VPN für Dumme

[chris_87]

Moin zusammen,

sorry für die wahrscheinlich mega dummen Fragen...aber ich bin beim Thema VPN noch genadenloser Anfäger Ich hab für unser Business einen 412+ und möchte nun für 4 Personen einen externen Zugriff einrichten. Via WebDAV und Quickconnect habe ich das alles auch schon problemlos hinbekommen. Allerdings brauche ich nun etwas mit einer höheren Sicherheit. Router ist eine Fritzbox 6490 Cable - Portfreigaben für VPN (UDP 1701, 500 und 4500) sowieo die Einrichtung auf der Synology (L2TP/IPSec) und die DDNS-Einrichtung direkt auf der Synology müssten meines Wissens geklappt haben (auch wenn der Router nicht im Assistentenverzeichnis erschienen ist). Wenn ich bei meinem iPhone jetzt den VPN einrichte erscheint auch "Verbunden"...Und nun? Greife ich jetzt dann ganz normal via iPhoneApp von Synology auf die DS zu? Und wieso funktioniert die VPN-Aktivierung nicht im LTE-Netz?

Sorry wenn das für die Pros alles etwas "dumm" klingt

Merci und schon mal ein schönes Wochenende euch

Chris

 

[TeXniXo]

Ob VPN besser verschlüsselt ist als WebDAV 5001 (https), lass ich mal hier stehen!

Zu deinen Fragen:
AD "was nun") Greif mit einem File Explorer oder einer alternativen App via Freigabe zu (IP z.B. 10.0.0.0, oder 192.168.xx.xx. o.ä. - als ob du im eigenen Netz unterwegs wärst --> Frage: was gibst du daheim für eine Adresse ein, um DS zu erreichen?)
AD VPN nicht in LTE) Hast du das daheim in deinem WLAN-Netz ausprobiert? VPN funktioniert nur, wenn man eigenes WLAN-Netzwerk verlassen hat.
AD "dumm") Tja, dumme Fragen gibt's nicht .. nur dumme Antworten

 

[ScottyC]

Wenn du dich schon in VPN einarbeitest; schau dir an dieser Stelle auch mal "openVPN" an.
Mit der Zwei-Faktor-Authentifizierung (Besitz und Wissen) bist du sicherheitstechnisch noch ein Stück besser aufgestellt:
- Besitz = VPN-Zertifikat das die Synology ausstellt (kommt auf die jeweiligen Endgeräte die zugreifen)
- Wissen = Passwort für den Zugang des Users

Bei den weiteren VPN-Varianten hast du nur das "Wissen".

VG

 

[chris_87]

Moin zusammen,

erstmal vielen Dank für die schnelle Rückmeldung. Mit "L2TP/IPSec" und der IP der Synology hat das problemlos geklappt. Hier im Büro gehe ich über apf und dann die IP-Adresse auf die DS. Jetzt habe ich allerdings mal "openVPN" installiert und getestet. (DDNS über Synology eingerichtet, Protokoll exportiert und per TextEdit angepasst und dann aufs iPhone geladen) Lustigerweise loggt sich mein iPhone auch auf der DS ein (erscheint auch im Protokoll) Nur wenn ich z.B. in DS File wieder per IP oder der Synology-DDNS versuche mich in den FileBrowser einzuloggen klappt das nicht...gibts da noch einen Trick den mal beachten muss?

Merci und viele Grüße

Chris

 

[Fusion]

"Clients den Server LAN Zugriff erlauben" hast du aktiviert im VPN Server vor dem Export der .ovpn?

 

[chris_87]

Vielen Dank! Genau das war das Problem. Jetzt läuft alles einwandfrei! Schönes Wochenende wünsche ich euch!

 

[Frogman]

Und vielleicht noch eine Ergänzung zum Thema "besser verschlüsseln":

OpenVPN bietet deutlich mehr Felxibilität, weil konfigurierbar ist, welche Cipher verwendet wird - hier ist das ganze Repertoire von OpenSSL möglich, auf das hier aufgesetzt wird. AES128 ist sicherlich oftmals vorzuziehen (und wird auch deshalb standardmäßig verwendet), weil es hardwareseitig unterstützt wird und sehr performant ist, verbunden mit der höchsten aktuell verfügbaren Stärke gegenüber den diversen Angriffsvektoren... daran ändern auch theoretisch vorhandene Seitenkanalattacken nichts. Dazu kommen - wie oben schon angedeutet - Absicherungsmöglichkeiten über ein zusätzliches Zertifikat bzw. Client/Server-Zertifikate.

Die üblichen verschlüsselten Kommunikationen der diversen Dienste auf der DS (WebDAV, https usw.) nutzen bekanntermaßen ebenfalls OpenSSL - welches standardmäßig bereits recht gut eingestellt ist, aber dann noch einige eher schwächere Ciphren zuläßt und insbesondere auch solche, die kein PFS (Perfect Forward Secrecy) beinhalten. Daher ist hier noch Handarbeit notwendig, damit man die "bestmögliche" Verschlüsselung erhält.

Einer der wichtigsten Aspekte ist dabei auch die Frage nach den verwendeten Ports. Jeder, der von unterwegs zugreifen will - und dieses auch aus Gegenden, wo die Gastgeber gerne auch mal unschöne Hürden errichten - wird es zu schätzen wissen, dass sich OpenVPN (neben dem standardmäßigen UDP-Port 1194) auch auf den üblichen https-Port TCP 443 konfigurieren läßt. Damit lassen sich VPN-Pakete nicht mehr von üblichen https-Kommunikationen unterscheiden und man erhält praktisch immer eine Verbindung, weil 443 eben nie geblockt wird.