VPN - Firewall-Einstellungen

[Inschinjör]

Ich bin neu hier im Forum, dies ist mein erster Beitrag.
Seit 2015 habe ich eine DS415+, die ich bisher allerdings auschliesslich für mein LAN genutzt habe (keine offenen Ports in meiner FritzBox 7490). Ich habe mich deshalb auch nicht um DDNS, Let´s Encrypt und die Synology Firewall gekümmert.
Diesen Sommer habe ich mir eine DS720+ mit grösserem Speicher (2x12TB IronWolf Pro) gekauft. Beide NAS stehen bei mir in der Wohnung. Ich möchte nun die 720 ausschliesslich intern nutzen und die 415 über VPN (L2TP/IPsec) von aussen zugänglich machen, und dies natürlich so sicher wie möglich – genau zu diesem Punkt könnte ich Rat brauchen.
Auf der 415 habe ich DDNS von Synology und Let´s Encrypt eingerichtet. Auch das VPN zur 415 läuft inzwischen (über Handy Mobile Hotspot), ich habe in der Fritzbox die Ports 1701, 500 und 4500 für IPv4 geöffnet (und nur diese). Die Synology Firewall habe ich wie folgt eingerichtet:



In den Zeilen Nr 1 und 2 gebe ich Port 5001 und den Windows Dateiserver für meine PCs im LAN frei;

die Zeilen 3 und 4 sind für rsync (verschlüsselt und unverschlüsselt) von meiner DS720;

Zeile 5 sind die VPN-Ports für l2TP/IPsec bisher nur für Deutschland;

Zeile 6 öffnet 5001, 443 und den Windos Dateiserver für die Dynamischen IP-Adressen, die ich bei der Installation des VPN angegeben habe.

Bei den Zeilen 5 und 6 habe ich ne Weile rumprobiert, bis es funktioniert hat. Ich will über VPN auf der 415 Daten speichern und abrufen können, sowie über den Anschluss zuhause sicher ins Internet gehen können (Banking etc.).

Tja, macht das so Sinn? Was muss, was sollte geändert werden?
Muss ich für Let´s Encrypt den Port 80 noch durchreichen?
Sind für rsync die iSCSI Target Ports notwendig?
Kann ich die Freigaben in Zeile 6 weiter einschränken?

Ich habe mir schon einiges hier im Forum dazu zusammengeklaubt und hoffe, keine groben Fehler gemacht zu haben - wie auch immer - über eine Beurteilung durch einen erfahrenen Nutzer würde ich mich sehr freuen!

 

[rednag]

Hallo und willkommen im Forum.

Warum lässt Du VPN nicht über die Fritz!Box laufen?
Steht an vorderster Front und bekommt eine Änderung der IP sofort mit.
Mißtraust Du Deinem LAN so sehr, daß die Zugriffe eingeschränkt werden müssen?
Du brauchst die IPs nicht anonymisieren. Damit kann keiner was anfangen. Eher hinderlich.
Und LE braucht zur Verlängerung den Port 80. Ich mach den Port alle 3 Monate auf, laß das Zertifikat verlängern und dann wieder zu.

 

[NSFH]

....
Mißtraust Du Deinem LAN so sehr, daß die Zugriffe eingeschränkt werden müssen?
.......

Haupt Einfallstore sind schon seit langem nicht mehr die direkten Routerzugänge sondern die Clients mit ihren Mails. Ist der Client befallen muss man sich also deiner Meinung nach keinerlei Sorgen um seinen Server machen oder wie verstehe ich das?
Jeder vernünftige Admin macht seine Server soweit es nur geht zu, je restriktiver desto besser! Und ja, das ist gesundes Misstrauen gepaart mit Vorsicht!

 

[Inschinjör]

@rednag
Danke für Deine (sehr) rasche Antwort.

Warum lässt Du VPN nicht über die Fritz!Box laufen?

OK, probier ich aus. Ob das langsamer ist als mit der NAS, und ob ich den Zugriff auf die eine NAS beschränken kann, werd ich sehen.

Mißtraust Du Deinem LAN so sehr, daß die Zugriffe eingeschränkt werden müssen?

Ich hab hier im Forum gelernt, dass man nur die Ports für die Adressen aufmachen soll (und das Port für Port), die man wirklich braucht. Das seh ich wie @NFSH. Ich hab einige SpartHome Geräte/Anwendungen (Heizung, Kamera, Rollläden, ...) im LAN und will denen keinen Zugang zu meinen Servern erlauben. Außerdem die paar Tasten zusätzlich zu drücken ist kein grosser Aufwand.

Du brauchst die IPs nicht anonymisieren. Damit kann keiner was anfangen. Eher hinderlich.

OK, is quatsch

Und LE braucht zur Verlängerung den Port 80. Ich mach den Port alle 3 Monate auf, laß das Zertifikat verlängern und dann wieder zu.

OK, werd ich auch so machen.

 

[NSFH]

VPN läuft am besten immer über den Router. Du musst dir im Klaren darüber sein, dass deine VPN Ports der Syno direkt im Internet hängen. Die werden vom Router unter Umgehung der Firewall direkt weiter geleitet.
Muss da immer die ketzerische Frage stellen: Wer hängt seinen Server direkt ins Internet?
VPN Fritzbox wird sicher gehen aber die ist langsam. Wird definitv viel langsamer sein als die direkte Anbindung der Syno. Abhilfe würde hier nur ein neuer VPN Router schaffen.

 

[rednag]

Ist der Client befallen muss man sich also deiner Meinung nach keinerlei Sorgen um seinen Server machen oder wie verstehe ich das?

Wenn ein Client durch was auch immer befallen ist, darf er durch die Firewall trotzdem auf die DS.

 

[heavy]

Mit der Beschränkung der Quell IP für das VPN nur auf Deutschland wäre ich vorsichtig, denn durch die Knappheit der IPv4 Adressen ist die Region -Zuordnung nicht mehr zuverlässig.

 

[blurrrr]

Muss da immer die ketzerische Frage stellen: Wer hängt seinen Server direkt ins Internet?

z.B. Strato mit den "billigen" vServern... SSH direkt aktiviert ohne fail2ban oder irgendwas, oder die Windows-Kisten mit RDP direkt im Netz. Heisst ja nicht, dass da nicht auch noch div. Firewalls vorgeschaltet sind, aber diese Dinge sind auf jeden Fall erstmal völlig problemlos von aussen erreichbar. Da man dann sowas weiss, gibt es auch auf die IP-Kreise von z.B. Strato entsprechende Bruteforce-Attacken. Ist halt der Billigmarkt.... "Hier haste, kümmer Dich drum und wenn Du das nicht gebacken kriegst, schalten wir halt ab." ?

Ist nicht so, als wenn es bei denen nicht noch andere Sparten gäbe, aber das ist halt, was die "Masse" kauft... Die einen so, die anderen so... Ich halte eh nix von dem Billig-Segment... Sobald man irgendwas "extra" haben möchte, kostet es entweder direkt tierisch viel Kohle, oder es heisst kurzum: geht nicht/machen wir nicht. Vernünftige Qualität kostet halt auch vernünftig Geld, immer schon so gewesen. Wem es um "hauptsache billig" geht, wird halt auch "hauptsache billig" bekommen.

Und mal ehrlich @NSFH ... machen wir uns mal nix vor... Was meinste wieviele "unbedarfte" Syno-User schon einen Mailserver ins Netz gestellt haben... Wie ich gestern noch einem Bekannten sagte: Jou, im Syno-Forum haste die Leute die "hinterfragen" und sich "erkundigen", allerdings ist das auch nur ein BRUCHTEIL derer, die eine Syno haben und alles mögliche anklicken/installieren. Denke, da wird auch schon ein guter Teil mit installiertem Mailserver dabei sein, ohne, dass die automatische Blockierung bei entsprechenden Fehllogins eingeschaltet ist (fail2ban ist übrigens bei Strato-vServern (Linux) mit Plesk auch nicht installiert ?).

Also kurzum: Das ist definitiv eine "never ending story" und wird es vermutlich auch immer bleiben.

 

[blurrrr]

Wenn ein Client durch was auch immer befallen ist, darf er durch die Firewall trotzdem auf die DS.

Deswegen schränkt man ja auch die Clients - so weit es geht - ein (über die Syno-Firewall).

 

[Ulfberht]

Welchen Internetanschluss hast du? Vielleicht IPv6? Ich bin kein Fachmann und suche eine Anleitung, wie VPN mit IPv6 eingerichtet werden kann. Das geht nicht über die Fritzbox.

Und dann würde mich noch interessieren, für welche der drei Möglichkeiten des VPN-Dienstes du dich entschieden hast. Ich weiß nicht, welcher empfehlenswerter ist.

 

[Inschinjör]

Ich versteh mal wieder was nicht. Inzwischen hab ich´s zum Laufen gebracht, würde aber gerne wissen, warum das so funktioniert und nicht anders. Ok, ist ein echtes Luxusproblem, aber vielleicht kann mir das ja jemand erklären.
Im einzelnen:
Ich habe eine DS-218, bei der ich VPN L2TP/IPsec installiert habe (siehe auch Anfang der Reihe). Auf meinem PC (Windows 10) hab ich das auch installiert, und es funktioniert mit den in den folgenden beiden Bildern gezeigten Firewall-Einstellungen einwandfrei.





Nun habe ich das auch auf meinem Samsung Galaxy S8 (Android 9) installiert. Die Verbindung wird aufgebaut (siehe Bild).



Das kann ich auch in der VPN App meiner DS verifizieren.

Wenn ich jetzt mit den für den PC eingestellten Firewall-Einstellungen eine Internetseite aufrufe, bekomme ich eine Fehlermeldung.




Wenn ich die Firewall ausschalte oder bei der Regel für die Ports 10.11.0.x „All“ bei den Ports eingebe, bekomme ich bei "whatismyipaddress" die korrekte IPv4-Adresse für meine FritzBox angezeigt. Die Frage ist nun: Warum muss ich für mein Handy andere Ports in der Firewall freigeben als bei meinem Windows PC. Noch interessanter wird es, wenn ich statt „All“ bei den Ports das Kästchen „Aktiviert“ bei den vorgegebenen Ports wähle – dann bekomme ich auch eine Fehlermeldung beim Aufruf einer Internetseite.


Wenn ich bei den Ports den Bereich von 1 bis 64k angebe, dauert es lange, aber ich bekomme die Internetseite geliefert. Wohl gemerkt, es wird in allen Fällen angezeigt, dass eine VPN-Verbindung zur DS aufgebaut ist. Wie gesagt, ich verstehe nicht, warum sich Handy und PC unterscheiden, und ich hab nicht rausgefunden, welche Ports für das Handy gebraucht werden. Es würde mich freuen, wenn mich jemand aufklären könnte!

 

[blurrrr]

Also als @Inschinjör sollte man schon lesen können... ? Screenshot mit der chefkoch-Seite. Da steht es ganz klar: DNS-Fehler (warum wieso steht da zwar nicht, aber ist erstmal ein Hinweis). Lies Dir einfach mal "ganz grob" bei Wikipedia die Seiten zu "IP-Routing" (das wäre unten drunter) und "DNS" (bzw. eher Namensauflösung) durch. Danach wirst Du vermutlich auch die Fehlermeldung verstehen und mit etwas Glück sogar, wie das Internet und der ganze andere Rest so funktioniert.

 

[Inschinjör]

Ich denke, ich hab grob verstanden wie das Internet funktioniert - Deine Antwort ist aber leider überhaupt nicht hilfreich

 

[blurrrr]

Doch, ist sie. Es wird Dir lediglich nicht genau vorgekaut, was Du wo wie zu tun hast und auf Glaskugelschrubberei hat auch keiner Lust, von daher... Und "verstanden" ist mal so eine Sache, da Du bei den Firewallregeln diesbezüglich auch nur Unsinn eingetragen hast (sorry). Grundsätzlich: Wenn es beim PC funktioniert (bzw. anderem externen VPN-Client) und beim Handy nicht, ist das Problem "nicht"(!) bei der Firewall der Syno zu suchen.

Von daher in Kurzform:

1) Handy erreicht seinen eingetragenen DNS-Server bei aktivierter VPN nicht (prüfe, welcher das ist!)
2) Warum wird der DNS-Server (s. 1)) nicht erreicht (Routing prüfen (gibt es Apps für z.B. via Traceroute/Ping) und entsprechend Firewall prüfen (darf das VPN-Client-Netz auch zum DNS)).

EDIT: Sorry, dass es nicht so Syno-like ist von wegen: Drück zuerst den roten, dann den gelben, danach den grünen Button und alles ist toll.....

 

[Inschinjör]

Ganz am Anfang hab ich geschrieben: "Ich bin neu hier im Forum, dies ist mein erster Beitrag"

Du bei den Firewallregeln diesbezüglich auch nur Unsinn eingetragen hast (sorry)

Mit solchen Bemerkungen hilfst Du einem Anfänger nicht.
Ich weiß z.B. nicht wie ich das machen soll:

1) Handy erreicht seinen eingetragenen DNS-Server bei aktivierter VPN nicht (prüfe, welcher das ist!)

Wenn Dir das alles zu primitiv und/oder zu mühsam ist, kann ich das verstehen, aber ich kann mit "die Firewallregeln sind Unsinn" und "Überprüf den DNS-Server" leider (noch) zu wenig anfangen.

 

[Wollfuchs]

steht denn bei DNS Server im L2TP ein DNS drin ... wenn ja, ist der plausibel?


ich hab mal eben bei meinem open vpn gekuckt .. da wird zwar keiner eingetragen aber ich kann ad hoc von Mobil -> openvpn -> lan -> google.de aufrufen. zwar keine hostnames intern .. aber das ist mir grad auch wurst.

 

[Inschinjör]

Es ist die IP meiner Fritz eingetragen, aber nicht angekreuzt.

 

[Wollfuchs]

man koennte nun mal was ganz verruecktes wagen .. einfach mal anhaken und schauen obs was bringt

da ich selber, wie oben geschrieben, nur openvpn nutze .. oder eigentlcih nicht nutze, weil ich es nur als proof of concept mal installiert habe, kann ich nun nicht beschwoeren, dass das was hinreichend sinnvolles ist .. aber rumtesten ist besser als gruebeln.

 

[blurrrr]

Wenn man damit nichts anfangen kann (was ja auch durchaus verständlich ist), man dann schon entsprechende Links (ja, da muss man dann wohl etwas lesen...) dafür bekommt, aber keine Lust hat diese zu lesen (oder sich generell mit der Thematik auseinander zu setzen), dann hält sich die Lust der Gegenseite halt auch irgendwie... in Grenzen (was auch verständlich sein sollte).

Was die Firewall-Regeln z.B. angeht... Auto A (Computer) und Auto B (Handy) fahren auf der gleichen Strasse. Auto A kommt an, Auto B nicht, liegt es jetzt an der Strasse, oder vielleicht doch eher an Auto B? Du fängst sofort an die Strasse aufzureissen/auszubessern/wasauchimmer (Firewall ), wobei nur Auto B nicht angekommen ist, bei Auto A lief ja alles tadellos. Meinst Du - als vermutlich Mensch mit Studium - dass sowas "zielführend" ist?

Da - wie @Wollfuchs es schon ganz richtig formulierte - ein kurzer "Test" mit einem "internen" DNS vermutlich am sinnigsten wäre, mach das einfach mal. Es kann gut sein, dass Du von Deinem Handy-ISP ein privates Netz zur Verfügung gestellt bekommst (keine öffentliche IP) und ggf. auch ein interner DNS angesprochen wird (ISP-seitig allerdings). Dieser ist mitunter über Deine "normale" DSL-Strippe (VPN -> Heimnetz -> DSL/Cable-ISP) vielleicht garnicht erreichbar, weswegen dann auch der DNS-Server nicht angesprochen werden kann. Also Haken rein und mal schauen was passiert. Ich könnte ja wetten, dass es dann funktioniert. Ein Herr @rednag hatte hier wohl vor kurzem ein ganz ähnliches Problem... Lösung bestand darin, schlichtweg den IP-Bereich der VPN-Verbindung zu ändern (Routingtabelle war nicht einsehbar, an den Metriken konnte auch nicht geschraubt werden, daher die Änderung auf "Verdacht").

 

[Inschinjör]

Hab´s getestet - bringt nix. Na Ja, ich hab ja keine Probleme, wenn ich für für die 10.11.0.x -Adressen alle Ports in der Synology Firewall zulasse - ich versteh halt nicht warum.