VPN, SMB und andere IP-Adresse...

[Lapje]

Hallo zusammen,

ich hätte da mal eine Frage: Wenn ich von außen per VPN und SMB auf meine Synology zugreife, muss ich ja die IP-Adresse der DS eingeben. Das klappt aktuell sehr gut. Besteht eventuell auch die Möglichkeit, von einer anderen IP-Adresse zu der IP meiner DS zu routen? Meine DS hätte z.B. die IP 192.168.1.200, ich möchte aber, weil ich die IP meines Netzwerkes nicht offen legen will, z.B. die 192.168.1.20 eingeben um dann an die DS-IP weitergeleitet werden. Geht so etwas?

Ich hab mich hier im Forum schon ein wenig ungeschaut, aber wenn man nicht weiß wonach man eigentlich suchen soll, wird es schwierig. Mir würden schon ein paar Stichwörter reichen, den Rest würde ich mir dann selbst raussuchen...

Besten dank schon mal dafür...

Lapje

 

[goetz]

Hallo,
meine DS hat die IP 192.168.1.40. Mit dieser Information kannst Du rein gar nichts anfangen solange Du nicht in meinem privaten Netz bist. Ist jemand in Dein privates Netz per VPN eingedrungen so ist es auch ein leichtes die vorhandenen Geräte zu ermitteln.

Gruß Götz

 

[Lapje]

Mir geht es auch darum, dass, falls ich jemanden per VPN Zugriff auf mein Netzwerk gewähre, das dieser nicht die IP meines Netzwerkes erfährt - sonst könnte er ja auch auf andere sich im Netzwerk befindlichen Geräte zugreifen. Das will ich aber verhindern. Zumindest klappte das gerade ohne Probleme - beim Zugang die IP leicht geändert und schon konnte ich die Ordner meines Hauptrechners sehen.

 

[PsychoHH]

Dann musst du einfach deinen PC sichern.
Nur weil man eine IP Weiterleitung hat ist man nicht sicher.

 

[Lapje]

Es geht ja darum, dass der Nutzer von außen nur Zugriff auf meine DS bekommt, der Rechner soll erst gar nicht erreichbar sein - beim lokalen Zugriff im Netz aber schon.

Kann es sein dass dafür die dynamische IP-Adresse in den jeweiligen VPN-Einstellungen da ist? Mit dieser kann ich auf die für den jeweiligen Nutzer auf der DS freigegebenen Ordner zugreifen - beim Ändern des letzten Zahlenblockes auf dem Gäste-Gerät kann ich nicht auf meinen Hauptrechner zugreifen. Beispiel:

DS-IP: 192.1.1.10
Hauptrechner IP: 192.1.1.50
Dynamische VPN-IP: 100.1.1.1

Wenn ich jetzt auf dem Gästegerät beim Zugang die IP von der DS auf den Hauptrechner ändere (also im Grunde von 10 auf 50), dann kann ich die Ordner meines Rechners sehen. Wenn ich aber die dynamische VPN-IP nehme und die von 100.1.1.1 auf 100.1.1.50 ändere, läuft der Zugriff ins leere. So bekomme wie gewünscht nur Zugriff auf die freigegebenen Ordner auf der DS.

Wäre das so ratsam?


Besten dank

 

[fpo4711]

Hallo;

schön wäre es ja auch wenn Du mal angeben würdest was für ein VPN Du üerhaupt anwendest.

Es geht ja darum, dass der Nutzer von außen nur Zugriff auf meine DS bekommt, der Rechner soll erst gar nicht erreichbar sein - beim lokalen Zugriff im Netz aber schon.

Sollte es OpenVPN sein kannst Du den Haken vor "Clienten des Server-LAN Zugriff erlauben" entfernen. Dann kann man auch nicht auf deine lokalen Geräte zugreifen und deine DS nur über die Tunnel-IP (dynamische IP bei Synology) erreichen. Das läßt sich zwar von einem Profi umgehen, bietet aber im Normalfall einen Schutz.

Generell sollte aber der Schutz deiner Freigaben durch Benutzer/Passwort geregelt sein. Somit ist es dann völlig egal ob der VPN-Client nun dein Gerät erreichen kann. Zugriff bekommt er trotzdem nicht. Sollte dem trotzdem so sein, liegt es mit ziemlicher Wahrscheinlichkeit an zu großzügig definierten Gastzugängen.

Wenn Du aber zwingend auch den Zugriff für jede erdenkliche Variante ins lokale Netz sperren willst geht das nur auf Kommandoebene mit der DS und eigener Manipulation der Firewall (iptables). Nicht jedoch über die GUI. In einem solchem Fall wäre es sicherlich sinnvoller ein Gerät z.Bsp. mit pfSense, Sophos, IPCop oder ähnlich vorzuschalten.

Gruß Frank

 

[Lapje]

Also:

Bisher nutze ich PPTP, da ich nicht weiß wie einfach OpenVPN auf anderen Geräten einzurichten ist. Unter iOS braucht dazu z.B. eine zusätzliche App.

Natürlich habe ich die Ordner über Zugriffe gesichert, auf nicht für den Nutzer freigegebene Ordner kann dieser gar nicht zugreifen. Wenn ich jetzt in den Zugangsdaten die eigentliche IP der DS angebe, kann der Nutzer darauf zugreifen, wenn er aber den letzten Block der Adresse ändert könnte er bei den anderen Geräten landen. Wenn ich aber die dynamische IP angebe ist dies anscheinend nicht möglich, der Nutzer erhält nur Zugriff auf die DS und dort auch nur auf die freigegebenen Ordner.

Daher der Gedanke ob ich damit das Problem in den Griff bekommen könnte...

 

[heavy]

Also wenn du so Angst hast dass jemand dem du VPN Zugang gewährst in deinem Netzwerk stöbern geht, dann bedenke dass bei einer "falschen" Konfiguration des VPN (ist bei PPTP standard) der komplette Internetverkehr des Gastes über deinen Anschluss läuft. Also wenn er illegale downloads macht während er mit dir Verbunden ist, dann erscheint deine IP in den Logs und nicht seine, und du musst dann beweisen, dass es er war.

 

[Lapje]

und wie kann ich das beheben? Und wie verhält es sich mit den anderen VPN-Protokollen?

 

[heavy]

Bei pptp m.W. gar nicht bei einem Mac muss man sogar explizit den Haken setzen bei "die internetverbinung des VPN Servers verwenden" damit der Zugriff klappt. Die anderen kenne ich nicht, nach den Meldungen hier würde es glaub ich bei openvpn gehen, ob du aber Serverseitg generell es unterbinden kannst kann ich dir nicht sagen, da die Einstellung beim Client erfolgt. Warum gibts du denn nicht nur den einen Ordner über eine DDNS Adresse incl. Portweiterleitung frei wenn du nicht willst das man in deinem Netz schnüffeln kann. Wenn du z.B. einen FTP Zugang einrichtest und den auf einen nicht standard Port legst ist die Wahrscheinlichkeit geringer dass die DS angegriffen wird.

 

[frankyst72]

das ist doch ein klassisches DMZ-Szenario, oder?

 

[blinddark]

PPTP ist längst nicht mehr sonderlich sicher. Entweder würde ich wirklich die Lösung des SFTP-Zuganges vorziehen oder OpenVPN bzw. L2TP/IPSEC nutzen.

Ich selbst habe es so eingerichtet: Mein Netzwerk hat einen bereich im 10.80.30.0 Bereich.
- Der VPN-Server liegt im 10.80.40.0 Bereic

Wenn ich die Route in der FritzBox nicht ausdrücklich anlege, kann ich via VPN nur die Diskstation sehen.