VPN Verbindung steht, wie Zugriff auf DS photo/video/audio?

[nokito]

Ich möchte meine Synology von außen nur über einen VPN Zugang erreichbar machen und so wenig Sicherheitslücken wie möglich freigeben. Dafür habe ich eine DYNDNS und einen VPN Zugang über L2TP/IPSec eingerichtet und die Ports 1701, 500 und 4500 geöffnet. Die VPN-Verbindung steht.

Allerdings kann ich mich nun intern über mein Android-Handy aber nicht bei den APPs anmelden. Ich habe eingegeben:

Adresse: meine DYNDNS (ohne Port etc.)
Konto: Benutzername der Synology
Kennwort: für Zugang zur Synology
HTTPS: (kein Haken setzen)

Ist das so nicht korrekt?

 

[the other]

Moinsen,
löblich, dass du vpn nutzen möchtest, um von extern auf dein Heimnetz zu kommen. Besser weil noch sicherer wäre es allerdings nicht die syno zu nutzen, sondern zb deine fritzbox oder ein raspberry. Sonst steht dein nas auf dem vpn port per portweiterleitung ja doch nach außen »offen«.
Zu deinem eigentlichen Problem fällt mir zu deinen Ausführungen auf: gib doch als Adresse mal die IP deines nas im heimnetz an plus ggf. Port von den Anwendungen.
Da du ja bereits via vpn im eigenen Netz sein solltest, bringt dir dort die ddns Angabe nix. Beachte dazu auch die Diskussionen hier, dass sich bei vpn Betrieb auf dem nas ggf. die IP Angabe ändern kann.
Wie gesagt, wenn es dir vor allem um die Sicherheit geht, dann besser nicht das nas als vpn Server nutzen.
Grüssle
the other

 

[Synchrotron]

„Intern anmelden“ geht nie über das VPN. Wenn dein Handy im Heimnetzwerk ist, meldest du dich ganz normal an deiner Syno an, ohne VPN.

 

[NSFH]

Du stellst mit VPN von irgendwo unterwegs eine Verbindung in dein Heimnetz her. Dafür hast du DynDNS eingerichtet.
Jetzt bist du netzwerktechnisch zu Hause in deinem LAN. Also meldest du dich an der Syno so an als würdest du an deinem Heim-PC sitzen.

 

[nokito]

@the other: Danke für den Tipp bzgl. Fritzbox Zugang. Ich bin jetzt nicht der Experte, aber ist das nicht egal, ob ich in der Synology oder der Fritzbox den Port öffnen muss? Zugang von außen ist ja so oder so gegeben, wenn man rein will. Oder ist das über die Fritzbox sicherer? Was meinst Du damit, dass sich bei vpn Betrieb auf dem nas ggf. die IP Angabe ändern kann?

 

[nokito]

@ NSFH/Synchrotron: Ok, ich habe mich jetzt mit meinem Smartphone von außerhalb unter mobile Daten und deaktiviertem WLAN via VPN angemeldet und folgendes eingetragen:

Adresse: interne IP der Synology (mal mit ":80" mal mit ":430", mal ohne Doppelpunkt und nur die IP) - es funktioniert leider nicht. Anmerkung: Wieso muss ich intern einen Port angeben?
Konto: Benutzername der Synology
Kennwort: für Zugang zur Synology
HTTPS: (kein Haken setzen) - hier muss ich ja keinen Haken setzen, oder?

 

[nokito]

Moinsen,
Wie gesagt, wenn es dir vor allem um die Sicherheit geht, dann besser nicht das nas als vpn Server nutzen.

the other

außerdem, wie sieht es mit der Performance bei der Fritzbox aus? Ich möchte von extern auf DS video und DS photo zugreifen. Läuft das über die Synology nicht flotter?

 

[the other]

Moinsen nochmals,
zu deinen beiden Fragen:
zunächst wird die Performance vermutlich auf der Syno etwas besser sein, das vermute ich auch. ABER: du hattest ja im Eingangspost gerade auf den Sicherheitsaspekt hingewiesen, daher meine o.g. Empfehlung.
Und: der Unterschied sieht aus meiner Sicht so aus: mit der Portöffnung auf der Syno (firewall) öffnest du zunächst nach intern in dein Heimnetz. Die FB schottet dieses aber per NAT auf dem WAN-Interface ab. Wenn du aber in der FB auch noch nen Port aufmachst, dann bohrst du ein Loch in die (bescheidene) NAT-basierte Schutzfunktion. Es ist also durchaus ein nicht unbedeutender sicherheitsbezogener Unterschied.

Besser (auch aus Gründen der Performance) wäre es aus meiner Sicht, wenn du den VPN-Server von dem NAS trennst. Viele tendieren dann zu einer günstigen Lösung und konfigurieren ein Raspi (40 Euro) als VPN Server. Die Portweiterleitung geht dann auf das Raspi und nicht auf deine NAS, wo ja auch deine Daten liegen. Andere (auch ich) setzen zB eine Firewall auf einem APU Board ein, welche eben auch als VPN Server dient (kostet aber etwa 5 x soviel wie ein Raspi und erfordert etwas Willen zum Lesen und Lernen. Dafür sind beide sicherer und schneller.

Ist alles natürlich deine Entscheidung, logo. Ich gebe nur meine Erfahrungswerte wieder und all das Wissen, das ich auf dem Weg zu "meiner" Lösung so angelesen habe.

Geklärt?

Grüßle
the other

 

[Synchrotron]

Performance des Fritzbox-VPN: Eher langsam, gemessen habe ich es noch nicht.

Bevor du dir zu viele Gedanken machst, solltest du prüfen, was dein Upload zu Hause her gibt. Sonst baust du dir ein schnelles VPN, bekommst aber durch den Flaschenhals des Uploads die Daten nicht ausgeliefert.

 

[ClearEyetemAA55]

?? Es kann doch explizit die Portfreigabe nur für VPN in der SynologyFW eingerichtet werden.

Alle Adapter
LAN
PPPOE
VPN

 

[nokito]

Die DSL-Geschwindigkeit ist natürlich auch ein Problem. Das habe ich bisher nicht bedacht. Ich habe „nur“ 10 Mbit/s Upload. Wenn ich VPN über die Fritzbox laufen lasse ist mir das zu wenig.

@the other: Vielen Dank für Deine Erklärung. Habe wieder was dazu gelernt. Das mit dem Raspberry muss ich mir mal anschauen. Hört sich sicherheitstechnisch ganz vernünftig an.

Bis dahin will ich aber erst einmal den VPN Zugang über die Synology hinbekommen. Das klappt leider immer noch nicht.

Ich fasse nochmals zusammen, was ich bisher gemacht habe:

Ich habe eine DYNDNS und einen VPN Zugang über L2TP/IPSec eingerichtet und in der Fritzbox und der Synology die Ports 1701, 500 und 4500 geöffnet - und nur diese! Die VPN-Verbindung steht.
Jetzt will ich mich mit meinem Android Smartphone via „DS audio“ von außen verbinden. Ich habe folgendes eingetragen:

Adresse: meine interne IP 192.168.178.45
Konto: Benutzername der Synology
Kennwort: für Zugang zur Synology
HTTPS: (kein Haken setzen)

Es funktioniert nicht. Was mache ich falsch?

 

[Puppetmaster]

"Funktioniert nicht" ist relativ nichtssagend. Kannst du das mal präzisieren? Fehlermeldung?
WLAN am Smartphone auch sicher ausgeschaltet?
Hast du mal versucht über einen Browser auf die DS per lokaler IP zuzugreifen? Also ohne App...

 

[Synchrotron]

Die 10 MBit/s im Upload sollte das VPN der FB locker schaffen.

Im Vergleich zu einem VPN-Server auf der Syno ist die FB sehr einfach aufzusetzen. Da kann man wenig falsch machen, nutze es selbst.

Außerdem finde ich es besser, man hat den VPN-Zugang möglichst ganz außen im Heimnetzwerk - dann muss man keine Ports aufmachen, die nach innen durchleiten. Wenn man hinter einem geöffneten Port etwas verbaselt, dann ist das Heimnetzwerk offen, sobald sich jemand „die Mühe macht“, die Ports abzuscannen. Portscans und einfache Exploits laufen heute voll automatisch ab - so kommen die Botnetze mit einigen 100.000 gekaperten Rechnern zustande, die immer wieder durch die Presse geistern.

 

[nokito]

Ich finde die Lösung über die FB sicherheitstechnisch nicht schlecht. Die FB bremst aber doch sicherlich meinen Upload von 10 Mbit/s deutlich herunter. Was bleibt da noch übrig? 6 bis 7 Mbit/s? Ich habe übrigens eine FB 7490.

 

[Synchrotron]

Ausprobieren ....

Ich habe eine 6490 Cable (was einem der Provider halt so hin stellt). Bei deinem Upload von 10Mbit/s sind es am Ende kaum mehr als 1,x MB/s - das ist jetzt nicht wirklich schnell. Kann durchaus sein, dass die FB da mithält. Bei jeder VPN-Verbindung ist der verfügbare Upload der Engpass. Was rein übertragen wird, ist davon nicht betroffen, aber alles was man abruft.

Es kann also sein, dass die FB beim Übertragen von Bildern von außerhalb bremst - wobei hier wieder die Frage kommt, was der jeweilige Client (z.B. ein Handy) dabei schafft.

Beim Handy kommt dazu, dass die VPN-Verfahren der FB bei einem iPhone direkt in den Einstellungen hinterlegt werden können. Ich habe da ein IPSec-Profil. Für OpenVPN benötigt man eine eigene App - und iOS hat die Eigenschaft, bei Inaktivität nach einigen Minuten die offenen Apps stillzulegen. Vermutlich ist dann auch der Tunnel weg.

Also bleibt aus meiner Sicht wirklich nur ausprobieren.

Dabei würde ich mit dem VPN der FB starten - das ist in ein paar Minuten eingerichtet.

 

[nokito]

Hier die Fehlermeldung auf dem Smartphone:

Synology NAS ist nicht angeschlossen.
Bitte tragen Sie sich ein und versuchen Sie es erneut.

WLAN ist aus, habe nur mobile Daten an

Wenn ich die IP direkt in den Browser eingebe, dann geht das auch nicht, mit der Meldung (siehe unten). Sicher, dass ich nur die IP ohne Portangabe benötige? Das liegt doch jetzt sicherlich daran, dass ich in der Firewall der Synology die Ports 5000/5001 deaktiviert habe, oder? Beim allerersten Zugriff auf die Synology muss man ja auch Diskstation:5000 eingeben, um intern darauf zuzugreifen.

Die Website ist nicht erreichbar
Die Antwort von 192.168.178.41 hat zu lange gedauert.
Versuchen Sie Folgendes:

Verbindung prüfen
Proxy und Firewall prüfen
Windows-Netzwerkdiagnose ausführen
ERR_CONNECTION_TIMED_OUT

 

[nokito]

@Synchrotron: Ich teste das mal mit VPN über FB. Vorher muss ich aber erst mal verstehen, warum ich bei bestehendem VPN nicht auf meine Apps zugreifen kann.

 

[Puppetmaster]

Portnummer musst du mit angeben, ja. Dazu braucht es auch keine Portfreigabe in der Fritz, du bist ja schon in deinem Netz.
Wenn das selbst mit dem Browser nicht klappt, dann liegt's ja mit Sicherheit an deinen VPN Einstellungen.
Wo es genau hängt, kann ich jetzt nur raten. Am besten alles noch einmal von vorne bis hinten durchgehen.

 

[Synchrotron]

Also ich habe gerade meine Zugriffe noch mal durchdekliniert, vom iPad aus über LTE und VPN zu meiner Fritzbox:

DS Finder: Alles da, Zugriff über 192.168.1xx.yyy:zzzz (xx, yyy Interne feste IP der Syno im Heim-Netz, zzzz Port der Syno für den https-Zugriff)
DS File ebenso
DS Photo alles da. Upload geht nicht, weil in den Upload-Einstellungen WLAN-Präferenz gesetzt ist.

Kann daher aktuell die Probleme nicht nachvollziehen.

 

[nokito]

Portfreigabe in der FB brauche ich nicht, das ist klar. Nur ich habe auch noch in der Firewall der Synology die Ports 5000/5001 blockiert. Habt Ihr die offen? Wenn ich die aufmache, dann klappt das mit den Apps. Aber das kann ja nicht Sinn von VPN sein, wenn ich zusätzliche Löcher in die Synology reinmachen muss.

@Synchrotron: Was meinst DU mit "Upload geht nicht, weil in den Upload-Einstellungen WLAN-Präferenz gesetzt ist." Das habe ich nicht verstanden.