PPPoE und Lokales Netzwerk

[master3112nn]

Hallo liebe Forenbenutzer,

Ich habe mir vor einem Halben Jahr einen DS210j gekauft, worrauf aktuell die Beta Firmware drauf läuft.
Nun ist die Frage wenn ich mit einem Computer die DS aufrufen will benutze ich die dafür zugewiesene IP (192.168.178.80)! Momentan ist die FritzBox (3070) die Box, welche sich ins Internet einwählt und worrauf der DHCP Server aktiviert ist. Ich habe in den Einstellungen der FB bereits die Option aktiviert: Andere Geräte dürfen zusätzlich selber eine Internet Verbinung aufbauen (PPPoE). Wenn ich allerdings die Zugangsdaten in der DS eingebe und sie selbst eine Internetverbindung aufbaut, kann ich dann noch über meine interne IP auf meine DS zugreifen?

Ich habe keine Lust das zu testen, da ich sonst nicht wüsste wie ich die DiskStation erreichen könnte wenn der DDNS Dienst ausfällt!

Bitte um Antwort! Danke schonmal im vorraus!!

 

[jahlives]

Ich habe keine Lust das zu testen, da ich sonst nicht wüsste wie ich die DiskStation erreichen könnte wenn der DDNS Dienst ausfällt!

Bitte um Antwort! Danke schonmal im vorraus!!

In diesem Fall hat die DS deine externe IP erhalten und war wahrscheinlich darum nicht mehr mit der LAN Adresse zu erreichen.
Wieso brauchst du PPoE? Normalerweise kann jeder Client im LAN über den Router eine Verbindung aufbauen auch ohne PPoE.
Die DS erreichst du falls dyndns down ist immer über deine aktuelle externe IP Adresse. Du musst einfach auf der FB die nötigen Ports an die interne IP der DS weiterleiten

 

[master3112nn]

In diesem Fall hat die DS deine externe IP erhalten und war wahrscheinlich darum nicht mehr mit der LAN Adresse zu erreichen.
Wieso brauchst du PPoE? Normalerweise kann jeder Client im LAN über den Router eine Verbindung aufbauen auch ohne PPoE.
Die DS erreichst du falls dyndns down ist immer über deine aktuelle externe IP Adresse. Du musst einfach auf der FB die nötigen Ports an die interne IP der DS weiterleiten

Lieber jahlives,
Ich beführchte sie haben mein Problem nicht ganz verstanden.
Ich habe es noch nicht ausprobiert aber ich muss immer per interne IP auf den Server kommen. Gäbe es sonst eine alternative eine zweite Internetverbindung herzustellen? Ich habe mich mal an ein anderes Thema gesetzt, welches ich auch als Alternative sehen könnte eine zweite Internetverbindung herzustellen.
Ich habe zwei FritzBoxen. Eine fungiert als Router, woraun 3 PC's angeschlssen sind. Die andere würde ich gerne per LAN 1 an die Andere anschließen und eine zweite Internetverbindung herstellen, um bei einem Angriff von außen nur den Server und einen weiteren PC zu opfern und nicht alle anderen als gefährdet einzustufen. Deshalb würde ich gerne wissen: Könnte man theoretisch per FritzBox eine zweite Verbindung herstellen mit unterschiedlichen IP's aufbauen? Oder gäbe es eine Funktion von dem Server immer per interne IP Zugriff zu haben?

 

[jahlives]

Das geht wohl nur wenn du zwei externe IPs vom Provider bekommst. Sonst bekommt entweder der Router oder die DS die externe IP. Aber beide können nicht gleichzeitig die externe IP haben, das wäre nicht zu routen in einem Netzwerk. Dein Router wüsste ja nicht ob die Daten für die DS oder für einen LAN Client sind.
Wenn du die DS unbedingt unter der internen IP erreichen musst, dann klingt das für mich nach einen klassischen Fall von vpn.
Wäre es denn sonst keine Alternative mit entsprechenden Portweiterleitungen zu arbeiten?

 

[master3112nn]

Das geht wohl nur wenn du zwei externe IPs vom Provider bekommst. Sonst bekommt entweder der Router oder die DS die externe IP. Aber beide können nicht gleichzeitig die externe IP haben, das wäre nicht zu routen in einem Netzwerk. Dein Router wüsste ja nicht ob die Daten für die DS oder für einen LAN Client sind.
Wenn du die DS unbedingt unter der internen IP erreichen musst, dann klingt das für mich nach einen klassischen Fall von vpn.
Wäre es denn sonst keine Alternative mit entsprechenden Portweiterleitungen zu arbeiten?

Mit der Portweiterleitung läuft meine DS ja momentan schon aber ich habe dann die beführchtung dass wenn ich einen Wurm per DDNS auf den Server bekomme, dass dann die Möglichkeit bestünde, dass dann die anderen drei Rechner diesen auch bekömmen könnten. Oder könnte man ein Subnetz einrichten, indem nur der Server und der andere PC ist und keiner der anderen drei Rechner Zugriff hat? Jedoch müsste dann der Router (FritzBox) auch dem Subnetz das Internet geben... geht das allein ohne weitere Hardware (FritzBox 3070; DS210J)?

 

[jahlives]

Es gibt nicht wirklich viele Würmer, die unter einem Linux laufen. Von dem her müsste das schon ein sehr gezielter Angriff sein.
Das Risiko für einen Befall deines Server durch einen Wurm halte ich für sehr gering.
Wenn natürlich deine DS gehackt wird (z.B. wenn das root PW bekannt ist und der Zugriff via Shell aus dem Internet möglich ist), dann besteht ein akutes Risiko für deine Clients.
Solange aber die Shell (telnet oder ssh) nicht aus dem Internet her erreichbar ist, ist das Risiko gehackt zu werden eher gering. Allerdings hängt dieses Risiko jedoch immer auch davon ab, welche Dienste du denn ins Internet freigibst.

 

[master3112nn]

Es gibt nicht wirklich viele Würmer, die unter einem Linux laufen. Von dem her müsste das schon ein sehr gezielter Angriff sein.
Das Risiko für einen Befall deines Server durch einen Wurm halte ich für sehr gering.
Wenn natürlich deine DS gehackt wird (z.B. wenn das root PW bekannt ist und der Zugriff via Shell aus dem Internet möglich ist), dann besteht ein akutes Risiko für deine Clients.
Solange aber die Shell (telnet oder ssh) nicht aus dem Internet her erreichbar ist, ist das Risiko gehackt zu werden eher gering. Allerdings hängt dieses Risiko jedoch immer auch davon ab, welche Dienste du denn ins Internet freigibst.

Momentan habe ich nur den Webserver + MySQL freigegeben. Meine Befürchtung war jetzt, dass mein Server so gehackt werden könnte und die Client PC's somit ausgehorcht werden könnten. Wie hoch ist denn dann die wahrscheinlichkeit dass mein admin Passwort gehackt werden könnte (16 stellig, mehrere Zahlen und Sonderzeichen)? Oder kann man die theoretisch anders auslesen, wenn nur Webserver, MySQL, ITunes, Musik Station, Daten Station und FTP aktiviert sind... Alle Verbindungen werden automatisch auf https umgeleitet. Bringt das auch was?

 

[jahlives]

Mal zum Webserver: Wenn du damit den normalen Apache Server meinst, dann ist dieser nicht sonderlich gefährdet. Denn dieser Dienst läuft unter einem User mit sehr eingeschränkten Rechten d.h. auch wenn man den Apache Webserver hackt, läuft der Hack dann nur unter diesem User. Und der User hat fast keine Rechte auf der DS.
Anders sieht das beim Webserver aus, auf dem der DSM läuft. Dieser Prozess läuft unter dem User root und hat damit nahezu uneingeschränkte Rechte auf der DS. Da musst du dir also gut überlegen, ob du diesen Dienst ins Internet freigeben willst.
https bringt zusätzliche Sicherheit, weil dabei Username und Passwort verschlüsselt übermittelt werden

 

[Matthieu]

Und sämtliche Anmeldungen lassen sich noch über die eingebaute IP-Sperre überwachen. Damit wäre Brute-Force auch ausgeschlossen und die potenzielle Angriffsfläche wird verdammt klein.

MfG Matthieu

 

[jahlives]

Und sämtliche Anmeldungen lassen sich noch über die eingebaute IP-Sperre überwachen.

Welche aber nicht greifen, wenn der böse Zeitgenosse über verschiedene Proxies reinkommen will

 

[a-jay]

Hallo master3112nn,

wenn ich dich richtig verstehe, dann willst du deinen Server (die DS) aus dem Internet (und deinem Heimnetz) zugänglich machen und dabei dein Heimnetz bestmöglich schützen?

Falls ja, dann wäre eine (echte) DMZ das richtige. Das kann man z. B. mit einer Routerkaskade machen (habe ich auch so). Ist etwas kniffelig einzurichten, aber das macht man ja nur einmal.

Sieht dann ungefähr so aus:

(WAN)----[Router-1]--+--[Router-2]----(LAN)---+--[PC1]
                     |                        |
                     +--[DS]                  +--[PC2]
                                              |
                                              +--[PC3][/FONT]

A-Jay

 

[master3112nn]

Dann wäre das Thema für mich auch erledigt! Ich werde sofern mir die Zeit zur Verfügung steht eine VPN-Verbindung einrichten und den DSM Zugang durchs Internet sperren! Anschließend sollte keine Client versäuchung mehr möglich sein und das mit der Kaskade werde ich nochmal bei AVM erfragen wie das mit den FritzBoxen funktioniert, wenn es damit überhauft funktioniert.

Danke für die Hilfe!

Eine abschließende Frage hätte ich allerdings noch: Wie schnell ist die VPN bei einer 6000 Leitung?

 

[jahlives]

Eine abschließende Frage hätte ich allerdings noch: Wie schnell ist die VPN bei einer 6000 Leitung?

Das hängt entscheidend von der Power deines VPN Routers und den verwendeten Krypto-Algos ab. Mein VPN Router bringt bei AES256 einen Durchsatz von gut 20 Mbit/s. Zwischen den verschiedenen Krypto-Algos kann es gut zu Unterschieden von 50% im Durchsatz kommen. Mit 3DES kommt mein Router auf gut 30 Mbit/s.
Bei einer 6000-er Leitung wird ein "guter" VPN Router wohl kaum zum Flaschenhals werden. Deine 6Mbit/s müsste jeder anständige VPN Router auslasten können