VPN einrichten, über router oder NAS und welches VPN

[premmarga]

Hallo,

bin Newby, aber komme gut voran.
Jetzt brauche ich nur noch das VPN einzurichten.
Und da unser router netgear DG 834GB auch eine funktion hat um VPN einzurichten, bin ich mir nicht sicher ob es besser ist über den NAS oder router einzurichten.
Für uns die Ipsec VPN die beste Lösung.
Ich freue mich über anregegungen und Tipps.
DS214+ ist das Nas das wir benutzen

grüße Marga

 

[MiThOtYn]

VPN würde ich auf der DS214+ einrichten. Das gibt dir bessere administrative Möglichkeiten. Ferner ist die DS214+ performanter im Vergleich zum Router. Allerdings muss bei der Enrichtung die Portweiterleitung auf dem Router beachtet und eingerichtet werden.

 

[tops4u]

*ICH* Würde und habe VPN auf dem Router resp. meiner HW Firewall eingerichtet und würde das auch immer wieder so machen.

Auf dem NAS würde ich sowieso nur das freigeben / einrichten was unbedingt nötig ist und nicht benötigte Dienst abschalten.

 

[premmarga]

VPN einrichten geht, aber funktioniert nicht

Hallo guten morgen,

Also ich habe jetzt pptp und Ipsec eingerichtet, aber beide bekommen ich nicht am laufen.
Obwohl ich denke ich mache alles richtig.

hier bilder. vielleicht macht dies mehr sinn, und jemanden sieht was ich falsch eingestellt habe.

die ip adresse 192.168.0.65 ist die feste interne ipadresse von der diskstation
und leider kann ich auf diesen router den port 4500 nicht öffnen



firewall auch für pppoe eingerichtet wie lan1

und dann habe ich noch ein protokoll generiert auf meinem pc nachdem vpn einrichtung nicht funktionierte, ist aber 5 mb groß

ich hoffe jemanden kann mir weiter helfen.

danke und herzliche grüße
Marga

 

[tops4u]

NAT hast Du gemacht, oder lässt Du das die DS machen?

 

[premmarga]

WAs meinst du denn mit NAT?

 

[Martinus1977]

Warum willst du die Verbindung zwischen Router und DS unbedingt durch einen VPN-Tunnel schicken?
Ich habe das ganze bei mir wie folgt aufgebaut:
1. normales Heimnetzwerk = keine Beschränkungen
2. dynamisch dns (dyndns) über no-ip (im Router hinterlegt)
3. VPN im Router = VPN-Server

Ergebnis: zu Hause kann ich ohne VPN auf den Server zugreifen, von extern werfe ich den VPN Client an, der verbindet sich mit dem Router (=VPN-Server) zu Hause und ich kann ip-basiert auf den Server zugreifen (und kann auch das NAS per WOL wecken - das funktioniert nicht wenn der VPN-Server auf dem NAS läuft!)

 

[premmarga]

Danke für deine antwort, meine fragen etc. unten ***

Warum willst du die Verbindung zwischen Router und DS unbedingt durch einen VPN-Tunnel schicken?

***WArum denn nicht? Mir wurde dies empfohlen, sicherheit etc. und es müßte doch eingentlich auch funktionieren.
Hier ist eine kleine firma, mit kleinem internen netzwerk, und machen kollegen wollen halt von zuhause arbeiten. Und auf den DS zugreifen. Wo die daten abgelegt sind.
Aber ich kann mir vorstellen deine info auch mal auszuprobieren, aber verstehen tue ich es nicht ganz.

Ich habe das ganze bei mir wie folgt aufgebaut:
1. normales Heimnetzwerk = keine Beschränkungen
2. dynamisch dns (dyndns) über no-ip (im Router hinterlegt)

*** Ich habe extra eine feste ipadresse beim provider beantragt.
3. VPN im Router = VPN-Server

***hier weiss ich nicht was du meinst

Ergebnis: zu Hause kann ich ohne VPN auf den Server zugreifen, von extern werfe ich den VPN Client an, der verbindet sich mit dem Router (=VPN-Server) zu Hause und ich kann ip-basiert auf den Server zugreifen (und kann auch das NAS per WOL wecken - das funktioniert nicht wenn der VPN-Server auf dem NAS läuft!)

*** auch WOL wecken verstehe ich nicht, sind wieder neue informationen. Und ich weiss nicht wie VPN nur auf meinem router hier einzurichten ist, von netgear support erwarte ich auch noch antwort.

 

[tops4u]

Ganz einfach, machst Du VPN im Router anstatt in der DS (einfach ein Stufe weiter vorne) kannst Du Dir NAT sparen. Wenn Du nicht weisst was NAT ist empfehle ich Wiki http://de.wikipedia.org/wiki/Network_Address_Translation aber wenn Du Deine VPN Verbindung im Router Terminierst, brauchst Du auch kein NAT.

Feste IP ist eigentlich nur Geldmacherei für den Provider mit (meiner Meinung nach) geringer zusätzlicher Sicherheit, der Provider hat nämlich 0 Aufwand damit verdient also einfach gratis Geld, die IP muss er ja eh vorrätig halten. Dynamische Dienste funktionieren in der Regel genau so gut.

Martinus1977 hat ja nicht geschrieben, dass Du kein VPN machen sollst, nur dass Du es eben im Router machst anstatt auf der DS (wie ich das auch gemacht habe).

 

[Pete_RK]

Ganz einfach, machst Du VPN im Router anstatt in der DS (einfach ein Stufe weiter vorne) kannst Du Dir NAT sparen. Wenn Du nicht weisst was NAT ist empfehle ich Wiki http://de.wikipedia.org/wiki/Network_Address_Translation aber wenn Du Deine VPN Verbindung im Router Terminierst, brauchst Du auch kein NAT.

Feste IP ist eigentlich nur Geldmacherei für den Provider mit (meiner Meinung nach) geringer zusätzlicher Sicherheit, der Provider hat nämlich 0 Aufwand damit verdient also einfach gratis Geld, die IP muss er ja eh vorrätig halten. Dynamische Dienste funktionieren in der Regel genau so gut.

Martinus1977 hat ja nicht geschrieben, dass Du kein VPN machen sollst, nur dass Du es eben im Router machst anstatt auf der DS (wie ich das auch gemacht habe).

Du verwechselst hier einiges...was nicht gearde förderlich für das Thema ist.

NAT hat nichts mit VPN zu tun...
NAT macht immer der Internetrouter. (Überstieg von öffentlichem in privaten IP-Adressraum)
Bei einem VPN kommst du aus einem privaten Adressraum und gehst i.d.R. in einen privaten Adressraum. Dabei ist es Egal ob der VPN-Server auf dem Router oder der DS läuft. NAT brauchst du da nicht.

Erklär mir mal bitte, wie du darauf kommst, das eine feste/statische IP (geringfügig) mehr Sicherheit bietet. Ob eine Adresse dynamisch oder statisch ist hat 0 mit der Sicherheit zu tun. Der einzige Unterschied ist, das du mit einer statischen (öffentlichen) IP leichter ausfindig zu machen bist und damit leichter angreifbar bist. Ob das zum Erfolg für den Angreifer führt, hat nur damit zu tun, wie sicher deine Systeme sind.

Aber nun zum Thema...

Ob der VPN-Server auf dem NAS oder dem Router sein sollte hängt davon ab, was du machen willst.

VPN-Server auf dem Router hat den Vorteil, das du nicht nur Zugriff auf das NAS hast, sondern direkt auch auf andere Geräte in deinem Netzwerk.
Wenn du das aber nicht direkt willst, weil auch andere einen Zugriff auf das NAS haben sollen, dann eher den VPN-Server auf das NAS. Damit hat der VPN Benutzer erst einmal nur Zugriff auf das NAS. Theoretisch kann man das NAS dann auch noch wieder in den Rest des Heimnetzes Routen lassen, aber wozu 2 Routing-Instanzen in einem kleinen Heimnetz...

 

[tops4u]

Nein NAT hat nix direkt mit VPN zu tun, aber wenn man VPN auf der DS macht muss man halt auf dem Router NAT einrichten, denn sonst weiss er ja nicht wohin mit den externen VPN Anfragen.

Da der TO scheinbar kA von NAT hat ist es vielleicht einfacher und IMHO sowieso etwas sicherer VPN gleich auf dem Router zu machen.

Eine dynamische IP ist genau so leicht zu finde. Wie eine statische. Jedoch kann eine IP einmal wechseln und er Update klappt nicht sofort (je nach Client) ja und wo gehen dann die Anfragen und ggf Mails etc hin? Eben nicht zu angestrebten Adressaten sondern zum aktuellen IP Besitzer der alten IP. Zudem eine Möglichkeit mehr 'bösartig' eine IP auf einen anderen server umzubiegen. Darum sprach ich von geringfügig erhöhter Sicherheit bei stat. IP.

 

[goetz]

Hallo,
das NAT macht die DS selbst

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.0.0.0/24          0.0.0.0/0
MASQUERADE  all  --  10.2.0.0/24          0.0.0.0/0
MASQUERADE  all  --  10.8.0.0/24          0.0.0.0/0

für alle 3 VPN Varianten.

Gruß Götz

 

[tops4u]

Das funktioniert aber nur dann wenn man die DS den Router Konfigurieren lässt (würd/will ich nicht machen) oder wenn die DS direkt an der externen IP sitzt (unwahrscheinlich). Ansonsten darf man NAT selbst auf dem Router machen.

 

[rolink]

Ob der VPN-Server auf dem NAS oder dem Router sein sollte hängt davon ab, was du machen willst.

sehe das auch so wie Pete! Erstmal genau beschreiben was Du machen willst...kleines Netz: "make it safe and simple"
für eine VPN von Router zu Router od Client zu Router gibt es wirklich gute Anleitungen im Netz.

Wenn du nicht genau beschreibst was Du machen willst endet so ein Thread in einer Diskussion über NAT

Gruß
rolink

 

[goetz]

Hallo,

Das funktioniert aber nur dann wenn man die DS den Router Konfigurieren lässt (würd/will ich nicht machen) oder wenn die DS direkt an der externen IP sitzt (unwahrscheinlich). Ansonsten darf man NAT selbst auf dem Router machen.

nein und nein und nein. Sobald einer der VPN Server der DS aktiviert wird wird auch die entsprechende NAT-Regel in der DS gesetzt.

@Marga
schau mal ob es im Router eine Option VPN passthrough gibt.

Gruß Götz

 

[tops4u]

Hallo,
nein und nein und nein. Sobald einer der VPN Server der DS aktiviert wird wird auch die entsprechende NAT-Regel in der DS gesetzt.
Gruß Götz

Lies doch was ich geschrieben habe...

Auch wenn die Diskussion langsam OT wird... Was bitte bringt mir die NAT Konfig in der DS wenn ein Router vorne dran ist? Gar nix.

Wie ich schon auf Seite 1 geschrieben habe würde *ich* VPN auf dem Router machen, da braucht es keine NAT Konfig und man arbeitet von Remote, als wäre man vor Ort...

 

[goetz]

Hallo,
schau Dir doch einfach mal die Funktionsweise des VPN Servers der DS an. Mit dem NAT auf der DS ist das gesamte heimische Netz erreichbar, der Router ist dabei nicht beteiligt.
Wir können das gerne weiter diskutieren dann aber bitte an anderer Stelle da hier OT.

Gruß Götz

 

[premmarga]

Okey jungs, tolle discusion,
ich beschreibe nochmals was ich brauche.

1. von aussen möchte ich von NAS die benutzer oberfläche ansprechen um kontrole zuhaben.
2. von aussen möchten ich auf daten zugreifen können die abgelegt sind auf dem NAS.
3. und ganz schön wäre es auch noch wenn ich von aussen auf andere rechner die im gleichen heimnetz wie der NAS sind, remote zugriff habe.

so und ich dachte vpn ist hierfür eine gute lösung, Wenn ich falsch liege lasse ich mich gerne weiter beraten. Und wenn es diskussionen gibt okey... warum nicht. Wir lernen anscheinend alle von "doofe" fragen..
Bis jetzt komme ich so weit das fehler 789 bekomme wenn ich von meinen rechner versuche mit vpn reinzugehen.
Irgendwie irgendwann wirds wohl klappen,
ich habe auch die vermutung das vielleicht der router netgear DG834G eine neue firmware braucht. Also es kann an vieles liegen.

danke jedenfalls für alle anregungen

 

[Pete_RK]

@tops4u

du verwirrst mit deinen Aussagen die Leute.

Das was du meinst ist nicht NAT sondern Portforwarding. Das ist je nach Betrachtungsweise ein Unterpunkt von NAT aber so wie du es schreibst ist es nicht richtig und trägt zur allgemeinen Verwirrung bei.

Und in Bezug auf Portforwarding, das würde ich manuell auf dem Router konfigurieren. Ist ja nun kein Hexenwerk.

 

[tops4u]

Meiner Meinung nach ist das sehr wohl NAT (Network Adress Translation) nichts anderes wird gemacht. Die Destination Adresse bei eingehenden Paketen wird durch die interne Adresse der DS ausgetauscht (DestinationNAT), resp bei ausgehenden Paketen mit der scheinbaren Adresse des Routers (SourceNAT) versehen. Siehe http://de.wikipedia.org/wiki/Portweiterleitung#Portweiterleitung_durch_Router

Auch wenn das unter dem Begriff "Port Forwarding" zusammengefasst werden kann.

@premmarga : Zu Punkt 3 denke ich echt es ist einfacher wenn Du VPN auf dem Router (resp vielleicht sogar eine kleine dedizierte Firewall für 100-200.-€) installierst, dann hast Du keinen Aufwand mit NAT (sorry Port Forwarding auf dem Router) und auch nicht auf der DS damit das interne Netz erreichbar ist. Für die VPN Nutzer sieht es dann so aus als wären sie einfach am LAN in der Firma angestöpselt. Und ja VPN ist dafür die geeignete Lösung.