Vpn mit begrenzten rechten?

[Boobbi]

Hallo alle miteinander,

Ich hab eine Frage zur vpn. Ich möchte wenn sich ein Benutzer per vpn von außen mit meiner synology verbindet das er dann nur auf die synology Zugriff hat und nicht auf mein komplettes Netzwerk oder Internet. So das er nicht mit meiner ip im internet Surfen kann.
Ist das irgendwie möglich?

Hab hier im Forum schon gesucht und auch gegoogelt, aber leider ohne Erfolg.

Gruß Boobbi

 

[Schoeneberger]

Wenn Du dem Benutzer nur die Adresse Deiner DS, z. B. meinname.synology.me, mitteilst, kommt er auch nur auf die DS.

 

[ottosykora]

nur die 'Adresse der DS' ist in diesem Fall die Adresse des Anschlusses, also gleich der gegenwärtigen öffentlichen IP. So was wie meinname.synology.me ist nur eine Klartext Bezeichnung für die IP. Damit ist alles Zugänglich was hinter dem Router liegt. Die DS hat ja keine eigene Adresse in diesem Zusammenhang, zumindest nicht bei IPv4. Bei IPv6 wäre es dann vielleicht was anderes.
Die DS hat eine interne Adresse aus dem 'privaten' Bereich, typischerweise 192.168.x.x aber damit ist die DS ja nicht erreichbar und so was lässt sich auch nicht als meinname.synology.me registrieren.


Aber wenn der Benutzer einfach nur bestimmte Rechte auf der DS hat und andere Geräte für ihn nicht zugänglich sind weil er vielleicht als User gar nicht konfiguriert ist, dann kommt er eben auch nicht weiter.
Wenn aber alles andere im Netz irgendwie mit einem Einheitsuser und einem Einheitspassword gesichert ist dann wird es nicht mehr so kompliziert sein.

 

[ottosykora]

Und das mit dem Surfen ist wohl kaum zu sperren. Wenn die DS sonst ins Internet darf, kann jeder User der da angemeldet ist ja auch. Es kommt noch etwas darauf an welche VPN du verwendest. Bei OpenVPN gibt es vielleicht Möglichkeiten etwas nicht zu routen, bei PPTP fällt mir nicht ein wie man es lösen könnte.

 

[whitbread]

Hmm - ich nutze das VPN auf der DS nicht, aber meines Wissens bekommt doch der VPN-Client eine IP-Adresse aus einem eigenen Subnetz.
Insofern kann ich die Dienste auf der DS mittels Firewall auf der DS einschränken;
die Rechte im internen LAN dann mittels Router/Firewall im LAN.

 

[ottosykora]

Hmm - ich nutze das VPN auf der DS nicht, aber meines Wissens bekommt doch der VPN-Client eine IP-Adresse aus einem eigenen Subnetz.
Insofern kann ich die Dienste auf der DS mittels Firewall auf der DS einschränken;
die Rechte im internen LAN dann mittels Router/Firewall im LAN.

ja aber wohl nur wenn man die Adresse des Clients oder seines Subnetzes kennt. Das kann ich bei VPN Zugriff ja nicht voraus wissen.

 

[Boobbi]

Verbindung wird über L2TP hergestellt.
Ich hab das Gefühl dass das nicht so einfach geht.

 

[ottosykora]

Zugriff aus den lokale Komponenten, na ja ich denke da kann man was machen, aber bei dem Internet fällt mir nichts ein momentan.

 

[Boobbi]

Mit der FritzBox war das ne Leichtigkeit. Aber leider hab ich jetzt ein speedport Hybrid. Jetzt hab ich schnelles Internet. Kann aber die vpn nicht so einrichten wie ichs von der FritzBox gewöhnt war. Schade.
Aber wenn jemand noch was einfällt würde ich mich sehr freuen.

 

[whitbread]

Also beim VPN-Server hier konkret L2TP-Server stelle ich doch 'nen Subnetz ein, aus dem der VPN-Client dann eine IP erhält. Klar die originäre IP des Clients kenne ich nicht, aber der verbindet sich doch via VPN nach Hause und von dort wieder ins Internet. Will ich das nicht, blocke ich einfach das entsprechende Subnetzt bzw. lasse eh' nur gewollte Subnetze ins Internet, oder wo ist mein Denkfehler?

 

[ottosykora]

also dort kann doch nur den Bereich angeben für die dynamische Zuteilung der IP für den Tunnel, nicht jedoch für die Clienten.