VPN Verbindung via SSH / Port 443

Status
Für weitere Antworten geschlossen.

Misterbf

Benutzer
Mitglied seit
06. Jul 2011
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Moin moin,

Also Ich hoffe ich bin hier soweit richtig mit der Eingruppierung.

Ich besitze eine DS211 die innerhalb eines Privaten Netwerk als Fileserver fungiert ( noch ). und dann als Fenster zur Internetwelt einen Speedport w503v des grossen T Konzerns.

Jetzt würde ich gerne von ausserhalb Zugriff auf meine DS nehmen bzw mich in das Netzwerk einklinken als ob ich "vor Ort" wäre.
Als Lösung fiel mir das "VPN-Center" ins Auge, aber falls andere Lösungen besser sind bin ich offen für Vorschläge.

Jetzt bin ich in der Situation das ich zeitweise an Orten bin wo ich einmal nicht möchte das meine Daten unverschlüsselt durch andere Netzwerke flöten, und zum anderen hinter einem Proxy sitze ( mit meinerm eignen Macbook ) und nicht alle Ports nutzen kann.

Jetzt meine Frage welche möglichkeiten habe ich mit der DS ein VPN über den Port 443 aufzubauen. oder im allgm. welche möglichkeiten ich habe.

Grüsse Misterbf
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Hi und willkommen im Forum

Ich würde OpenVPN selber installieren (Anleitung im Wiki). Du kannst VPN problemlos auf Port 443 (auch neben SSL) laufen lassen.
 

Misterbf

Benutzer
Mitglied seit
06. Jul 2011
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Hey,

Ich schau mal nach hört sich aber ganz intressant an.

vielen Dank schon mal

Grüsse
 

Misterbf

Benutzer
Mitglied seit
06. Jul 2011
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Uih nenn mich mausschubser, aber das sieht mir weniger komfortabel aus :)

gibt es keine lösung die etwas weniger Konsolenlastig ist, habe auch ein bisl angst mir da was zu zerschiessen :-$


Grüsse
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Ist aber sicherer. Mit dem Syno Package kannst Du soweit ich weiss nicht auf dein LAN zugreifen (bitte korrigieren wenn ich falsch liege). Kaputt machen kannst Du fast nichts ;) Bei mir hatte ichs in 20min drauf :)
 

Misterbf

Benutzer
Mitglied seit
06. Jul 2011
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
ok aber dann ist das VPN center doch sinnlos oder ? also ohne zugriff auf lokale netzwerk.

Muss ich denn einfach nur die einzelnen schritte genauso eintippen wie die da stehen ?
mal angesehen von der config datei das ist klar.

und dieses ikpg ist das die konsole in der DS ?

oder muss ich das auch nach installieren ?
 

amarthius

Super-Moderator
Teammitglied
Mitglied seit
03. Jun 2009
Beiträge
6.816
Punkte für Reaktionen
33
Punkte
174
Mit dem Syno-Package kannst du auf deine DS zugreifen, nicht aber auf dein weiteres Netwerk (PC, Drucker, Router, etc.).
Wird hoffentlich mit dem nächsten Update geändert.

IPKG ist eine Art Softwareverzeichnis (neudeutsch AppStore). Diesen bedienst du mittels Kommandozeile. Eine Anleitung findest du im Wiki.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
Ist aber sicherer.
...
Bei mir hatte ichs in 20min drauf :)
warum soll das sicherer sein? Wenn jemand nur stur abtippt ohne zu wissen was man eigentlich macht, finde ich das wesentlich unsicherer.
Wenn ich mal erinnern darf, Dein erster Versuch hat 2 Tage gedauert;).

ok aber dann ist das VPN center doch sinnlos oder ?
Du hast so vollen Zugriff auf Deine DS per gesichertem VPN.

Mit dem Syno-Package kannst du auf deine DS zugreifen, nicht aber auf dein weiteres Netwerk (PC, Drucker, Router, etc.).
Wird hoffentlich mit dem nächsten Update geändert.
Zum Zugriff auf das gesamte Netz: es muß eine statische Route gesetzt werden, egal ob VPN Center oder Eigeninstallation. Am einfachsten wenn der Router statische Routen zuläßt, ansonsten jeweils am lokalen Netzwerkteilnehmer. Von allein wird auch das VPN Center das nicht können (Ausnahmen wären Router die per EZ-Internet konfiguriert werden können).

Gruß Götz
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
@goetz: Sicherer aufgrund von Zertifikaten; die können nicht per Brute-Force (wie bei Kennwort) gehackt werden.

Ja, meine (ersten) versuche gingen schon etwas länger, allerdings gabs da irgendwelche Anleitungen wo sachen unklar bzw veraltet waren ;)
 

oliv3r

Benutzer
Mitglied seit
03. Mrz 2009
Beiträge
104
Punkte für Reaktionen
6
Punkte
18
Mit dem Syno-Package kannst du auf deine DS zugreifen, nicht aber auf dein weiteres Netwerk (PC, Drucker, Router, etc.).
Wird hoffentlich mit dem nächsten Update geändert.

Servus an alle!
Dem muss ich widersprechen. In meiner Umgebung funktioniert das tadellos. Mit dem VPN-Center (Paket 1.0.1742) habe ich Zugriff auf die DS selbst und kann den Router als auch alle anderen sich im NW befindlichen Geräte ansprechen und mich einloggen.
Gruß, Oliver
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
Da war schon jemand schneller, aber ich möchte trotzdem noch mal bestätigen, dass man sich im eigenen Netz bewegen kann, als ob man über Wlan vor Ort eingelockt ist. Ich bekommen eine IP aus dem Heimnetz und "Ich bin drin"
 

ubuntulinux

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
2.063
Punkte für Reaktionen
0
Punkte
82
Wirklich eine IP aus dem Homenet? Was sagt ein Traceroute?
 

Herbert_Testmann

Benutzer
Mitglied seit
27. Jul 2009
Beiträge
1.114
Punkte für Reaktionen
1
Punkte
64
Ok , noch mal genau geschaut.
Ich bekomme eine IP aus einem privaten Netz, das ich bei der Einrichtung von PPTP auf der DS angegeben habe. Dieses Netz entspricht nicht dem privaten Netz, in dem die anderen PCs / Geräte sind. Ich kann mich aber auf alle Rechner im Netz verbinden und ich kann auch auf das Ineternet zugreifen. Alles über das VPN. Da findet also ein Routing statt. Eingestellt habe ich dafür nix.
Ich bin nicht in der Lage auf dem iPad ein tracert zu machen.
 

oliv3r

Benutzer
Mitglied seit
03. Mrz 2009
Beiträge
104
Punkte für Reaktionen
6
Punkte
18

Misterbf

Benutzer
Mitglied seit
06. Jul 2011
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
OK also scheint es ja mit dem VPN Center doch zu klappen,

Aber welche port muss ich denn an die DS weiterleiten um das VPN zu etablieren ?


Grüsse
 

oliv3r

Benutzer
Mitglied seit
03. Mrz 2009
Beiträge
104
Punkte für Reaktionen
6
Punkte
18
Wie in der Anleitung beschrieben ;)

Portweiterleitung.png

Gruß, Oliver
 

Misterbf

Benutzer
Mitglied seit
06. Jul 2011
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Also um zur Lösung meines Problems zu kommen könnte ich mit einem Programm wie Tunnelblick via openvpn
einen tunnel zu meinem Router auf Port 443 etablieren
Der Router würde dann den Port umleiten auf 1194 UDP zur DS und dann über VPN Center ins Heimnetz.


Oder sehe ich da was Falsch ??
 

Misterbf

Benutzer
Mitglied seit
06. Jul 2011
Beiträge
18
Punkte für Reaktionen
0
Punkte
0
Moin an alle

Also ich habe das jetzt wie oben beschrieben mit dem VPN center gemacht und eine Konfig exportiert. Danach auf Mac das mit tunnelblick importiert und den Port auf 443 geändert und auf auf de mrouter bei ankunft den port 443 auf 1194 umgeleitet. leider meldet der client probleme beim Handshakehier mal ein bild. kann mir da jemand was zu sagen ?

Bildschirmfoto 2011-07-10 um 10.55.40.jpg
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@goetz
sicherer ist das Ganze weil einerseits zur Auth ein Client Zertifikat verwendet wird. Klar ist theortisch möglich das zu brute-forcen, aber in etwa gleich wahrscheinlich wie dass es einen Tsunami gibt wenn du ins Meer springst. Zusätzlich gibt es dann auch die Möglichkeit einen statischen Schlüssel zu verwenden. Ueber diesen muss der Client verfügen für die erste Verbindungsaufnahme. Hat er den Schlüssel nicht bringen auch alle gültigen Clientscerts nichts. Die UDP Pakete werden wegen falscher Signatur sehr viel früher verworfen als ohne statischen Key. Gemäss Manual macht das Portsscanns und D(DOS) Attacken unmöglich und schützt zudem die TLS/SSL Implementation (bei der DS openssl) z.B. vor "drive-by-hacking" (http://openvpn.net/index.php/open-source/documentation/howto.html#security)
Alles in allem ist es definitiv sicherer das ganze mit Certs zu machen, warum das Syno ned gemacht hat ist mir ein Rätsel. Der statische Key muss ned sein, erhöht die Sicherheit aber nochmals beträchtlich
 

juwi

Benutzer
Mitglied seit
01. Dez 2008
Beiträge
145
Punkte für Reaktionen
2
Punkte
18
Mit dem Syno-Package kannst du auf deine DS zugreifen, nicht aber auf dein weiteres Netwerk (PC, Drucker, Router, etc.).
Wird hoffentlich mit dem nächsten Update geändert.

Wie meinst du das? Ich kann sowohl via OpenVPN als auch MS VPN auf alle Geräte via DS 210 im Firmennetzwerk zugreifen.

Edit: Oh da war ich wohl zu langsam. ;D
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat