VPN - Was ist besser

thebootmaker

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
55
Punkte für Reaktionen
0
Punkte
6
Moin,
ich habe nicht viel Erfahrungen mit meinem VPN. Jedoch möchte ich dieses nutzen, weil ich oft von Unterwegs mit meinem Laptop arbeiten muss und auf meine Netzlaufwerke zuhause im Büro zugreifen muss.

Hierzu habe ich bisher in meiner Fritz!Box 6591 einen VPN eingerichtet, der Windows Client von AVM ist aber nicht wirklich gut, denn dieser verursacht oftmals Bluescreens. Wer nun sagt, es liegt an der Hardware ...

Ich habe sowohl meinen Standrechner durch einen neuen ersetzt, weil ich dachte, dieser wäre defekt, als auch meinen Laptop. Und wenn ich ein wenig diese AVM Clients nutze, habe ich immer wieder - nicht an einer bestimmten Sache ausmachbar - Bluescreens.

Dann hatte ich mal das Problem, dass zwar das Internet zuhause funktioniert hat, jedoch die FritzBox eine Störung hatte, weswegen eine VPN Verbindung erst nach einem Neustart wieder möglich war ...

Deswegen bin ich auf der Suche nach einer einfachen Alternative ...

Erklärt mir doch mal die Vorteile / Nachteile über eine VPN Verbindung mit der Synology und wie man ggf. Wireguard einrichten kann. Im Moment komme ich auch auf den folgenden Artikel nicht: https://idomix.de/wireguard-vpn-server-auf-synology-diskstation

Weiterhin habe ich AdGuard auf meiner Synology laufen. Kann es in Kombination mit einem VPN Probleme geben? Was muss man da beachten?

Viele Fragen und hoffentlich auch viele Antworten :)

Viele Grüße
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
Die Idee VPN Server auf der FB zu betreiben ist eigentlich gut, weil da genau die Verbindung zu dem Eingang des Netzwerkes erstellt wird und nicht erst Ports durchgeleitet werden müssen damit man zu einem VPN Server kommt.
Es ist jedoch genau so möglich den VPN Server auf der DS zu installieren und dann halt die entsprechenden Ports in der FB zu der DS weiterleiten.
Sicherheitsfanatiker finden auch ein weitergeleiteter VPN Port sein schon eine Gefahr.
Persönlich sehe da jedoch keinen Unterschied, auch im geschäftlichen Umfeld muss ich mich zum Bsp in einen L2TP/IPsec Server einloggen der sich definitiv nicht im Router befindet, weil nur wenige Router einen eigenen VPN Server eingebaut haben.

Also wenn dich die FB stresst, warum auch immer, kannst du genau das gleiche mit der DS tun, andere betreiben ein Raspi dazu etc.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
Ja, der AVM-VPN-Client war schon nicht gut, und die Alternative mit dem Shrewsoft-Client etwas, aber nicht viel besser.

Ich würde warten, bis für deine 6591 die neue 7.50er Firmware erscheint, da ist auch Wireguard enthalten. Dann brauchst du nur den passenden Wireguard-Client auf dem PC. Das funktioniert zuverlässig. Testen kann man das jetzt schon im Rahmen des 7.39er-Beta-Programms (s. hier).
 

thebootmaker

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
55
Punkte für Reaktionen
0
Punkte
6
Moin
Ja, ich habe das auch gelesen, dass Wireguard kommt. Da ich aber eine Fritz Box von Vodafone habe, kann ich da leider nicht testen und es steht ja in den Sternen, wann die das Update bereit stellen werden …


Deswegen die Frage, wie man am besten in der Synology vorgeht.
 

Thorfinn

Benutzer
Sehr erfahren
Mitglied seit
24. Mai 2019
Beiträge
1.746
Punkte für Reaktionen
417
Punkte
103
Vorweg: Die VPN Server und Klienten von AVM kenne ich nicht. Kryptieren heisst rechnen. Ich höre immer wieder dass die SoHo Geräte von AVM zwar VPN Server können, aber die Kryptorechenleistung dieser eierlegenden Wollmilchsäue dann halt etwas mau ist.

Das kleine 1mal1 der Netzwerkabsicherung: Der VPN Server sollte an der ersten Firewall (am Router) laufen. Das verkleinert Angriffsflächen. Wenn du das erst in eine DMZ routest, den VPN Server auf der Synology laufen lässt um dann in den internen Bereich zu kommen sind die Angriffsflächen grösser und die Wege in deinem Netzwerk bekommen mehr Stationen.

Male dir mal auf, in welchem Netz welche Maschine und welche Prozesse laufen. Dann zeichne die Firewalls - VPN Tunnel und Adguard Filter und die Wege auf welcher die Adressauflösung möglich sein soll (DNS).


IPSec und OpenVPN sind weit verbreitetede VPN Protokolle. So weit verbreitet, dass öffenltiche AccessPoints sie gerne unterbinden. WireGuard läuft auf UDP, das kann auch gerne mal geblockt sein. Proprietäre "VPN über http" Produkte sind da robuster, aber sehr rechenintensiv.
 

thebootmaker

Benutzer
Mitglied seit
25. Jul 2013
Beiträge
55
Punkte für Reaktionen
0
Punkte
6
Grundsätzlich ist ein System mit VPN sicherer als ohne. Ich bin auch bei Dir, was die Position angeht. Wenn aber die Lösung in der Fritz!Box eher Probleme bereitet und nicht zuverlässig arbeitet, bräuchte ich eine andere Lösung.

Entsprechend die Überlegung mit der DS220+ damit man nicht noch ein zusätzliches Gerät braucht.

Da brauche ich aber halt Unterstützung da ich nicht weiß, wie ich hier am besten vorgehe.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.772
Punkte für Reaktionen
3.743
Punkte
468
Lies mal hier und hier.
Ich würde vorschlagen, mal das Paket "VPN Server" auf der DS zu installieren, die UDP-Ports 1701, 500 und 4500 im Router auf die DS zu leiten und es mit Windows-Bordmitteln (also L2TP/IPSec) zu probieren. Eigene Erfahrungen habe ich nicht damit.

Edit:
@ottosykora war schneller. Aber jetzt hab ich's geschrieben, jetzt schick ich's auch ab :ROFLMAO:

Wichtig: Den VPN-Server auf der Fritzbox musst du dann aber abschalten, damit die benötigten Ports für eine Weiterleitung frei werden (s. Diagnose, Sicherheit)
1655803211481.png
 
Zuletzt bearbeitet:

mfr

Benutzer
Mitglied seit
12. Jun 2022
Beiträge
34
Punkte für Reaktionen
2
Punkte
8
Ich würde auf jeden Fall die FritzBox dazu nutzen, möglichst mit Wireguard. Wenn es eilig ist, die gebrandete Box durch eine freie ersetzen und die Laborversion von AVM nutzen. Ansonsten abwarten bis es auf deiner Box verfügbar ist.

Die DS käme für mich dafür nicht in Frage. Hat der VPN-Server eine Sicherheitslücke wäre ein Angreifer möglicherweise direkt auf der Kiste mit deinen Daten.
Das ist einfach ein unnötiges strukturelles Sicherheitsrisiko.

Wenn „nur“ eine Lücke in der FB ist, muss der Angreifer noch immer von deinem Netzwerk auf die Synology kommen. Je weniger Dienste diese dann bereitstellt desto schwerer ist es.

Just my 2 Cents. Kann man sicherlich anders bewerten.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
Die DS käme für mich dafür nicht in Frage. Hat der VPN-Server eine Sicherheitslücke wäre ein Angreifer möglicherweise direkt auf der Kiste mit deinen Daten.
Das ist einfach ein unnötiges strukturelles Sicherheitsrisiko.

na ja, diese Server gibt es seit mehr als 10 Jahren und werden milionen fach eingesetzt
ausserdem einen VPN Server im Netzwerk zu haben ist ziemlich normal, sicher eher normal als einen VPN Server in einem Router zu haben. Ja, in .de habt ihr eine FB, das ist aber etwas lokal patriotisches, das ist in anderen Ländern gar nicht so üblich und von den Providern gelieferte Router können so was nicht. Bei einem grösseren Netzwerk mit vielen Zugriffen würde der Router wohl rote Ohren kriegen.
 

mfr

Benutzer
Mitglied seit
12. Jun 2022
Beiträge
34
Punkte für Reaktionen
2
Punkte
8
na ja, diese Server gibt es seit mehr als 10 Jahren und werden milionen fach eingesetzt
? - VPN gibt es schon viel länger. Und die unterschiedliche Server-Software hatte in dieser Zeit - so wie jede andere Software auch - immer wieder mehr oder weniger gravierende Sicherheitslücken.


ausserdem einen VPN Server im Netzwerk zu haben ist ziemlich normal,
Ja. Irgendwo im Netzwerk. Aber nicht auf einem NAS.

sicher eher normal als einen VPN Server in einem Router zu haben.
Lieber dort als auf dem NAS. Klar, am besten getrennt… aber das stand hier bislang nicht zur Diskussion.

Ja, in .de habt ihr eine FB, das ist aber etwas lokal patriotisches,
Was bitte ist daran patriotisch? 🤔🤨

das ist in anderen Ländern gar nicht so üblich und von den Providern gelieferte Router können so was nicht. Bei einem grösseren Netzwerk mit vielen Zugriffen würde der Router wohl rote Ohren kriegen.
Ist hier aber ja nicht der Fall.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Bei einem grösseren Netzwerk mit vielen Zugriffen würde der Router wohl rote Ohren kriegen.
Ganz im Gegenteil: In größeren Netzwerken gibt es in der Regel eine vorgeschaltete DMZ. Der Zugang zum „privaten“ Bereich dahinter wird von einem (entsprechend leistungsfähigen) VPN-Server abgesichert. Dem wird auch nicht warm, wenn Dutzende Verbindungen gleichzeitig gehalten werden.

Im SoHo Bereich ist das FB-Angebot tatsächlich sehr gut verwendbar.
 
  • Like
Reaktionen: mfr

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.859
Punkte für Reaktionen
1.147
Punkte
288
Der Zugang zum „privaten“ Bereich dahinter wird von einem (entsprechend leistungsfähigen) VPN-Server abgesichert.
das meine ich auch, und so kenne ich es auch.

Nur bei kleinen Installationen haben wir früher eine FB hinter dem Provider Router gestellt, vorausgesetzt dieser war auch bereit die Ports durchzulassen.
Aber dafür muss man schon Glück haben mit dem Provider.
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
618
Punkte
134
Wenn schon VPN auf dem NAS, wäre es dann nicht sinnvoller das Ding in eine VM zu packen ?
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Wenn schon Virtualisierung , denn lieber Docker und direkt Wireguard. VM wäre übertrieben.
Ich bin aber für VPN auf den Router. Somit ist keine Portfreigabe nötig. Mit dem nächsten FritzOS gibt es Wireguard auch auf der Fritzbox.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat