Quickconnect vs. DDNS vs. VPN bei reinem IPv6-Anschluss der Deutschen Glasfaser

Status
Für weitere Antworten geschlossen.

stefaktiv

Benutzer
Mitglied seit
04. Jan 2017
Beiträge
94
Punkte für Reaktionen
0
Punkte
6
Vor kurzem bin ich von der Telekom zu Deutsche Glasfaser gewechselt und suche seitdem noch die perfekte Netzwerkkonfiguration für meine Bedürfnisse. Als Router nutze ich eine Fritzbox 5530 (vorher 7580). Zudem ist eine DS-916+ bei uns im Einsatz. Bis dato hatte ich eine Domain bei Strato dazu genutzt um meine Fritzbox via DynDNS erreichbar zu machen.

Zum Thema Sicherheit hatte ich gelesen, dass man die Diskstation trotz dort vorhandener Firewall idealerweise nicht mit den Standardports ans Internet hängen soll. Daher hatte ich einen hohen zufälligen Port für die Freigabe vergeben. Dazu hatte ich gelesen, dass Angreifer in der Regel bekannte Ports auf Schwachstellen abscannen.

Um eine zusätzliche Sicherheit zu erhalten, habe ich in der Firewall alle IP-Nummern außerhalb von Deutschland geblockt. Selbstverständlich kann man so etwas über Proxys / VPN umgehen - aber alle Angreifer die es nicht machen hat man schon einmal damit weggehalten.

Für die SSL-Verschlüsselung habe ich bisher Let's Encrypt genutzt. Dazu musste ich alle drei Monate kurzzeitig die nötigen Ports öffnen und das Zertifikat erneuern. Danach wieder schließen und so hatte ich eben vier Mal im Jahr kurz den Aufwand aber kein zusätzliches Sicherheitsrisiko.

Die beschriebene Einstellung war für mich ein Kompromiss zwischen Bedienbarkeit und Sicherheit. Denn ein Anwendungsfall meiner NAS ist eine Dateifreigabe für Freunde / Familie (natürlich mit Kennworteingabe). Da aus diesem Personenkreis oftmals EDV-Laien eine möglichst selbsterklärende Lösung brauchen, war die Idee eines VPN-Zugriffs dieser Personen o.ä. für mich nicht zu gebrauchen.

Leider bietet Deutsche Glasfaser nur Anschlüsse mit IPv6 an (heißt wohl DSLITE). Damit kann ich jetzt noch einmal komplett von vorne anfangen mir Gedanken zu machen, wie es am besten / sichersten einzustellen ist.

Das fängt mit dem Thema DDNS an. Hier habe ich einen Updatestring gefunden, der tatsächlich nur die IPv6 überträgt. Denn die zusätzlich vergebene IPv4 gehört zu einem privaten Netzwerkbereich und bringt damit nicht weiter.

Code:
https://<username>:<passwd>@dyndns.strato.com/nic/update?hostname=<domain>&myip=0.0.0.0,<ip6addr>&subhostprefix=<ip6lanprefix>

Da aber jedes Gerät eine eigene IPv6-Adresse hat, kommt man jetzt über die DDNS-Domain nur auf die Fritzbox, aber nicht weiter.

Die Diskstation selbst bietet zwar die Möglichkeit einen DDNS-Anbieter anzupassen und damit einen eigenen Update-String zu definieren. Allerdings scheint es keinen Platzhalter für IPv6 zu geben - zumindest nicht direkt ersichtlich.

Da bei manchen Mobilgeräten zudem IPv4 ohne IPv6 voreingestellt ist, bin ich jetzt letztlich bei Quickconnect von Synology gelandet. Der Dienst funktioniert ja auch bei der Konstellation, dass ein Zugriff von einem reinen IPv4-Gerät erfolgt.

Zuerst hatte ich einen einfachen Nickname vergeben, habe das dann aber aufgrund Sicherheitsbedenken geändert. Wenn man im Quickconnect einfach mal irgendeinen häufigen Vornamen eingibt, dann landet man nämlich schnell auf der Startseite einer fremden NAS. Das erscheint mir nicht besonders sicher zu sein - auch wenn auf der Diskstation eine Firewall arbeitet.

Aktuell habe ich eine kryptische Zahlen-Buchstaben-Kombination als "Quickconnect" verwendet. Das ist zwar bei der Einrichtung der verschiedenen Dienste auf dem Smartphone nicht so "quick" wie ein einfach zu merkender Name. Rein von der Sache her müsste es aber trotzdem deutlich sicherer sein, oder? Denn der Verbindungsaufbau mit dem Quickconnect nimmt eine kurze Zeit in Anspruch. Ein Angreifer müsste jetzt eine riesige Zahl von Buchstabenkombinationen durchprobieren und bräuchte dazu Unmengen von Zeit. Mit zunehmender Länge der Kombination erscheint es mir als eher unwahrscheinlich, dass mich hier jemand "zufällig" besuchen kommt.

Wie sicher schätzt Ihr diese Version ein?

Welche Variante habt Ihr in der Kombination Deutsche Glasfaser, Fritzbox und Diskstation gefunden?

Die Suche hat zwar ein paar Threads dazu ausgespuckt - ich wollte aber keinen vor zwei Jahren abgeschlossenen mit dem Thema wiedereröffnen. Technisch hat sich ja auch wieder etwas getan.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.569
Punkte für Reaktionen
3.611
Punkte
468
Ja, bei reinem IPv6 muss man ziemlich umdenken. Da nützt es auch nichts, wenn man in alter "IPv4-Denke" die IPv6 der Fritzbox per DDNS publiziert, weil man meint, damit auch weiterhin per "Portweiterleitung" auch auf die internen Geräte zugreifen zu können. NAT gibt es nicht mehr. Eigentlich müsste jetzt jedes Endgerät seine IPv6 per DDNS publizieren, aber das würde ein ganz schöner Verhau werden.

Einen ganz interessanten Ansatz bietet da z.B. MyFritz. Wenn man da statt einer normalen Freigabe eine sog. MyFritz!-Freigabe für ein internes Gerät definiert, ist es hinterher z.B. per http://<gerätename>.<myfritz-id>.myfritz.net erreichbar, d.h. man hat auch sowas wie ein DDNS für die IPv6 von internen Geräten zentral auf der Fritzbox. Schau's dir mal an.

Ich hab auch schon irgendwo gelesen, dass auch andere DDNS-Anbieter sowas bieten. Da wird dann wohl nicht mehr die komplette IPv6 publiziert, sondern nur noch der ggf. wechselnde IPv6-Präfix, und die Interface-IDs werden fest definiert.
 

stefaktiv

Benutzer
Mitglied seit
04. Jan 2017
Beiträge
94
Punkte für Reaktionen
0
Punkte
6
An MyFritz hab ich auch gedacht und es auch mal ausprobiert. Ich glaube das Problem mit dem Zugriff eines reinen IPv4-Gerätes ist damit aber nicht gelöst. Bin mir da aber nicht ganz sicher. Bei Quickconnect wird der Datenverkehr wenn ich es richtig verstanden habe verschlüsselt über deren Seite geleitet. Damit ist es egal, von welchem Gerät aus der Zugriff erfolgt (also über IPv4 oder IPv6).

Unterm Strich bleibt bei beiden Lösungen aber, dass man auch einem externen Dienstleister vertrauen muss. Bei Fritz hat man tendenziell ein besseres Gefühl, weil es eine deutsche Firma ist (AVM). Wobei man Synology dahingehend ja auch blind vertraut, dass in der Diskstation keine Backdoor eingebaut ist. Insofern ist das für mich dann eher eine theoretische Frage.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.569
Punkte für Reaktionen
3.611
Punkte
468
Klar, "IPv6 only" bedeutet auch, dass alle Geräte auch IPv6 sprechen können müssen.
Auch wenn IPv6 schon so alt ist, momentan ist es wirklich noch besser, man hat beides.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat