VPN Verbindung und Verschlüsselung

[Bochumer]

Hallo,

ich habe den DS216J und seit gestern habe ich den VPN Server laufen. Meine
Frage ist nun, ist die Verbindung dann nur intern oder auch extern (über meine
DYNDNS Adresse) verschlüsselt ?


Mark-Peter

 

[ScottyC]

Hallo Mark-Peter,

natürlich ist über VPN die Verbindung auch extern verschlüsselt.
Was genau hast du gemacht?
Alleine den VPN-Server auf der DS laufen zu lassen ist nur die halbe Miete.
Die (von extern) zugreifenden Geräte müssen ebenfalls entsprechend eingerichtet werden.
z.B. mobile apps von Synology

 

[Bochumer]

das bedeutet, ich muss auf jedem PC erst die VPN Verbindung einrichten, dort dann
die User Zugangsdaten vom NAS eingeben, dann auf Verbinden klicken und dann
kann ich mich ganz normal über meine selfhost Adresse +Port dahinter im Browser
einloggen, richtig ? VPN Anbieter: Windows integriert, Verbindungsname eintragen,
Selfhost Adresse als Servername eintragen, dann auf Speichern gehen und dann
eben auf Verbinden und die Benutzer Daten eintragen vom NAS Login.

 

[ScottyC]

Du richtest einmalig die VPN-Verbindung auf deinem Endgerät ein.
Ich hab' es bisher nur für iphone und ipad gemacht.
In Kurzform geht das dort so:
Nutzt du L2TP, PPTP oder IPSec, so bringt IOS alles nötige mit und du konfigurierst über Einstellungen -> VPN.
Verwendest du OpenVPN - was ich dir empfehlen würde - dann benötigt man die app OpenVPN.
Einmal konfiguriert kannst du die mobilen Synology-apps nutzen.
zum Verbindungsaufbau müssen dort nur die interne IP und die persönlichen Zugangsdaten eingegeben werden.

Zu OpenVPN:
Der Vorteil liegt in der 2-Faktor-Authentifizierung.
D.h. zum Anmelden benötigst du ein Zertifikat (bekommst du vom DS VPN-Server) und die Zugangsdaten.

 

[Bochumer]

Hallo,

ja am PC habe ich gerade VPN eingerichtet und die Daten eingetragen, nun kann
ich mich mit dem NAS auch Verbinden und sehe alles im Windows Explorer
Jedoch wenn ich den PC neu starte muss ich mich erst wieder Verbinden, was lästig
ist finde ich, kann man das nicht so einstellen das der sich automatisch wieder verbindet ?

Jedoch ein Nachteil gibt es : Wenn ich im Explorer was hochlade auf den NAS oder zum
Test habe ich es auch mal mit dem Firefox versucht, dann dauern 3 GB etwa 50 Minuten
(extern) bis die oben sind. Woran kann das liegen ? Muss man da noch was einstellen ?
Wenn ich intern im gleichen Netzwerk wo der NAS auch dran hängt die 3 GB hochlade
dann ist es natürlich in 1 Minuten oben.

Was das OpenVPN angeht, dass ist ja deutlich schwieriger einzurichten.



Mark-Peter

 

[Frogman]

Das Tempo liegt an der in der Regel aufwendigeren Verschlüsselung.
Zum reinen Hochladen solltest Du eher die File Station auf einen custom Port für https legen und Dich darüber anmelden, das reicht. Den VPN kannst Du dann nehmen, wenn Du wirklich mal das DSM konfigurieren musst.

 

[Bochumer]

OK, aber das ist ja dann wieder nicht verschlüsselt oder ? Gibt es dafür eine
Anleitung wie man das einrichtet ? Weil mit Netzwerk Konfig kenne ich mich
leider nicht so gut aus. Kam meine PN nicht an ?


Mark-Peter

 

[Frogman]

https ist verschlüsselt - mit welcher Ciphre, das hängt von der entsprechenden Konfig des Webservers auf der DS und Deinem Browser ab. In der Regel ist das allerdings performanter als der VPN-Tunnel.

 

[Bochumer]

Schuldigung, stimmt. HTTPS ist ja verschllüsselt. Aber wie richte ich die File Station auf einen custom
Port für https ein ? Und ich nutze ja eine DynDNS Adresse von Selfhost.

 

[Frogman]

Schau mal in die Systemsteuerung beim Anwendungsportal. Den konfigurierten Port dann auch im Router an die DS weiterleiten und dann von extern mit der DDNS zusammen mit dem Port aufrufen.

 

[Bochumer]

OK Danke Aber wenn ich die Adresse mit HTTPS davor dann aufrufe sagt er noch
das die Verbindung unsicher sei mit folgender Meldung:

Diese Verbindung ist nicht sicher

Der Inhaber von **********.selfhost.meort hat die Website nicht richtig konfiguriert. Firefox hat keine
Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
**********.selfhost.meort verwendet ein ungültiges Sicherheitszertifikat.

 

[Frogman]

Tja, damit keine Warnung erfolgt, musst Du ein SSL-Zertifikat für Deine selfhost-Subdomain verwenden. Kryptographisch sicher ist die Verbindung, doch es wird gewarnt. Das ist aber nichts Neues, SSL-Zertifikate werden von Browsern nur dann als vertrauenswürdig eingestuft, wenn die aufgerufene Domain derjenigen entspricht, die im Zertifikat hinterlegt ist. Im einfachsten Fall besitzt Du eine eigene Domain und erstellst Dir dafür ein Zertifikat, wobei der externe Aufruf der Domain über einen entsprechenden CNAME-Record, der die DDNS enthält, bei der DS landet.

 

[Bochumer]

Hallo,

ja ich habe eine eigene Domain mit einem SSL-Zertifikat. Was muss ich dafür dann im NAS
alles ein/umstellen damit ich den NAS dann über die eigene Domain aufrufen kann mit dem
Port dann dahinter natürlich. Muss ich die Domain im NAS nur eintragen ? In der FritzBox muss
ich dann nur den Port freigeben der eh schon frei/eingetragen ist, oder ? Das NAS stellt doch
aber auch selbst ein Zertifikat zur Verfügung, oder ?

 

[Frogman]

Du kannst das Zertifikat im DSM installieren - dann kann die DS dieses Zertifikat bei verschlüsselten Zugriffen dieses Zertifikat verwenden. Du brauchst dann nur noch die DDNS als CNAME-Record in den DNS-Einstellungen beim Hoster für eine Subdomain Deiner Domain eintragen - fortan erreicht man dann Deine DS bei Aufruf der Subdomain. Bedingung ist unverändert, dass die relevanten Ports, die bei den Zugriffen verwendet werden, im Router an die DS weitergeleitet sind (bei Zugriffen über IPv4) bzw. die üblicherweise vorhandene Firewall des Routers für die entsprechenden Ports und einem der Interface-Identifier der DS geöffnet wird (im Falle von Zugriffen über IPv6).

 

[Bochumer]

Hallo,

OK, habe ich gemacht und klappt auch, aber es kommt dann die Meldung Diese Verbindung ist nicht sicher,
ob ich die Sicherheitsausnahme hinzufügen möchte, ich habe aber gelesen das man ein Zertifikat von
einem vertrauenwürdigen dritt Anbieter sich holen sollte wobei dies dann auf eine eigene Domain laufen
muss. Auch das ist ja kein Problem, jedoch wo muss ich die Domain dann eintragen damit ich die DS dann
darüber erreichen kann ? Muss die dann direkt in der DS eingetragen werden ? Bei der DYNDNS FREE Adresse
von Selfhost kann ich leider keine eigenen DNS Einträge vornehmen. Jedoch bei meinen eigenen Domains, da
kann ich das dann machen. Ein SSL Zertifikat hole ich mir dann auch für diese Domain.

 

[Frogman]

Lies einfach meinen Post über Deinem

 

[Bochumer]

Ja das habe ich verstanden was in erster Zeile steht, dass wenn ich das Zertifikat von der
DS Installiert habe (trotz der Warnmeldung wegen unsicherer Verbindung) die Verschlüsselung
dann trotzdem gegeben ist, jedoch keine gesicherte Verbindung habe, richtig ? Achso, und bei
meiner eigenen Domain (NICHT Selfhost) muss ich dann nur noch in den DNS Einstellungen den
CNAME-Record eintragen. Habe ich das auch richtig verstanden ? Und dann natürlich noch bei den
DNS Einstellungen (Zone) die IP von dem NAS eintragen. Ich hoffe, dass ich alles richtig verstanden habe ?

 

[Frogman]

Ja das habe ich verstanden was in erster Zeile steht, dass wenn ich das Zertifikat von der
DS Installiert habe (trotz der Warnmeldung wegen unsicherer Verbindung) die Verschlüsselung
dann trotzdem gegeben ist, jedoch keine gesicherte Verbindung habe, richtig ?

Du hattest geschrieben, du hättest eine eigene Domain mit Zertifikat - dabei nahm ich an, es sei eines von einer offiziellen CA signiertes. Dann käme keine Warnung.

? Achso, und bei
meiner eigenen Domain (NICHT Selfhost) muss ich dann nur noch in den DNS Einstellungen den
CNAME-Record eintragen. Habe ich das auch richtig verstanden ?

Ja.

Und dann natürlich noch bei den
DNS Einstellungen (Zone) die IP von dem NAS eintragen. Ich hoffe, dass ich alles richtig verstanden habe ?

?

 

[Bochumer]

Du hattest geschrieben, du hättest eine eigene Domain mit Zertifikat - dabei nahm ich an, es sei eines von einer offiziellen CA signiertes. Dann käme keine Warnung.

?

Ja richtig, ich habe eine Domain mit SSL Zertifikat. Aber was muss ich denn noch
machen, damit ich mit dieser Domain den DS216J aufrufen kann ? In der Zonen-
verwaltung von der Domain muss ich ja NAME, TTL, RR-TYP und WERT, also die
IP Adresse vom NAS ? eintragen.

 

[Frogman]

Nein, oder hast Du eine feste IP-Adresse? Wie ich oben schrieb den CNAME-Record der Subdomain, die zum Einsatz kommen soll, befüllen und das SSL-Zertifikat im DSM importieren.