VPN Tunnel zu Synology NAS - TP-Link

[emanu]

Hallo Community,

ich habe mir einen TP-LINK Router TL-WR842ND gekauft um damit einen VPN Tunnel zu meinem Synology Nas herzustellen.

Als Protokoll wird IPSec von beiden Geräten unterstützt. Leider sind die Felder, die jeweils zur Einrichtung ausgefüllt werden müssen, nicht identisch.

Hat jemand Erfahrung damit und kann mir helfen was ich eintragen muss?

Oder gibt es einen anderen Router mit dem es besser funktioniert?





Danke!

 

[Jasbas]

Ich habe einen TL-ER6020 und das VPN läuft einwandfrei. Bei mir musste ich zuerst einen soggenanten "IP ADRESS POOL" erstellen. Danach die IPSec Einstellungen vornehmen.

 

[fpo4711]

@Jasbas

Nur das Du hier Birnen mit Äpfeln vergleichst. Nicht jeder VW fährt 250km/h und nicht jeder TP-Link Router versteht L2TP over IPSec. Der Router des TE beispielsweise kann nur IPSec und somit sollte das auch in Verbindung mit der DS nicht spielen, denn die kann von Haus aus nur L2TP/IPsec und das sind nun mal zwei paar verschiedene Schuhe. Also ohne sehr starke manuelle Anpassungen werden sich die beiden nicht verstehen.

Gruß Frank

 

[Jasbas]

Sorry mein Fehler! Habe es falsch gelesen!

Per VPN direkt auf den Server, ist aus meiner Sicht nicht ganz so ideal. Das VPN sollte nur von z.B. Smartphone bis zum Router gehen! Wenn ein Router VPN Funktionen hat, ist es sicherlich auch möglich nur gewisse IP's frei zu schalten und dies wäre dann die Synology!

 

[heavy]

Also wenn ich ein VPN direkt auf meinen Router machen dann bin ich wirklich komplett in meinem Netzwerk und kann nichts regeln auch kann ich nur einen User richtig einrichten (das war schon schwehr genug einen zweiten hat er nicht mehr angenommen) auch bekommt er ja keine Updates mehr und ich habe nur das eine Protokoll. Beim VPN auf dem Nas habe ich da wesentlich mehr möglichkeiten, von daher bin ich nicht dieser Meinung dass ein VPN auf den Router gehört, erst recht nicht mehr wenn man mit Vlans bzw separaten subnetzen arbeitet.

 

[Jasbas]

@ heavy

Ich habe hier keinerlei Probleme mit mehreren Usern, Update....... Gegenteil ich kann gewisse IP's im Netzwerk frei geben und somit nicht nur auf die Synology aus der Ferne zugreifen.

Frage aus reiner Unwissenheit von mir, ist es bei deiner Variante nötig einen Port beim Router zu öffnen um mit dem VPN durchzudringen?

 

[heavy]

Dann ist das schön für dich. Beim neuen Synology Router ist ja das (ungefähr) gleiche VPN Paket dabei da kann man dann schon den endpunkt auf dem router lassen. Wobei ich immernoch die Frage dann stelle wie nur den Zugriff auf die DS beschränken, denn das ist dort (m.W.) auch nicht möglich. Dann doch lieber das VPN direkt auf die DS und dann dort den Lan zugriff sperren (beim openvpn protokoll möglich). Ja ich muss den entsprechenden Port auf die DS weiterleiten (ist ja eigentlich selbstverständlich da sonst das NAT ja die Anfrage blockt.

 

[Jasbas]

Bei meinem Router TP-Link TL-ER6020 ist es möglich verschiedene "User Groups" zu erstellen. Dort vergebe ich wer auf was im LAN zugreifen kann bzw. wer ins WAN darf. Ein VPN-User erhält ja auch eine eigene IP und wird somit einer "User Group" zugeordnet die auf diverses wie Synology ect. zugreifen können oder eben auch nicht!

 

[heavy]

Ok dann werde ich mir den mal bei gelegenheit anschauen.

 

[Jasbas]

Ich bin nicht der Netzwerkspezialist und ich weiss nicht ob dies die Beste und Sicherste Lösung ist, aber auf jedenfall eine die Funktioniert! Ich ging vom Grundsatz aus, der Router "bestimmt" wer was in meinem Netzwerk darf und wer nicht. Aber es wäre mal interessant die Meinung eines Profis!

 

[heavy]

Da ich unter anderem gerade auch dieses Thema in anderen Facebook Gruppen diskutiere kann ich dir folgendes Sagen 4 Leute 8 Meinungen. Manche pochen darauf dass ein VPN auf den Router gehört, andere sagen so wie ich die DS ist aktueller hat mehr Protokolle und wenn eh nur sie erreichbar sein soll kann man ja den Zugriff sperren. Deinen Router, oder einen mit solchen Zugriffs beschränkungen wurde gar nicht erwähnt. Die "Profis" sagen Ganz klar VPN hat auf dem Router nichts zu suchen weil ---====> sie alles Separat haben also eigenständiges Modem, eigenständige Firewall, eigenständiges VPN gateway, und dann ganz zum schluss den Router, dafür brauchen sie aber auch einen 19" Schrank für ihre ganzen Geräte wo unser eins nur eine Fritz Box stehen hat, die dann noch Wlan, gigabit switch und Dect/voip mit an Bord hat. Also wirklich das Grasseste war 19 Zoll 9HE Rack nur um alles zu machen was meine FB kann.

 

[Jasbas]

Mit deinen Überlegungen hast du recht! VPN auf die DS wenn du nur diese erreichen möchtest VPN auf den Router wenn noch andere erreicht werden sollen. Bezüglich den Profis hast du auch recht, die geben sich nicht mit so Kleinigkeiten ab wie wir!

 

[heavy]

Naja ich benutze L2TP/ipsec, da kann man den Lan Zugriff nicht sperren das geht erst bei openvpn (mir aber zu viel stress, ich benutze den VPN alleine) aber das andere was mir gerade noch einfällt kann ich auf meine Fritz Box überhaupt ein Zertifikat für meine Domain Importieren? Wüsste nämlich nicht wie, bei neueren soll es gehen. Denn windows macht je nach Sicherheitsrichlinie gar keinen Tunnel auf wenn das Zertifikat nicht passt. Und auch Android zickt glaub ich rum, ich habe aber ein Zertifikat für meine Domain auf der DS deshalb kann ich das nicht mehr testen. Oder müsste mal testweise den Pptp vpn auf meine zweite ohne zertifikat umleiten und dann schauen was mein händy sagt.

 

[Jasbas]

Bei mir ist das VPN auch nur für Familienmitglieder offen. Zertifikate musste ich bis jetzt keine angeben, vielleicht ist eines hinterlegt, keine Ahnung! Von iPhone, iPad und MacBook aus habe ich Problemlos zugriff.