Unbekannte Teilnehmer UNDEF auf VPN Server (OpenVPN)

[schlo]

Hallo zusammen,
vor ein paar Tagen ist mir aufgefallen, das sich in meiner Verbindungsliste auf dem VPN Server auf der Synology komische Benutzer aufhalten. Es ist immer das gleiche Muster, die Anzahl variiert zwischen 0 bis max. (5):

Name UNDEF, irgendeine IP und Laufzeiten von wenigen Minuten. Wirkt auf mich wie eine Attacke?!

In der Firewall habe ich die Regeln für die VPN-Schnittstelle auf deutsche IPs beschränkt..
2 Synology Nutzer mit ziemlich starken Passwörtern (30 Zeichen mit Sonderzeichen etc.) haben Zugang zum VPN-Server.

Hat jemand einen Tip was ich unternehmen kann? Bzw. wie schätzt ihr die Lage ein? Droht Gefahr? Wie kommt überhaupt jemand an meinen VPN zumal ich davon ausgehe, dass die Konfigurationsdateien nicht geleaked sind? Ich wüsste zumindest nicht wo..

edit: Sorry, jetzt bin ich über einen passenden Thread hier im Forum gestolpert mit dem Hinweis VPN nicht über die Syno zu machen sondern lieber im Router oder sonst einem Gerät, das explizit nur diese Aufgabe hat. Wird es dadurch tatsächlich sicherer? --> https://www.synology-forum.de/threads/openvpn-unbekannte-ip-in-verbindungsliste.119297/

 

[Mahoessen]

Wird es dadurch tatsächlich sicherer?

Ja, dafür gibt es ja die Geräte.

 

[schlo]

Ok, da werde ich mich mit beschäftigen. Über die Fritzbox wäre das ja sicher recht einfach machbar.

Interessant ist: Habe die Firewall angepasst und z.B. VPN auf Deutschland begrenzt. Habe jetzt keine ungebetenen Gäste mehr, kann mich jedoch auch selbst nicht mehr anmelden. Sehr komisch, aber vermutlich ein anderes Thema, daher neuer Thread. Bei Interesse --> https://www.synology-forum.de/threads/firewall-unklarheit-ueber-ort-angabe.123274/

 

[EDvonSchleck]

Ich würde es lieber auf der Fritzbox laufen lassen, sofern vorhanden. Die neue 7.50 wird Wireguard auf die Fritte bringen. OpenVPN und Ipsec sind doch jetzt schon Auslaufprodukte. Ich würde in der Suche keine Zeit mehr Verschwenden. Entweder kann der Router Wireguad (z.B. Telekomrouter), Diskstation mit Docker oder Raspi etc. ABER am besten das VPN ist im Router aufgehoben - Freigaben entfallen damit auch!

 

[schlo]

Fritzbox ist vorhanden, die Variante mit Wireguard drauf klingt perfekt!

 

[Senti]

Fritzbox ist vorhanden, die Variante mit Wireguard drauf klingt perfekt!

bist Du an der Stelle schon weiter gekommen ?
Habe eine DS220 an der ich den VPN nicht zum laufen bekomme. An einer 720 und 920 hat es auf anhieb funktioniert.

 

[EDvonSchleck]

Welches VPN denn?

 

[schlo]

Hallo Senti, nein, hatte bisher noch keine Zeit dafür gefunden. Dank verbesserter Firewall war jetzt aber zuletzt kein ungebetener Besucher da

 

[Benie]

Habe heute gelesen daß AVM seit heute Fritz 7.50 mit Wireguard für VPN ausrollt, was sich gegenüber bisherigem VPN auch performanter zeigen wird.

 

[EDvonSchleck]

Dann hast du wohl die letzten Monate geschlafen und auch nicht mitbekommen das Fritz!OS 7.50 bereits erschienen ist für die 7590. Einen passenden Thread gibt es hier.

Soweit ist weis, soll IPsec wegen der Hardwareunterstützung sein. Das wurde damals auch nachträglich aktiviert und man hofft noch das es bei WireGuard auch so sein wird.

 

[Benie]

Ich habs halt erst heute gelesen und? Monate ? seit Donnerstag sind es 6 Tage , hast wohl vergessen Deine Türchen aufzumachn

 

[EDvonSchleck]

AVM hat jetzt bestimmt fast 9 Monate getestet. Das ist und war ja nun kein Geheimnis. Die letzten Wochen davon waren oft nur kosmetischer Natur.
Nach AVM sollten sie für das nächste Release schon anfangen jetzt eine Labor für die 7590 bereitstellen, damit sie pünktlich fertig sind.

 

[Synchrotron]

Bei aller Begeisterung:

AVM rollt die 7.50 durchaus gemächlich aus - erst mal nur auf die 7590. Der Rest kommt irgendwann nach, und bis es die Boxen unter Providermanagement bekommen, dauert es nochmal.

Und selbst dann wird es noch lange dauern, bis IPSec und OpenVPN verdrängt sind. Da ist zu viel Massenträgheit im System.

Also einig, der VPN Server gehört möglichst auf den Router. Und dann eben nehmen, was dort läuft, und wenn es IPSec ist, ist das auch eine ordentliche Lösung.