Verständnisfragen bei Netzaufbau für VPN und Switch

[dtnsyn]

Guten Abend zusammen,

vor kurzem bin ich stolzer Besitzer eines DS923+. Der Hauptgrund dafür ist das flexible Arbeiten von unterwegs und gemeinsames Arbeiten an Projekten übers Internet mit bestimmten Personen.

Vorher habe ich für die Sicherheit nur die Trennung von Heim- und Gastnetz am Fritzbox eingestellt. Da mein Hauptanliegen das Arbeiten von unterwegs und in unsicheren Umgebungen liegt, möchte ich mein NAS so gut wie möglich absichern.

Vieles habe ich mich schon im Forum und Internetseiten eingelesen und teilweise durchgeführt, dennoch möchte ich nicht durch meine Wissenslücken und Halbwissen (habe also Gnade mit mir) die Sicherheit des Netzwerk und Daten auf der NAS gefährden, was oberste Priorität für mich ist. Deswegen wollte ich Euch um **Rat und Einschätzung** fragen. Es geht hier nur um das Netzwerkaufbau und Einstellungen am NAS an sich und nicht um sichere Passwörter, verantwortungsvolle Nutzung der Websiten & Datein aus dem Internet o.Ä.

Mein Vorhaben:

1. NAS im Heimnetz schützen vor anderen Sicherheitsfaktoren wie TV, Kinder-PC, etc
2. Zugriff auf NAS von unsicheren Umgebungen

Bei meiner Recherche habe ich aber paar Verständnisfragen. Ich weiß, dass alle Wege nach Rom führen, aber speziell auf mein Vorhaben habe ich noch keine optimale Lösung gefunden, deswegen bitte ich Euch um Rat für folgende Fragen:

1. Recherche: Die sicherste Variante von Arbeiten von unterwegs am NAS ist das VPN-Tunnel direkt auf den Router.
- Ich habe jetzt den VPN-Dienst des Fritzbox (IP-Sec & Wireguard) erfolgreich eingerichtet. Nur fand ich die Konfiguration so leicht, dass ich das Gefühl habe, dass es nicht sicher ist. Täusche ich mich?

2. Recherche: NAS soll nicht direkt ans Internet angeschlossen werden, sondern soll über VPN ins Internet.
- Ich kann noch nicht etwas darunter vorstellen. Heißt dass, dass NAS an einem lokalen Netzwerk angeschlossen und diese mit VPN ins Internet, wie bei einer Router-Kaskade?

3. Recherche: Die sicherste Variante um die NAS vor andere Heimnetz-Client zu schützen ist das Einführen von VLAN.
- Heißt dass, das die beste Methode für dieses Vorhaben eine Layer-3-Switch ist und jede Sicherheitsfaktor eine eigene VLAN und IP-Adressbereich hat?

Wie sichert Ihr Eure NAS vor euren Kindern im Heimnetz und unbefugte Zugriff auf die NAS aus dem weiten bösen Internet.

VIELEN DANK! für Eure Zeit, Anregungen und Hilfe.

 

[plang.pl]

Willkommen im Forum!
Zu 1:
WireGuard ist schnell, einfach und sicher. Da hast du nix übersehen. AVM hat das echt gut gelöst.
2.
Das soll heißen, dass das NAS nicht direkt via Internet erreichbar ist (zum Beispiel über Portfreigaben), was bei VPN nicht der Fall ist.
3.
Im Heimnetz ist das etwas übertrieben. Kann man machen, aber nicht mit einer Fritte.
Die DS Firewall kann auch so konfiguriert werden, dass sie auf bestimmten Ports nur Anfragen von bestimmten Geräten durchlässt. Aber selbst das ist overkill. Dennoch betreibe ich das bei mir sehr intensiv mit der DS-Firewall.
Die wichtigste Maßnahme sind aber Backups!

 

[Benares]

Noch ergänzend:

1. VPN/Portfreigaben sind Techniken, um von außen in sein Intranet zu kommen. Ist der Anwenderkreis klein, ist VPN sicherlich die beste Lösung. Bei großem Anwenderkreis braucht man wohl Portfreigaben.
2. VLANs sind dagegen Techniken, um innerhalb seines Intranets "gute" Clients (PCs, Notebooks, NAS) von "fragwürdigen" Clients (Smart-Home-Geräte, IP-Telefone, WLAN-Steckdosen, IoT-Geräte, ...) zu trennen, falls man da Zweifel hat.

 

[plang.pl]

Dazu ergänzend
Letzteres kann man bei der FritzBox auch einfach über das Gast-Netz realisieren (in den meisten Fällen). Mach ich auch so

 

[Benares]

Guter Tipp - deckt zumindest die Aufteilung in 2 Bereiche ab.

 

[plang.pl]

Genau. Ist ideal für "einfache Systeme", die nicht untereinander kommunizieren müssen. Im Gast-Netz kann man einstellen, dass Clients NICHT untereinander kommunizieren dürfen. Ideal für zB SmartHome Steckdosen

 

[dtnsyn]

Willkommen im Forum!
Zu 1:
WireGuard ist schnell, einfach und sicher. Da hast du nix übersehen. AVM hat das echt gut gelöst.
2.
Das soll heißen, dass das NAS nicht direkt via Internet erreichbar ist (zum Beispiel über Portfreigaben), was bei VPN nicht der Fall ist.
3.
Im Heimnetz ist das etwas übertrieben. Kann man machen, aber nicht mit einer Fritte.
Die DS Firewall kann auch so konfiguriert werden, dass sie auf bestimmten Ports nur Anfragen von bestimmten Geräten durchlässt. Aber selbst das ist overkill. Dennoch betreibe ich das bei mir sehr intensiv mit der DS-Firewall.
Die wichtigste Maßnahme sind aber Backups!

Vielen Dank für die schnelle Antwort.

Zu 1: Wie kann ich kontrollieren, dass ich alles richtig eingestellt habe, ich meine, jeder der Zugriff auf die Konfiguration-Datei hat, kann somit auf die DS oder? Ich habe mal 2 Laptops mit der gleichen Datei eingespielt und beide funktionieren, oder täusche ich mich?

Zu 2: Die Standart-Port sind 5000 bzw. 5001, die muss ich dann also sozusagen schließen ? Oder verwechsel ich da etwas?

Zu 3: Für die Sicherheit ist nichts zu schade Vor allem, wenn man Kinder hat und nicht weiß, was die alles so im Internet anstellen. Welches Gerät würdest Du denn empfehlen, wenn es nicht eine Fritzbox sein soll? Und verstehe ich es richtig, wenn ich sage, dass ich kein Router mehr brauche, wenn ich eine Layer 3 Switch habe? Und reicht eine DS-Firewall oder ist pfsense bzw. opensense dennoch empfehlenswert?

 

[plang.pl]

Zu 1
Ja. Die Config Datei am besten nur einspielen und dann löschen.
Beide Geräte gleichzeitig funktionieren meines Wissens nicht. Am besten pro Gerät ein eigenes Profil erstellen.
Zu 2:
Nein. Wenn du keine Portfreigaben auf dem Router eingerichtet hast, kann niemand von extern auf die DS.
Zu 3:
Du brauchst immer einen Router. Für deinen Zweck sollte die DS-Firewall ausreichen. Einfach den Geräten, die du nutzt, eine feste IP geben und nur diese in der Firewall erlauben. Wenn du es ganz sicher willst: Einfach die Kinder in das Gast-Netz packen.

 

[dtnsyn]

Dazu ergänzend
Letzteres kann man bei der FritzBox auch einfach über das Gast-Netz realisieren (in den meisten Fällen). Mach ich auch so

So habe ich auch bisher gemacht, nur möchte nur auf diese Technik des Fritzbox vertrauen, da ich das Gefühl habe, dass es für die Absicherung des NAS nicht ausreicht

 

[plang.pl]

dass es für die Absicherung des NAS nicht ausreicht

Doch. Das ist quasi ein VLAN. Technisch gesehen ist es nicht möglich, aus dem Gast-Netz heraus auf Geräte im Heimnetz zuzugreifen.

 

[plang.pl]

Wenn du zusätzlich die Firewall der DS konfigurierst, würden spätestens dort die Zugriffe aus dem Gastnetz enden. Aber wie gesagt, technisch gesehen kommt man gar nicht bis zu dieser Hürde

 

[Benares]

da ich das Gefühl habe, dass es für die Absicherung des NAS nicht ausreicht

Selbst wenn du im Router einen Port zu deinem NAS weiterleitest, kannst du mit Hilfe der DS-Firewall immer noch dafür sorgen, dass da nur bestimmte IPs, IP-Ranges oder Regionen (z.B. Deutschland) durchkommen. Das NAS selbst würde ich aber nicht ins Gastnetz hängen, es gehört ja zu den "guten".

Edit: Außerdem gibt es ins Gastnetz keine Portweiterleitungen.

 

[plang.pl]

Das NAS ins Gastnetz hängen, ist meiner Ansicht nach auch keine Option

 

[Benares]

Ich hatte #9 evtl. so verstanden. Ist wirklich keine Option.

 

[Synchrotron]

Das Gastnetzwerk einer FB hat praktisch NULL Möglichkeiten einer Parametrierung. Geräte im Gastnetzwerk sind zugenagelt, und müssen außerdem auf sich selbst aufpassen. Vom Heimnetzwerk sind sie 100% abgeschottet.

Das ist keine wirtliche Umgebung für eine DS !

 

[racinggoat]

Häng mich mal dran....
Nutze im Smartphone das "normale" VPN von der Fritte (einfach in den Einstellungen VPN anschalten). Dann stehen die Adressen des Heimnetzwerkes zur Verfügung. Warum muss/sollte man auf Wireguard ausweichen? Ist das notwendig/sinnvoll?

 

[plang.pl]

Wireguard ist halt moderner.
Weniger overhead und einfacher.

 

[racinggoat]

Kann ich nicht Mal antesten mit einer 7590AX. Hier ist Fritz OS 7.50 noch nicht ausgerollt. Sonst hätte ich das vermutlich irgendwie schon mitbekommen.

 

[plang.pl]

Die Inhouse (BETA) Firmware sollte für die 7590 AX schon released sein

 

[dtnsyn]

Vielleicht habe ich mich falsch ausgedrückt, aber ich habe vor nur die NAS und mein Computer im Heimnetz zu konfigurieren und alles andere über den Gastzugang. Mein Bedenken ist es nur, dass in vielen Foren beschrieben wird, dass die Fritzbox nur für Otto-Normal-Verbraucher ist und ob die Trennung zwischen Heim-Gastzugang des Fritzbox überhaupt ausreicht. Oder ob ich noch eine Router-Kaskade oder Layer 3-Switch hinzufügen soll, um die NAS noch sicherer vor anderen Geräten zu schützen.

Doch. Das ist quasi ein VLAN. Technisch gesehen ist es nicht möglich, aus dem Gast-Netz heraus auf Geräte im Heimnetz zuzugreifen.

Könntest du mir noch weitere Hintergrundwissen geben, weshalb es technisch nicht möglich ist?