VPN Server auf DS 1621xs oder RT2600AC als VPN Server

[twoparts]

Hallo,
ich nutze für den externen Zugriff auf meine DS 1621xs das Paket „VPN Server“ auf der DS via L2TP Protokoll hinter einer FritzBox 7590ac.
Alles funktioniert sehr zuverlässig, nur der Datendurchsatz liegt bei meiner 50er Leitung immer um die 1 MB/s wenn ich von außen mal in File von der DS kopieren möchte.
Ich habe jetzt keine Vergleichswerte, jedoch erscheint mir das als recht dünn.

Bevor ich hier mit der Bastelei beginne, wollte ich Euch, unabhängig von allen Aspekten einmal fragen, ob es Sinn machen würde einen RT2600AC Router das Thema VPN erledigen zu lassen.

Soweit erst einmal meine Frage dazu.

Sollte, nach eurer Ansicht, mit dem VPN Server auf der DS eventuell etwas nicht stimmen, da man grundsätzlich höhere Datenraten zu erwarten könnte, würde ich mich dann gerne auch dazu mal austauschen.

Herzlichen Gruß
Jürgen

 

[mayo007]

Würde die Fritzbox als VPN Server nehmen.
Der Synology Router bringt dir eigentlich keinen Vorteil.

 

[twoparts]

Ok, das wäre natürlich möglich. Könntest Du vielleicht den oder die Vorteile mit ein paar Worten erläutern?

 

[DustFireSky]

Das ist doch absolut normal! 1 MB entsprechen ca. 10 Mbit Upload. Die 50 Mbit hast du nur im Download! Nicht aber, wenn du von unterwegs Dateien von Zuhause aus auf deinen Rechner übertragen willst. Dann ist der Upload entscheidend. Mehr gibt deine Internetleitung einfach nicht her. Du hast bereits das optimale Setup. Die Fritzboxen sind was VPN angeht viel zu lahm in der Übertragung, da eben meist die Hardware zu schwach ist; ja auch die Topmodelle von denen.

 

[Synchrotron]

Vorteile:
- Das Heimnetz bleibt dicht, der VPN Zugang liegt auf dem Router
- Kein Grund für DDNS oder statische IP, die MyFRITZ! Adresse reicht
- Mit den neueren Fritz!OS Versionen ab etwa 7.21 ziemlich performante VPN- Lösung - die Leistung von 10Mbit/s schaffen sie locker. In Tests schaffen selbst die „normalen“ Modelle 50 Mbit/s - das ist schneller, als die meisten Upload-Bandbreiten hergeben. Die größeren schaffen rund 100 Mbit/s. Das ist schon nicht mehr weit weg von professionellen VPN-Routern für kleine Unternehmen.
- Schnelle, einfache Einrichtung - ich benötige weniger als 10min, um VPN Server und Client einzurichten.

Hinweis: Die FB kann pro FBUser zeitgleich nur eine VPN-Verbindung aufbauen. Will man z.b. von Handy und Laptop zeitgleich zugreifen, einfach 2 User auf der FB anlegen, jedem einen VPN-Zugang geben, und jedem Gerät einen davon zuordnen.

 

[twoparts]

Ja klar, mein Fehler. Es liegen immer so ca. 12 Mbit/s für den Upload an. Das müßten dann so ungefähr 1,5 MB Übertragungsrate möglich sein. Da würde ich schon gerne ran kommen. Ich werde das VPN mal auf die FritzBox legen und schauen ob das noch etwas bringt. Die FB ist wegen dem MailPlus Server mit einer statischen IP verbunden.

Aber von Performance-Fragen mal abgesehen, würde es, bei meinem Setup mit FritzBox 7590ac und DS 1621sx ein Argument dafür geben den Synology Router RT2600ac statt der FritzBox vor die DS zu hängen und die FB als Modem laufen zu lassen?

 

[mayo007]

Der 2600ac bringt kein Vorteil höchstens eine weitere Fehlerquelle und mehr Aufwand bei der Einrichtung

 

[Rene1]

Hi Twoparts,
Also ich nutze den RT260ac zwischen Fritzbox und DS 1621xs+
Weil:
- SSL-VPN läuft über port 443, der eigentlich immer erreichbar ist auch von Hotels (die gerne im WLAN mal Ports sperren) und von dieversen Mobil Anbietern
- diverne externe geräte sich verbinden z.B. für Backups und das FritzVPN manchmal rumzickt
- Um mal rasch eine RDP-Sitzung auf eine lokale Maschine aufzumachen ohne RDP Client
- man kann diverse Regionen sperren oder freigeben, damit fallen diverse chinesische und russische Loginversuche raus (funktioniert verhältnismäßig gut)

LG
René

 

[FricklerAtHome]

Glück Auf zum Advent,

hier mal meine Lösung:

primär FritzBox des Kabelprovider mit 1GB Download und 50 MB Upload

auf der Fritzbox ist 1 hoher Port für Zugriffe von Aussen offen (TCP und UDP). Dieser reicht die Pakete an einen Syno-Router RT1900 weiter. Auf dem Synorouter laufen Threat-Prevention (bzw. Intrusion-Protection) und Safe Access.
Hinter dem Syno-Router beginnt mein HeimNetz. Für VPN nutze ich Wireguard (läuft rein auf UDP) in einer VM auf meinem Syno-NAS. Der Syno-Router schickt die UDP Pakete per Portweiterleitung an die Wireguard VM und damit gelingt der VPN Zugriff in mein HeimNetz. Wireguard ist da schneller als alle anderen VPN Netze. Regelhaft kann ich mit aktuellen LTE Handys oder entsprechende Notebooks in beide Richtungen 50 MB messen. Beim VPN ist hat die Upload-Rate (also die Antwortgeschwindigkeit des Heimnetzes) entscheidend. Die eingehenden Verbindungen auf TCP Ebene landen beim Reverse-Proxy meines NAS und werden dann über die anfragenden Domain-Namen an die entsprechenden Dienste verteilt. Bei mir sind das Kopano (Mail), Nextcloud und ein professioneller E-MAIL Archiver. Deren Zugänge sind dann nochmal mittels Fail2Ban, 2FA etc. abgesichert.
Damit das ganze für die Clients nicht immer zu einer Konfigurations-Orgie wird, erlaube ich mir den Luxus für ca. 12 Euro pro Jahr bei Strato lediglich eine Internet-Domain mit 5 Sub-Domänen zu betreiben. Bei denen kann ich einstellen auf welche IP Adresse im Internet sie Anfragen weiterleiten sollen (also quasi ein selbst gehosteter DynDNS Dienst). Die Aktualisierung der IP-Adresse im Internet macht die Fritzbox des Providers über die entsprechenden DynDNS Einstellungen. Die Sub Domänen z.B: mail.beispiel.de werden vom Revers-Proxy der Syno dann richtig an den MAIL Dienst Kopano zugeordnet. ---- Im wahren Leben habe ich das noch etwas komplizierte aufgebaut, aber so wie beschrieben läuft es auch einfach. ----
Warum dieser Weg? Auf dem Port der als einziger in der Fritzbox freigegeben ist erfolgt so gut wie kein Schwachstellenscanning aus dem Internet. Er ist zu hoch und abwegig von allen bekannten bzw. reservierten Diensten. Hinter der Fritzbox gibt es kein IPv6 mehr da der Synorouter und die Fritzbox eingehenden IPv6 strickt verweigern und bei der sonstigen Eindringungserkennung macht das Intrusion-Protection System des Syno-Routers gute Dienste.
Das ganze kann man statt mit einem Synorouter auch mit einem OpenWRT Router hinter der Fritzbox realisieren, da OpenWRT Intrusion-Protection und Wireguard direkt als Modul betreiben können (habe ich zur Ausfallsicherung auf einer alten FB 4040 im Bedarfsfall laufen).
Die FB4040 ist hier aber spürbar langsamer als der Syno-Router.

Die primäre FritzBox läuft übrigens ansonsten ganz normal. Sie bedient aber nur die SIP Telefone und hat ausser dem Synorouter keine weiteren Clients. So kommt auch der SIP-Telefon Kram nicht in mein eigentliches Heim-Netz.

Das ganze hat etwas mehr Aufwand weil es Wireguard noch nicht als Syno-Modul gibt. Es ist in Stabilität und Geschwindigkeit aber jeder anderen VPN Lösung von Synology überlegen (zumindest in meinem privaten Einsatz-Umfeld)

ab heute immer 2 Lichter in der Nacht
F@H

 

[twoparts]

@FricklerAtHome, herzlichen Dank für die detaillierte Darstellung deiner Lösung. In der Tat waren da so einige auch für mich interessante Aspekte dabei. An der Fritze nur einen Port zum Syno-Router öffnen zu müssen ist mir sehr sympathisch. Auch ich nutze zusätzlich eine Domain + Subdomains bei Strato, obwohl ich meine Mail Server an einer festen IP betreibe.

Ist es nicht eigentlich vollkommen egal welchen Port du wählst, ein entsprechendes Tool offenbart doch ganz schnell alle offenen Ports?

Sind denn die Synology Dienste DS File, Drive, Photos, Note, Calendar, Contacts mit dieser Lösung auch von außen mit den Mobile-Apps erreichbar? Hinzu kämen da noch WebDAV und CalDAV. Die notwendigen Ports dazu, welche dafür an der FB geöffnet sein müssen, muss ich doch am Synology Router auch öffnen. Worin besteht mit dieser Lösung ein Sicherheitsvorteil gegenüber der reinen FrtzBox-Konfiguration?
Ich möchte das nur verstehen.

 

[NSFH]

Man muss an der Fritz gar keinen Port öffnen, wenn man sie zum VPN Server macht.
Alle anderen Anfragen kommen über 443 von subdomains weitergeleitet rein zum ReverseProxy (Port redirection auf die Syno) und dieser entscheidet über die richtige Weiterleitung.
Aber, man muss entwweder für jede der Subdomains ein LE Zertifikat generieren oder sich ein Wildcard Cert beschaffen.
Wer den Reverse Proxy per HTTP ansteuert, also offenem Port 80, handelt grob fahrlässig!

Ein VPN Server hat auf einem Fileserver nichts zu suchen. Wer stellt schon seinen Fileserver mit einem Bein ins Internet???
Das die Syno sowas kann heisst nicht, dass sie alles zeitgleich machen sollte.

 

[FricklerAtHome]

@twoparts

also der Port ist wirklich beliebig wählbar,du musst ihn bei den den Clients hinter der Domäne angeben. ZB: beispiel.de:33666
Wenn man also die Range meiner IP-Adresse auf allen möglichen Ports scannt, findet man auch den offenen Port. Aber das sparen sich aus Zeitgründen 90% aller Angreifer und mit dem offenen Port können sie noch keinen Rückschluss auf die dahinter liegenden Dienste haben.
Ein offener Port 3306 / 3307 läst zumindest eine MySQL Datenbank vermuten, offene Standart Ports für L2TP auf ein entsprechendes VPN sind ebenso von aussen leicht zu erkennen. Das macht einen Angriff leichter. Mit "One Port Serves All" ist es nach meinen Erfahrungen etwas komplexer und man muss neben auch noch den Namen der Domäne kennen. Alles andere wird durch den Reverse-Proxy verworfen.

Bei mir laufen Dienste wie Note, Calendar, Contacts entweder durch den Kopano Mail Server oder über entsprechende Funktionalitäten der Nextcloud. Beide sind von aussen für berechtigte User lediglich über ein WEB-Frontend oder native Client-App für diese Dienste zu erreichen.
(Der Port ist immer gleich, die SUB-Domäne aber immer anders: mail.beispiel.de:33666 oder daten.beispiel.de:33666)
Wir nutzen weitgehend Apple-Infrastruktur da ist beides immer nativ nutzbar, bei Mail über ActiveSync sogar mit der originalen Apple-App. Der Bedarf für WebDAV oder CalDAV liegt also bei uns bei Null. In Kopano kann man sein Nextcloud über ein Modul sogar nativ über das WEB-Frontend von Kopano nutzen. Das nutzen wir wenn mal eben eine oder zwei Dateien geholt oder hochgeladen werden müssen. Für die Abgleiche zwischen Server und Road-Worrier werden die nativen Apps genutzt. Die Syno-Dienste File, Drive, Photo nutzen wir selbst im HeimNetz nur vereinzelt. Wenn das ein Berechtigter beim Ausseneinsatz braucht, setzen wir voll auf VPN. Also da wird nichts nach draussen freigegeben, vor allen nicht als Portweiterleitung. Trotzdem ist es per VPN nutzbar.

Synorouter als Kaskade ergänzt einfach eine Sicherheitspunkte die die Fritzbox entweder nicht kann oder wo es (wie bei den Firewall-Regeln) Dinge deutlich kleinteiliger einzustellen gibt, als von AVM vorgesehen.

Also wir fahren damit bisher sehr gut und Dank Wireguard auch sehr schnell.

denkt ab heute an das zweite Licht
F@H

 

[tproko]

1GB Download und 50 MB Upload

Wir hinken hier in Österreich außerhalb der Städte ja noch gut hinterher. Aber du meinst hoffentlich Gbit und Mbit pro Sekunde?

Sonst bin ich noch neidischer als ich ohnehin schon bin mit meinen 40/10Mbit.

 

[FricklerAtHome]

@NSFH

deine Antwort kam leider während ich meine obige schrieb. Ich habe sie erst jetzt gelesen.
Ich nutze für jeden Dienst eine entsprechende SUB-DOMAIN. Mit dem let's encrypt Zertifikats-Dienst auf der Syno kann man relativ einfach ein entsprechendes Zertifikat auch für alle Sub-Domänen erstellen. Ist der Reverse-Proxy auf der gleichen Syno haben auch alle enstprechenden Dienste ihr eigenes Zertifikat.
Du hast Recht, eine VPN Server gehört nicht auf ein NAS. Real läuft dies auf einem dezidierten Raspi 4 oder in einer Proxmox VM oder bei Ausfall eben auf einem OpenWRT Router.
Das Port 80 gar nicht geht halte ich auch für selbstverständlich, auf Port 443 der Fritbox kamen etliche fremde Scans an. Deshalb ist auch der bei mir regelhaft zu. Ich reiche die Ports auch nicht nur weiter durch, sondern verändere sie auf dem Weg von der Fritzbox über den Synorouter zum Reverse-Proxy und dann zum Zieldienst noch einige Male.
Auf der Fritzbox werden die Ports 80, 443 nur kurz während der Zertifikatserneuerung manuell geöffnet und dann wieder verschlossen.
Wenn ich meine exteren Erreichbarkeit mit entsprechenden Tools (z.B CT-Netzwerk Router Test) komme ich immer gut weg. Auch im Test den Nextcloud hierfür anbietet.
Ja, noch besser geht immer. Genau daran frickel ich mich kontinuierlich hoch.

Schönen 2. Advent
F@H

 

[FricklerAtHome]

@tproko

natürlich Gbit und Mbit pro Sekunde. Halt Ruhrgebiet mit guter Kabel-Infrastruktur.

Schon erstaunlich das wir alle den Sonntag mit Foren-Lesen verbringen. Aber gut so, dann wird es nicht langweilig.

F@H

 

[tproko]

Mieses Regenwetter und Lockdown

 

[twoparts]

@tproko

natürlich Gbit und Mbit pro Sekunde. Halt Ruhrgebiet mit guter Kabel-Infrastruktur.

Schon erstaunlich das wir alle den Sonntag mit Foren-Lesen verbringen. Aber gut so, dann wird es nicht langweilig.

F@H

@FricklerAtHome
Nicht ganz, habe gerade mehrere Filter bei unserer Wasserfilteranlage gewechselt, lecker Plätzchen gebacken (Frau hat Teig gemacht und ich ausgestochen)

Respekt, ich bin von deiner Lösung doch recht beeindruckt, das klingt alles sehr schlüssig und überlegt. Grundsätzlich schwebt mir eine ähnliche Lösung vor, ich bin jedoch bei einigen, von dir angesprochenen Aspekten für meinen Teil noch nicht in Gänze durchgestiegen und muss mir noch Grundlagen erarbeiten.

Ich werde den VPN Dienst erst einmal auf die FritzBox legen, damit er nicht mehr auf der DS läuft. Was würdest Du als nächsten Schritt vorschlagen um die DS nach außen dichter zu bekommen, würde der RT2600 Sinn machen?

Das Thema DDNS für einzelne Dienst klingt schlüssig, jedoch muss ich mich damit erst einmal beschäftigen.

Wenn Du mal Zeit und Lust hast, vielleicht könntest du den Ablauf für einen Dienst mal exemplarisch hier erläutern, aber nur, wenn dir das an dieser Stelle nicht zuweist geht. Ich könnte mir vorstellen, das da auch der eine oder andere „Synologe“ hier im Forum von profitieren würde.
Herzlichen Dank schon mal von mir, an dieser Stelle, für die Inspiration und Sensibilisierung für dieses wichtige Thema Sicherheit.

 

[FricklerAtHome]

@twoparts

gleich gibt es bei uns ein Familien Advents-Essen, daher wird jetzt die Zeit für eine Antwort knapp.
Aber ich kann mal in den nächsten Tagen das grundsätzliche Vorgehen bei mir im Detail beschreiben.

Wenn du das VPN zunächst auf die Fritzbox legen möchtest, schalte keinen weiteren Router dazwischen. Sonst kommst du gar nicht mehr an dein Syno NAS heran. Zwei Router bedeuten in der Regel "Double-NAT", das bedeutet es gibt ein Netzwerk hinter der Fritzbox (nur das ist mit VPN auf der Fritzbox erreichbar) und es gibt ein anderes Netzwerk hinter dem Synorouter. An die Geräte hinter dem Synorouter kommst du dann mit einfachen Mitteln nicht.

--- Detailierte Beschreibung meiner Lösung kommt!

Schönen Sonntag
F@H

 

[twoparts]

Ich wünsche Dir einen schönen Adventssonntag.
Natürlich würde ich nicht zwei Router hinter einander schalte, klar. In diesem Fall würde ich die FB als Modem und als DECT-Station nutzen und den Synology Router den Rest machen lassen, halt auch VPN. Naja, war so ein Gedanke, will mich jetzt aber auch nicht verzetteln.

 

[tproko]

@twoparts ich habe ein LTE Modem und dahinter den 2600er. Bin damit sehr zufrieden was die Oberfläche und den Umfang angeht.

Wenn es um massig Performance geht, gibt es sicher bessere, aber für mich ist srm 1a und auch VPN ist ausreichend schnell.