein Syno-Router im Wohnzimmer, da kann dann ja einfach entsprechende Funktioalitäten dazu kaufen (*Synology-Werbetrommel, rühr*?)!

 

[spatzimatzi]

Hallo @NSFH,
schon schön, welch langer Atem bei Euch vorliegt. Ein toll!
Zum Kabel:
Mein Bruder hat die FritzBox gekauft und soweit ich weiß, kann man bei eigenen Geräten keine Bridge aufschalten lassen.
Auch muss berücksichtigt werden, dass auch Telefonie im Moment über die Box läuft.
Wenn aber die Box ausgetauscht werden müsste, so wäre auch das kein Problem. Am Geld soll es wegen Sicherheit nicht scheitern.
Jetzt kommt gleich ein Aufschrei: Wenn doch Geld da ist, warum dann keine Installation durch einen Profi.
Ganz einfach:
Weil wir zunächst gerne wissen möchten, was der Profi machen könnte. Sonst ist man nach erledigter Arbeit weiterhin ein Unwissender. Un da hätte ich kein gutes Gefühl. Aber grundsätzlich wird jemand kommen und ein Gesamtkonzept anbieten können.

Die Portweiterleitung über den gesicherten Port habe ich bei der FritzBox schon eingerichtet. Das gilt auch für die Firewall auf der Syno.
Seit kurzem hat mein Bruder auch eine feste IP. Könnte man die alte myFritz-Adresse als Domain nehmen?

Hinweis: Ich habe schon wenig Ahnung von dieser Materie. Aber mein Bruder ist total befreit von der Problematik. Deshalb mache ich es für ihn.

spatzimatzi

 

[NSFH]

Also was die Fritzbox und Bridge Modus angeht bin ich nicht der kompetenteste Ansprechpartner. Da kann hier vielleicht jemand anders weiter helfen, der diesen Modus nutzt und damit bestätigt, dass es geht.
MyFritz dient nur zu DDNS, nicht als Homepage. Dafür gibt es Domain Billiglösungen zB bei Strato für 1€/Monat. Die Domain muss ja nichts können, nur weiterleiten und LetsEncrypt ermöglichen.
So bekommst du WebDav auch in der aktuellen Config mit der Fritz zum laufen.

Wenn du wirklich tiefer einsteigen willst und den Router angeht hier ein paar Links zum schlau lesen. Hier kann man auch in jeden Router rein schauen, wie er zu konfigurieren ist.
Kabelanschluss: https://www.draytek.de/kabelanschluss.html
Als Beispielrouter: https://www.draytek.de/vigor2927-serie.html
Dazu die Live Demo, ob du damit klar kommst: http://eu.draytek.com:12927/
Ist nur ein Beispiel, gibt noch andere Lösungen.....
Auf den Seiten findest du dazu jede Menge FAQ und Konfigurationshilfen, wobei die englische Seite dabei ergiebiger ist.
Und wie gesagt, du bekommst kostenlosen telefonischen Support, das probiere mal woanders....

Wenn du Willens bist dich mit der Materie etwas auseinander zu setzen schaffst du das auch. Das einzige was dir zur letzten Sicherheit noch fehlen würde wäre dann nach der Inbetriebnahme der Check eines Fachmanns der Konfigurationen des Routers und der Syno sowie der übliche Penetrationscheck. Diese Dienstleistung könntest du dir per Teamviewer einkaufen.

 

[spatzimatzi]

Hallo @NSFH,
werde mir die Daten zu Gemüte führen. Vielen Dank

spatzimatzi