Synology VPN Server und/oder Fritzbox

DocMagic

Benutzer
Mitglied seit
23. Mrz 2010
Beiträge
26
Punkte für Reaktionen
3
Punkte
53
Hallo zusammen

Ich habe eine 1618+ und ein kleines Netzwerk hinter einer Fritzbox stehen. In der Fritzbox 7590 ist ein gut funktionierendes IPSecVPN in das Netzwerk meines Arbeitgebers eingerichtet. Nun will ich von extern mit Windows Bordmitteln (ohne Fernzugang installiern zu müssen) per IPSecVPN auf meine NAS und mein Privates Netz zugreifen. Das einrichten des Synology VPN Servers ist mir leider nicht so möglich wie in allen verfügbaren Beschreibungen beschrieben, da ich auf der Fritzbox wegen des dort existierenden FirmenVPN keine Portweiterleitung für die Ports 500 und 4500 einrichten kann. Gibt es irgendeine Möglichkeit für den Synology VPN Server andere Ports für L2TP/Ipsec einzurichten, Und falls ja - wo kann man diese Einstellung vornehmen, Oder kann jemand einen (kostengünstigen) Software-VPN Server empfehlen, der sich auf der Synology (zB in einer VM) instellieren läßt um dieses Problem zu umgehen...?
Danke im Voraus für Eure Vorschläge

Peter
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.070
Punkte für Reaktionen
216
Punkte
83
Hallo, das verstehe ich nicht:
du verbindest dich mit deinem Arbeitgeber: deine Fritz!box macht den VPN client bzw. LAN/LAN Kopplung
du wählst dich von unterwegs zu Hause ein: deine Fritz!box macht den VPN server..
=> funktioniert so bei mir ohne Zusatzsoftware…
 
  • Like
Reaktionen: Synchrotron

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
Die derzeit beste Möglichkeit, weil Du eine 7590 besitzt, dürfte sein: auf der Fritzbox einen Wireguard-Zugang für Deinen Windows-Rechner anlegen. Die zweitbeste Möglichkeit wäre einen weiteren IPSec-Zugang auf der Fritzbox für Deinen Windows-Rechner anzulegen (Du kannst sowohl mehrere IPSec- als auch mehrere Wireguard-Zugänge zu Deiner Fritzbox am Laufen haben, auch gemischt).
 
  • Like
Reaktionen: its

DocMagic

Benutzer
Mitglied seit
23. Mrz 2010
Beiträge
26
Punkte für Reaktionen
3
Punkte
53
Hallo, das verstehe ich nicht:
du verbindest dich mit deinem Arbeitgeber: deine Fritz!box macht den VPN client bzw. LAN/LAN Kopplung
du wählst dich von unterwegs zu Hause ein: deine Fritz!box macht den VPN server..
=> funktioniert so bei mir ohne Zusatzsoftware…
Ja das hast Du genau richtig wiedergegeben: so hätte ich es gerne aber ich möchte das hinbekommen, ohne auf den zukünftigen VPN Clients für den Zugriff auf mein Heimnetzwerk den Fritz Fernzugang zu installieren, da es die Rechner meiner Bandkollegen sind...
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.070
Punkte für Reaktionen
216
Punkte
83
h.d. wenn sich deine Bandkollegen in dein Netz einwählen, sollen sie auch Zugriff auf die Daten deines Arbeitgebers haben?

ein einfaches, stabiles und vor allem schnelles VPN mit einer Fritz!box funktioniert am besten mit wireguard, und da benötigst du halt die clientsoftware, mit dem windows ipsec client aufs fritzIPsec ist halt langsam.
und wenn jemand in mein Netz will, bestimme ich den Zugang, duschen ohne nass werden geht nicht.

ansonsten: s. #3, einfach einen Zugang anlegen..
 
  • Like
Reaktionen: EDvonSchleck

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wie ich hier schon elftes hier geschrieben habe: Ich finde es bedenklich wie Zugange ins Firmennetz oder vom Firmennetz inflationär genutzt werden. Dabei ist es egal, ob mit VPN oder ohne, also mit Portfreigaben. Ich hoffe, es wird auch verstanden, dass es rechtliche Konsequenzen haben wird im Falle eines Datenlecks oder z. B. Verschlüsselung. Das hat nichts mit Digitalisierung zu tun und zeigt wieder einmal wie unfähige die Firmen mit Ihren Daten umgehen und wie egal, dass den Angestellten ist.

Für den TE: Du solltest dein Firmen VPN nur auf dem Client installieren, welches du für die Arbeit benötigst! Noch nicht einmal deine Familie sollte Zugang auf das Netzwerk haben. Der Client sollte entsprechend mit einer Passwortabfrage gesichert sein! Was du privat betreibst und wem du alles in dein Netz lässt, ist deine Sache. Bei Schäden/Datenabfluss/Verschlüsselung musst du auch damit leben. Ich kenne solche Einstellung auch aus dem Bekanntenkreis, wo jedes WLAN geteilt wird wie ein öffentlicher Hotspot, von Störerhaftung keine Spur. Warum überhaupt noch eine Verschlüsselung nötig ist, ist mir schleierhaft. Spätestens, wenn etwas passiert oder böse Post kommt, ist das Gejammer groß. Ich würde es gleich richtig errichten.
 

DocMagic

Benutzer
Mitglied seit
23. Mrz 2010
Beiträge
26
Punkte für Reaktionen
3
Punkte
53
h.d. wenn sich deine Bandkollegen in dein Netz einwählen, sollen sie auch Zugriff auf die Daten deines Arbeitgebers haben?

ein einfaches, stabiles und vor allem schnelles VPN mit einer Fritz!box funktioniert am besten mit wireguard, und da benötigst du halt die clientsoftware, mit dem windows ipsec client aufs fritzIPsec ist halt langsam.
und wenn jemand in mein Netz will, bestimme ich den Zugang, duschen ohne nass werden geht nicht.

ansonsten: s. #3, einfach einen Zugang anlegen..
nein Zugriff auf das Firmennetz sollen die nicht haben.... lediglich auf meine Syno weil da alle Sounddateien und Aufnahmen drauf sind....
 

DocMagic

Benutzer
Mitglied seit
23. Mrz 2010
Beiträge
26
Punkte für Reaktionen
3
Punkte
53
Oh Mann, was habe ich losgetreten...
wahrscheinlich hab ich mich falsch ausgedrückt. Von aussen per VPN sollen meine Bandkollegen nur auf meine SynologyNAS kommen um mit den dort abgelegten Soundprojekten zu arbeiten. Der Zugang auf das Netz meines Arbeitgebers ist eh so geschaltet, dass dies nur von meinem PC bzw Laptop nach Anmeldung auf einer vorgeschalteten Seite geht.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich würde VPN nur in der Familie betreiben. Wenn externe Daten getauscht werden, egal welches Format, würde ich diese verschlüsselt teilen. In deinen Fall kann der Dienst gleich ein Mediaplayer mitbringen. Somit ist es möglich, die Files gleich anzuhören. Aber auch ein Austausch der Dateien ist kein Problem. Das Ganze wird mit SSL verschlüsselt und mit User/Passwort zusätzlich abgesichert.

Was dein Firmennetzwerk angeht: wenn du über den PC oder Laptop eine Verbindung aufbaust, sollte der Zugang auch nur von dem Client aufgebaut werden. Warum diese Verbindung in deinen NAS eingetragen ist erschließt sich mir nicht. Du kannst nicht ausschließen, dass durch eine Sicherheitslücke oder falschen Einrichtung zu einem Schaden kommt. Wenn das Firmennetzwerk dein eigenes ist, ist es natürlich egal – denn musst du damit leben. Sofern du angestellt bist, würde ich das lassen.

Ich würde dein Vorhaben noch einmal überdenken.
 

DocMagic

Benutzer
Mitglied seit
23. Mrz 2010
Beiträge
26
Punkte für Reaktionen
3
Punkte
53
Ich würde VPN nur in der Familie betreiben. Wenn externe Daten getauscht werden, egal welches Format, würde ich diese verschlüsselt teilen. In deinen Fall kann der Dienst gleich ein Mediaplayer mitbringen. Somit ist es möglich, die Files gleich anzuhören. Aber auch ein Austausch der Dateien ist kein Problem. Das Ganze wird mit SSL verschlüsselt und mit User/Passwort zusätzlich abgesichert.
ok . ich komme nur von einem bestimmten PC in meinem Familynetzwerk in die Firma. dort muß ich mich auf einer Vorschaltseite legitimieren, wenn ich das auf einem PC meines Sohnes mache bekomme ich die Vorschaltseite gar nicht...
 

DocMagic

Benutzer
Mitglied seit
23. Mrz 2010
Beiträge
26
Punkte für Reaktionen
3
Punkte
53
jetzt habe ich testhalber mal OpenVPN auf der Syno aktiviert (weil ich den benötigten Port in der Fritz wqeiterleiten kann) getestet und klappt....
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
ok . ich komme nur von einem bestimmten PC in meinem Familynetzwerk in die Firma. dort muß ich mich auf einer Vorschaltseite legitimieren, wenn ich das auf einem PC meines Sohnes mache bekomme ich die Vorschaltseite gar nicht...
Und warum baust du die Verbindung nicht direkt mit dem PC auf? Warum muss die DS dazwischen hängen?

OpenVPN ist nicht gerade ein Anwenderfreundliches VPN, warum nutzt du nicht Wireguard? Das kann deine Fritz!Box und notfalls DS. Ich bin mir aber nicht sicher, ob du wirklich dein Bekannte im Netzwerk haben solltest oder nur einen Zugang auf Ordner/Files nicht besser wäre.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
Mal ganz abgesehen davon, daß jetzt hier so Einiges durcheinander geht, privates VPN (mit einer 7590 am Besten mit Wireguard, sonst klassisch mit IPSec auch mit Server auf der Fritzbox), dienstliches VPN (Protokoll wurde nicht genannt, vermutlich aber eher nicht Wireguard, könnte z. B. Pulse Secure erfordern und somit eher auf IPSec oder SSL-VPN beruhen), Freunde/Bandmitglieder die auch irgendwie zugreifen sollen, würde ich als erstes den dienstlich genutzten Rechner aus dem Heimnetzwerk werfen, der hat da nichts zu suchen. Den würde ich in das Gastnetz der Fritzbox verfrachten, damit Dir „dienstlich per e-mail angelieferte“ Viren/Würmer/Trojaner (you name it) nicht sofort im Heimnetz alles stilllegen. Diese Verschmelzung von Firmennetz und Privatnetz ist gar keine gute Lösung, wie oben auch schon einmal angedeutet. Sieht man davon ab, ist die Verwendung eines Privatgerätes für sowohl Privates als auch Dienstliches keine ideale Lösung. Entweder sollte Dir Dein Arbeitgeber eines Gerät zur dienstlichen Nutzung zur Verfügung stellen, sei es nun ein Laptop oder ein Thin Client, oder Du solltest darüber nachdenken, Dir selbst eines anzuschaffen. Die Verquickung führt früher oder später zu Ärger.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
In so einem Fall(VPN nicht nur für sich selbst) gehört das VPN Gateway in eine DMZ(zwischen zwei Firewalls), nur so kann man verhindern das jeder der eine VPN-Verbindung hergestellt hat, Zugriff auf alles im ZielNetzwek hat. Das ist allerdings mit nur einer Fritzbox nicht abzubilden.
gruss,
sky
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Und noch besser wäre es, komplett auf eine Fritzbox zu verzichten, sich stattdessen eine richtige Firewall anzuschaffen, womit man feingranular per Firewall-Regeln die Zugriffe auf und innerhalb des Netzwerkes steuern kann. Die auch in der VPN-Geschwindigkeit besseres leisten als eine Fritzbox, und übrigens auch nicht teurer sind. Beispielsweise Geräte von Draytek.
 
  • Like
Reaktionen: sky63

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
So langsam wird es langweilig.

Einen Fritz!Box ist nicht umsonst in unseren Breiten so beliebt. Sicher gibt es immer etwas besseren, aber auch viel Schlechteres von großen Herstellern und Providern. AVM gibt einen sehr langen Softwaresupport und reagiert bei Softwarelücken auch am Wochenende. Die Fritz!Box hat Schwächen aber auch Stärken. Deren Router jetzt als Müll darzustellen geht für mich zu weit.

Selbst im Gewerblichen werden als Modem oder Router viele Fritzboxen eingesetzt und mehr oder weniger von dann Admins gut oder schlecht gewartet. Ob man das gut findet oder nicht, muss der passende Verantwortliche verantworten.

Wenn jetzt hier so getan wird, dass jeder der einen Internetanschluss erst einmal ein paar Jahre IT-Studiert haben muss, nur um auf Twitter, WA, Facebook irgendeinen Blödsinn zu schreiben ist es total überzogen. Viele User sind schon beim WLAN-Key überfordert und Ihr wollt wirklich das diese eine professionelle Firewall einrichten und betreiben?

Was nutzt der beste Router, Firewall und studierte ITler, wenn ein kleines Gerät mit entsprechender Sicherheitslücke kompromittiert ist? 100% Sicherheit wird es NIE geben.
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Mit viel Glück hat der TE einen Firmenrechner, der nicht allzu restriktiv ist. Die meisten Firmenrechner jedoch sind so eingerichtet, dass nur bestimmte Softwarekategorien vom User installierbar sind und für alles andere ist der Admin erforderlich. Insofern ist mir bekannt, dass Wireguard mit dem Ruf eine OpenSource-Software zu sein nicht überall installierbar ist, das erlebe ich zur Zeit einmal mehr. Wenn dann weder Wireguard noch die Fritz-VPN-Zugangssoftware für IPSec funktioniert, bleibt ohnehin nur der Weg über Port 80 und 443, bzw. http:// und https:// aus dem Firmennetzwerk heraus und im Nachgang über diverse DynDNS-Adressen auf die Zielgeräte. Leider ist das immer wieder die letzte, aber funktionierende Möglichkeit.

In dieser Hinsicht wird es noch schwieriger, mit einer entsprechenden VPN-Software direkt auf die Synology zu kommen. An dieser Stelle würde ich mal Quick-Connect testen, ob es vom Firmennetz aus angesprochen werden kann.
 
Zuletzt bearbeitet:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich bin immer sehr kritisch mit Verbindungen im Firmennetzwerk oder aus dem Firmennetzwerk, das habe ich hier mehrfach gepostet. Für mich gehört sich das nicht und ich würde entsprechende Maßnahmen dagegen unternehmen und bei Umgehung ahnden.

Scheinbar weißt du nicht, was heute so alles getrieben wird. Kann auch sein das viele Admins keinen Bock haben oder es nicht besser wissen. Digitalisierung in Deutschland ist 2022 immer noch Neuland. Ich kann nur manchmal den Kopf schütteln, was alles möglich ist. Das Gleiche gilt natürlich auch bei Problemlösung, dort wird gesucht, gesteckt, getauscht in der Hoffnung man findet die Ursache zufällig und schnell. Mit Wissen ist da nicht viel.
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.357
Punkte für Reaktionen
481
Punkte
189
Das stimmt schon alles. Aber im Rahmen von Daten- und damit Userschutz ist alleine darüber mehr möglich, wie so mancher Admin zulassen würde. Zudem soll die Motivation der Mitarbeiter nicht zu sehr leiden, nur weil ein Admin zu restriktiv vorgeht und sowas wie Amazon sperrt.
 

sky63

Benutzer
Mitglied seit
19. Okt 2017
Beiträge
467
Punkte für Reaktionen
73
Punkte
28
nur um auf Twitter, WA, Facebook irgendeinen Blödsinn zu schreiben ist es total überzogen
In diesem Fall will der TE aber eben mehr als ein bisschen surfen. Er will nicht zur Familie gehörende Personen in sein Familiennetz lassen. Und das funktioniert zwar mit einer einzelnen Fritzbox aber funktionieren ist dann auch schon alles. Eine gute Lösung ist das nicht.
Wer mehr will muss eben auch mehr investieren. Entweder Zeit und entsprechende Expertise oder Geld für jemanden der eine gute Lösung hinstellt.

gruss,
sky
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat