WebVPN ohne Synology Router?

[ebusynsyn]

Hallo,

vor einiger Zeit (jetzt nicht mehr) hatte ich einen Router RT2600ac in Betrieb – installiert hinter meinen ISP-Router und daran die DS.

Das SRM (Betriebssystem des Routers) stellt einen VPN Typ zur Verfügung, der es ermöglichst via einer Domain (vpn.xxxxx.synology.me) von jedem Computer aus auf die DS zuzugreifen, ohne dass ein VPN-Client auf dem betreffenden PC vorhanden sein muss. Synology nennt dies WebVPN.

Aktuell nutze ich einen Raspi (am ISP-Router) mit installiertem WireGuard-VPN um von extern die DS zu erreichen. Das funktioniert sehr gut, bedingt aber, dass auf jedem Gerät der WG-VPN-Client installiert werden muss.

Frage: Kennt jemand eine Möglichkeit, ohne zusätzlichen Router bzw. ein Gerät, von jedem PC aus (via Browser) auf die DS zuzugreifen. Natürlich nur via einem VPN. Ich möchte die DS nicht generell von extern erreichbar machen?

Beste Grüsse

 

[ottosykora]

Kennt jemand eine Möglichkeit, ohne zusätzlichen Router bzw. ein Gerät, von jedem PC aus (via Browser) auf die DS zuzugreifen. Natürlich nur via einem VPN.

ich muss ehrlich sagen das mit dem WebVPN habe ich bis jetzt nicht gekannt, ist wohl eine Funktion des Syno Routers

Aber entweder hat dein sonstiger Router wie Fritz einen VPN Server drin, du verwendest einen sonstigen VPN Server in deinem Netzwerk auf einer Raspi oder so was, oder du verwendest den VPN Server welchen man auf jede Synology DS installieren kann im Paketzentrum.
Es wird hier zwar gelegentlich belehrt dass ein VPN Server nicht auf der gleichen Harware wie ein Fileserver laufen soll, ich halte dies für ziemliche Spitzfindigkeit.
Der VPN Server von Synology beherrscht PPTP (etwas veraltert aber funktioniert), L2TP/IPsec und OpenVPN.
L2TP/IPsec (und auch PPTP) sind zum Bsp in jedem Windoes Rechner eingebaut, da braucht man keine weitere Clients dazu.

Ich benutze für mein privates Netz seit 2012 den VPN Server auf eine Syno und alles ist bestens.


Will man es noch einfacher:
dann kann man Quickconnect verwenden, muss auf der DS nur konfiguriert werden und dann hat man eine ID und mit der hat man Zugriff auf DS von überall. Da eird auch noch ein extra Zertifikat von Quickconnect auf die DS installiert, also läuft dann alles schön normal verschlüsselt.
Bequem ist dabei auch, dass man die Quickconnect Adresse lokal und von extern genau gleich verwenden kann-

 

[ebusynsyn]

@ottosykora

Danke für Deine Inputs. An QuickConnect habe ich nicht gedacht. Das ist bei mir 'standardmässig' ausser Betrieb. Muss das mal prüfen. Soweit ich weiss, kann ich dann wie gewünscht von jedem PC/Browser mit der entsprechenden URL auf mein NAS gelangen. Könnte allenfalls QC parallel zum Raspi mit WG-VPN nutzen.

Dieses WebVPN gibt es tatsächlich nur auf den Synology-Routern. Rückblickend betrachtet eigentlich noch eine feine Sache. Habe aber keine Lust mir wieder so Gerät anzuschaffen und in Betrieb zu nehmen. Das Szenario, dass ich von einem x-belieben PC auf die DS kommen muss, kommt selten vor.

 

[ottosykora]

kann ich dann wie gewünscht von jedem PC/Browser mit der entsprechenden URL auf mein NAS gelangen

so ist es. Und man braucht sich dabei nicht um Port Weiterleitung oder so was kümmern. Und auch intern wird die Verbindung zu einer internen umgewandelt, man barucht nichts zu tun. Und wenn man QC hat, kann man die ID einfach als Ziel zum Bsp in Drive Cleint oder die Synology mobile Apps eingeben, danach wird die Verbidung automatisch erstellt.

 

[patrickn]

Vielleicht wäre ja auch Tailscale was für dich

 

[goetz]

Hallo,
Tailscale benötigt aber immer Clientsoftware auf jedem Gerät.

Gruß Götz

 

[ebusynsyn]

Hallo

@patrickn TailScale hatte ich vor längerer Zeit auch mal getestet. Funktioniert sehr gut, benötigt aber wie @goetz richtigerweise schreibt, einen client auf jedem Gerät. Was aktuelle VPN Möglichkeiten betrifft habe ich so jede mal durchgetestet. Die einen so die andern so. Aber eigentlich immer gut. Seit ein paar Monaten nutze ich wie erwähnt WG auf einen Raspi. Funktioniert sehr gut und schaltet sich automatisch ein, wenn ich mit dem Gerät extern bin.

Der Tipp von @ottosykora mal QuickConnect zu versuchen, scheint mir aktuell eine gute Lösung zu sein. Zumal ich dadurch via jedem Browser auf die DS komme und kein separates Gerät (Synology Router) benötige, den ich nicht (mehr) besitze.

Ich danke für die Tipps und Hinweise und grüsse Euch

 

[Ronny1978]

Hast du deinen Synology Router ersatzlos gestrichen. Ich muss aber auch sagen, dass mir der Aufwand mit der Installation auf dem Client schon wert wäre. Ggf. haben Browser mehr Sicherheitslücken wie VPN Server Instanzen oder VPN Client Software. Und man richtet die ja noch einmal ein.

Wenn ich es ein wenig raushören..."...selten..." und evtl. nur bei deinem Gerät. Somit sollte doch der Aufwand recht gering sein, oder? Nur noch einmal als weiteren Betrachtungswinkel ;-)

 

[ebusynsyn]

Danke dafür @Ronny1978

Ja, ersatzlos gestrichen. Nutze nur noch den ISP-Router, daran der Raspi mit Wireguard-VPN um von unterwegs auf die DS zu kommen. Es gibt manchmal die Situation von einem Gerät ohne WG-VPN-Client auf meine DS zu kommen.

Tatsächlich wäre der Aufwand, einen Synology Router wieder in Betrieb zu nehmen gering und technisch keine grosse Sache. Müsste halt eben wieder so ein Gerät (gebraucht?) kaufen. Den RT2600ac gibt es auf den einschlägigen Portalen schon um die 50 bis 70 Euro.

Aus dem Blickwinkel der Sicherheit möglicherweise sogar noch besser - im Sinne der Sicherheit - als QuickConnect, da das SRM der Synology Router die eine oder andere Einstellung anbietet, die der Sicherheit zuträglich sind.

 

[metalworker]

also web VPN ist Bequem , hat aber von der Sicherheit einige nachteile . Gerade wenn sie ohne 2FA betrieben wird.

Was für dienste willst denn da freigen für das Gerät ohne WG ?

 

[ebusynsyn]

Was für dienste willst denn da freigen für das Gerät ohne WG ?

Ausschliesslich auf Synology Drive damit ich auf meine PDF-Sammlung zugreifen und gegebenenfalls Office Dokumente bearbeiten kann.

 

[Ronny1978]

Dann würde für mich Quickconnect ausreichen.

 

[metalworker]

ja da würde ich auch QC sagen

 

[ebusynsyn]

... da bin ich ganz bei Euch @metalworker @Ronny1978 ... habe das auch so eingerichtet ... ausprobiert und scheint ganz gut zu klappen.