Ob das bewusste Backup- oder Sync-Programm über das Syno-eigene VPN funktioniert
weiß ich nicht. Ich habe weder dieses Programm jemals genutzt, noch das VPN der DS. Deshalb
kann und will ich dazu auch keine Aussage treffen. Ich will es auch nicht austesten. (Andererseits gehe ich davon aus, dass es funktionieren würde. So viel Vertrauen habe ich schon in ein kommerzielles Produkt. Ich habe ja auch nicht ohne Grund in meinem Punkt 3 etwas zum "selber austesten" geschrieben.)
edit: Danke an Hüseyin für Test und Berihterstattung!
Getrennter VPN-Endpunkt:
In Bereichen, in denen es um wirklich schützenswerte oder geheim zu haltende Informationen geht, wird immer zwischen dem "roten" Netz (dem mit den zu schützenden oder geheim zu haltenden Informationen) und dem "schwarzen" Netz (Internet, "offenes" Netz) ein gesondertes "dediziertes" Kryptogateway geschaltet. (SINA-Box, Genugate uvam.) Das bedeutet, dass sämtliche Verbindungen aus dem "roten" Netz immer und ausnahmslos über dieses Gateway laufen, bis sie dann wieder an ein geeignetes Gateway treffen, welcher die Verbindung annimmt, entschlüsseln kann und an ein ebenfalls "rotes" Netz übergibt.
Mir ist aus den genannten Bereichen kein Gerät bekannt, welches einen "Mischbetrieb" aus beispielsweise Fileserver und eben Kryptogateway durchführt. Je mehr Dienste auf einem und dem selben Gerät laufen, umso größer ist die Angreifbarkeit dieses Gerätes. (Ausnahmen sind natürlich VPN-Endpunkte auf Clients.)
An diese Gateways werden sehr hohe Anforderungen hinsichtlich Betriebssystem, aber auch Abstrahlsicherheit und Verhinderung des "Übersprechens" zwischen den beiden Netzen gestellt.
Das sind vereinfacht gesagt
meine Gründe, warum ich
(nach Möglichkeit und unter Beachtung von Sicherheitsanforderungen, Preis usw.) ein gesondertes VPN-Gate
empfehle. Bei unseren kleinen privaten "Geheimnissen" ist das in der Regel ein dafür geeigneter Router (Fritz!Box) oder auch - ein sehr reizvolles Projekt! - ein RasPi mit Minimalbetriebssystem und openVPN oder auch IPsec-VPN (strongSwan).
Mir ist klar, dass meine persönliche und durch langjährige Tätigkeit in derartigen Bereichen geprägte Meinung keinesfalls von allen geteilt wird. Ich mache es auf jeden Fall so.
- Darf ich denn jetzt Port 22 auf dem Router schließen?
Klar doch, wenn du ssh sonst nicht mehr benötigst. Testen ... Du benötigst die Verschlüsselungsoption des Programms ja nicht mehr.
- Sollte ich lieber nicht den VPN-Client vom DS verwenden? Ich habe es ja testweise so eingerichtet.
Selbstverständlich kannst du, da es ja nachgewiesenermaßen funktioniert, dieses VPN nutzen. Es ist IMHO sicherer, ein kommerzielles Produkt ohne "darum herumzufummeln" zu benutzen, als Manipulationen vorzunehmen, bei denen du nicht 100%ig weißt, was du tust bzw, welche Nebenwirkungen das hat.
- Ist die Methode L2TP/IPsec gut genug, oder lieber OpenVPN oder PPTP?
Auch hier gilt die vorherige Antwort. Die geforderte Sicherheit hängt auch immer von den zu übertragenden Daten ab. Bei unseren privaten "Pillepalle-Geheimnissen" verlangt niemand von dir, dass du überhaupt verschlüsselst. Bei höher eingestuften Daten schon ... . Ich gehe davon aus, dass der Hersteller unserer Geräte schon ein gesundes Mittelmaß gefunden hat.
OK?
MfG Peter
