Probleme mit OpenVPN und dem Verbindungsaufbau zu meiner Synology DS

[Hagen2000]

Richtig.
Generell wird sogar dazu geraten, die automatische Konfiguration des Routers durch andere Geräte zu deaktivieren, denn ein bösartiges Gerät im Heimnetzwerk kann sonst deine Firewall im Router nach Belieben umstellen.
Also nur im Router Port 1194 für das NAS freigeben und die Funktion für andere Netzwerkgeräte, Freigaben selbständig eintragen zu können, abschalten.
Tutorials, die Port 5000 bzw. 5001 freigeben sind halt für Zugriffe ohne VPN gedacht. Das gilt aber als unsicher.

 

[ottosykora]

jetzt aktuell in der Router Config aus

diese Router KOnfiguration ist ein Problem, weil es eben den Router selber umprogrammieren kann. Das macht die Konfiguration für nicht-Fachleute einfacher, wird als Sicherheitsproblem angeschaut. Eine entsprechende Malware könnte also beliebige Ports öffnen und damit was auch immer anstellen.
Obwohl ich mich nicht errinern kann, dass dies wirklich irgendwie mal genau so ausgenutzt wäre.

Ob man den Port 5001 durchleitet oder nicht spielt am Schluss nicht so wichtige Rolle. Der Port für VPN wird auch auf der DS aungerufen, es ist einfach ein anderes Program welches da aufgerufen wird. Einmal der VPN Server und einmal DSM Portal. Sind ja zwei unetrschiedliche Programme die da involviert sind.
Wenn man sich via VPN verbindet und mit dem DSM reden will, muss man sich auch an den Port 5001 wenden, oder halt das was man sonst dafür gewählt hat.

5001 ist der standart Port mit SSL dafür, 5000 ohne SSL Transportverschlüsselung. Der Unterschied ist lediglich dass 5000 durch einen 'Manin the middle' also einen Laucher unterwegs abgehört werden kann. Auf dem Server selber macht es keinen Unterschied.


Was jedoch problematisch ist, es gibt Automaten weltweit, die alle IP nach bestimmten Ports absuchen und testen ob man sich einloggen kann. Das kann an deinem Anschluss auch mal passieren. Das wird mit Sicherheitsproblem bezeichnet, obwohl bei einem guten username/password kaum ein Angriff möglich ist. Dann kann man es für einige Zeit beheben in dem man halt einen anderen Port nimmt, also etwas aus dem 'hohen' Bereich oberhalb von vielleicht 50000


Ansonsten wird oft empfohlen den VPN Server auf dem Router oder allenfalls auf einem anderen Gerät, etwa extra dafür konfigurirtem Raspi zu hosten. Und sonst gar keine Ports nach aussen öffnen, ausser eben was für VPN nötig ist und nicht zu der DS geleitet wird.
Das ist eher als Sicherheitsfrage zumindest theoretisch durchaus nachvollziehbar.
Nur bieten nicht alle Router so was an, also ist man oft mit dem VPN Server der DS gut bedient.
(funktioniert bei mir seit Weinachten 2012 permanent ohne Probleme)

 

[Andreas.L]

Ok, super ihr zwei. Vielen Dank noch einmal für die viele Hilfe. Am Ende habe ich tatsächlich nichts anderes gemacht als einen Port freizugeben und diese Freigabe dann wieder rückgängig zu machen. Das ist doch echt komisch, oder?

 

[Ronny1978]

Es ist nur noch Port 1194 open

Und so soll sein. @Hagen2000 hat recht: Jeden Port, den du in der Firewall öffnest, ist immer ein potentielles Risiko. Ich würde dir auch mal empfehlen noch andere Video zu schauen. Denn in den seriösen Videos macht NIEMAND eine Portweiterleitung zu 5001 und lässt es auch noch beim Standard Port. Selbst Synology empfiehlt den Standard Port 5000/5001 zu ändern. Also auch hier noch einmal darüber nachdenken, die Sicherheit zu erhöhen.

 

[ctrlaltdelete]

Ich würde eine Wireguard VPN direkt zur Fritzbox nutzen, auf ein NAS gehört kein VPN Server.

 

[Ronny1978]

auf ein NAS gehört kein VPN Server.

Wenn der Router es kann, teile ich die Meinung. Und wenn der Router es nicht kann, gibt es bessere Varianten, wie das NAS selbst.

 

[ctrlaltdelete]

Aber da er eine Fritzbox hat, sollte das gehen.