Verbindung über VPN zum Internet nur wenn bei Firewall alles erlaubt

parapara · 03. Okt 2016

Hallo zusammen,

ich habe auf der DiskStation DS 114 den VPN Server laufen und nutze L2TP/IPSec.

Ich möchte gerne über VPN von außerhalb von der Diskstation aus ins Internet. Das funktioniert auch alles soweit, aber nur, wenn die Firewall ganz deaktiviert ist oder zumindest sämtliche Verbindungen aus dem IP-Bereich, der von dem VPN Server vergeben wird, erlaube. Sobald ich auch nur einen Port in der Firewall aus dem IP-Bereich der VPN Clients dicht mache, habe ich keinen Zugriff mehr.

Anbei Screenshots mit den Einstellungen.

Bildschirmfoto 2016-10-03 um 11.12.32.jpg

Ist das so richtig? Ich kann es mir kaum vorstellen.

Beste Grüße

Anzeige · 03. Okt 2016

Hallo parapara,

Bücher und Hardware zum Thema gibt es bei Amazon: Verbindung über VPN zum Internet nur wenn bei Firewall alles erlaubt

Frogman · 03. Okt 2016

Wobei Deine Regeln aber auch etwas schräg sind. Verweigern kannst Du eigentlich mit der Option "Wenn keine Regel zutrifft" für die individuelle Schnittstelle. Und Deine zweite Regel öffnet bspw. das DSM für jede IP, also auch für externe Zugriffe - wenn es also jemand in Dein LAN schafft, bietet die Firewall keine Hürde mehr.

Man sollte eher ganz oben Regeln definieren, die das lokale Subnet des LAN komplett freigibt (bzw. einen Bereich, der von den lokalen Clients verwendet wird). Mit den nachfolgenden Regeln werden dann bestimmte Dienste für alle IPs (also auch externe) freigegeben, wenn man für diese den Zugriff von außerhalb braucht (dann die Ports auch im Router weiterleiten). Darunter fällt dann bspw. auch die Freigabe des VPN Servers für das jeweilige Protokoll.
Bei Bedarf regionale Einschränkungen treffen (Geo-Filter).

Ich habe mal mein Beispiel angefügt. Dabei wird der VPN-Server in der letzten Regel mit freigegeben.
PS: Und IPv6 nicht vergessen - dafür müssen separate Regeln definiert werden.

parapara · 10. Okt 2016

Vielen Dank und sorry dass ich mich jetzt erst melde. Hatte noch keine Zeit mich damit auseinander zu setzen. Ich melde mich noch mal inhaltlich die Tage.

Eine ähnliche Regel wie die letzte hat es bei mir immerhin zum Laufen gebracht. Ob das aber optimal ist muss ich dann noch mal sehen.

Gruß

parapara · 16. Nov 2016

Hallo Frogman,

ich habe mich noch mal rangewagt. So funktioniert es jetzt. Aber ist es auch sicher?

(bei der zweiten Regel habe ich die Benutzeroberfläche und den IPSec VPN Server freigegeben)

Gruß

parapara · 30. Nov 2016

Nanu, hackt ihr gerade fleißig mein NAS weil das alles Quatsch ist, oder sind die Einstellungen so korrekt?

Frogman · 30. Nov 2016

Was heißt für Dich "sicher"? Allgemein gesagt ist es aber unvernünftig, die "Benutzeroberfläche" (worunter ich auch die DSM-GUI verstehe) für alle IP - und damit auch externen - freizugeben, wenn man auch ein VPN dafür nutzen kann.

parapara · 30. Nov 2016

Ich kann VPN leider oft nicht nutzen, weil ich mich von fremden Computern aus in die Diskstation einlogge. Deshalb habe ich die Benutzeroberfläche freigegeben. Ich habe aber 2FA aktiviert und am Router einen anderen Port auf Port 5001 der Diskstation umgeleitet.

Sicher heißt für mich, dass man nicht anders als über VPN oder über die Benutzeroberfläche von außen in die Diskstation kommt

Suche

Verbindung über VPN zum Internet nur wenn bei Firewall alles erlaubt

parapara

Benutzer

Anzeige

Frogman

Benutzer

parapara

Benutzer

parapara

Benutzer

parapara

Benutzer

Frogman

Benutzer

parapara

Benutzer

Kaffeautomat