18
OpenVPN aufsetzen um sicheren Zugang zu Synology NAS zu erhalten
Erstmal ein Hallo an alle potenziellen Leser dieses Themas.
Ich möchte hier ein paar Fragen zu meinem Vorhaben stellen und hoffe auf hilfreiche Antworten bei meiner Umsetzung.
Es geht um folgendes:
Meine Eltern besitzen ein kleines Unternehmen mit zwei Standorten. Es müssen dabei immer wieder Firmendaten wie Verträge ausgetauscht oder auch Bilder und Videos gespeichert werden.
Mein Vater hat sich also einen Synology DS218+ zugelegt und bat mich um die Einrichtung. Aktuell ist dieser über den eingebauten oVPN-Server erreichbar, was auch meinen und seinen Vorstellungen entsprach und einwandfrei funktioniert.
Natürlich möchte ich das ganze so einfach wie möglich halten, jedoch trotzdem auch so sicher wie Möglich.Aktuell läuft der VPN Server noch direkt auf dem Synology, das werde ich in den nächsten Tagen auf einem alten PC ausprobieren, sodass dieser dann als Access-Server fungiert. Haltet ihr dass für sinvoll?
Ich habe auch etwas über SSLH gelesen oder reverse Proxys, was haltet ihr davon?
Vielleicht gibt es hier jemanden der eine Empfehlung abgeben kann wie man sowas einfach, aber dennoch sicher umsetzen kann.
Falls ich etwas unverständlich erklärt habe, bitte einfach nachfragen. Mein Tag war sehr lang und die letzten Wochen anstrengend.
Ansonsten hoffe ich nichts vergessen zu haben und Vielen Dank für hoffentlich folgende Antworten.
Ich möchte hier ein paar Fragen zu meinem Vorhaben stellen und hoffe auf hilfreiche Antworten bei meiner Umsetzung.
Es geht um folgendes:
Meine Eltern besitzen ein kleines Unternehmen mit zwei Standorten. Es müssen dabei immer wieder Firmendaten wie Verträge ausgetauscht oder auch Bilder und Videos gespeichert werden.
Mein Vater hat sich also einen Synology DS218+ zugelegt und bat mich um die Einrichtung. Aktuell ist dieser über den eingebauten oVPN-Server erreichbar, was auch meinen und seinen Vorstellungen entsprach und einwandfrei funktioniert.
Natürlich möchte ich das ganze so einfach wie möglich halten, jedoch trotzdem auch so sicher wie Möglich.Aktuell läuft der VPN Server noch direkt auf dem Synology, das werde ich in den nächsten Tagen auf einem alten PC ausprobieren, sodass dieser dann als Access-Server fungiert. Haltet ihr dass für sinvoll?
Ich habe auch etwas über SSLH gelesen oder reverse Proxys, was haltet ihr davon?
Vielleicht gibt es hier jemanden der eine Empfehlung abgeben kann wie man sowas einfach, aber dennoch sicher umsetzen kann.
Falls ich etwas unverständlich erklärt habe, bitte einfach nachfragen. Mein Tag war sehr lang und die letzten Wochen anstrengend.
Ansonsten hoffe ich nichts vergessen zu haben und Vielen Dank für hoffentlich folgende Antworten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 553774
Url: https://administrator.de/contentid/553774
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
die beiden Standorte haben ja einen Router oder Modem/Firewall, üblicherweise wird VPN hier schon terminiert und nicht erst hinter der Firewall.
Wenn Du IT-affin bist, könntest Du mit einer Site-2-Site VPN Verbindung arbeiten, die Du auf der FW einrichtest.
Welche Router oder Modem/Firewall setzt Du ein, habt Ihr feste IPs?
Gruss
die beiden Standorte haben ja einen Router oder Modem/Firewall, üblicherweise wird VPN hier schon terminiert und nicht erst hinter der Firewall.
Wenn Du IT-affin bist, könntest Du mit einer Site-2-Site VPN Verbindung arbeiten, die Du auf der FW einrichtest.
Welche Router oder Modem/Firewall setzt Du ein, habt Ihr feste IPs?
Gruss
1
Hallo,
solange die Synology Softwareseitig aktuell gehalten wird spricht nichts grundsätzlich dagegen open VPN darauf laufen zu lassen.
Wenn du es abschotten willst und den OPen VPN server auslagern möchtest würde ich aber keinen alten Rechner nehmen... nimm einen Raspberry und lass das darauf laufen. ...
Nicht mehr ganz aktuell, aber immer noch richtig:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
https://www.ionos.de/digitalguide/server/konfiguration/vpn-server-einric ...
brammer
solange die Synology Softwareseitig aktuell gehalten wird spricht nichts grundsätzlich dagegen open VPN darauf laufen zu lassen.
Wenn du es abschotten willst und den OPen VPN server auslagern möchtest würde ich aber keinen alten Rechner nehmen... nimm einen Raspberry und lass das darauf laufen. ...
Nicht mehr ganz aktuell, aber immer noch richtig:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
https://www.ionos.de/digitalguide/server/konfiguration/vpn-server-einric ...
brammer
1
Guten Morgen,
beide Standorte sind durch Fritzboxen verbunden. Es geht mir um eine weitere technische Absicherung, damit wirklich keine firmen internen Daten nach außen gelangen. Ich benutze den von Synology bereitgestellten DynDNS Service.
Den Satz mit der Firewall die den VPN terminiert verstehe ich nicht. Natürlich sind die Ports freigegeben im Router.
Bringt mir denn die Abschottung weitere Sicherheit? Falls jemand mein Username und Passwort knackt ist er ja dann auch mit dem VPN im Heimnetz.
Weitere Ideen um das ganze so sicher wie möglich zu machen?
Vielen Dank euch zwei für die Antworten!
beide Standorte sind durch Fritzboxen verbunden. Es geht mir um eine weitere technische Absicherung, damit wirklich keine firmen internen Daten nach außen gelangen. Ich benutze den von Synology bereitgestellten DynDNS Service.
Den Satz mit der Firewall die den VPN terminiert verstehe ich nicht. Natürlich sind die Ports freigegeben im Router.
Bringt mir denn die Abschottung weitere Sicherheit? Falls jemand mein Username und Passwort knackt ist er ja dann auch mit dem VPN im Heimnetz.
Weitere Ideen um das ganze so sicher wie möglich zu machen?
Vielen Dank euch zwei für die Antworten!
Hallo,
Dann ist es aber egal von wo aus er ins Netzwerk kommt....
brammer
Falls jemand mein Username und Passwort knackt ist er ja dann auch mit dem VPN im Heimnetz.
Dann ist es aber egal von wo aus er ins Netzwerk kommt....
brammer
1
Richtig.
Dann werde ich das wohl erstmal so beibehalten.
Kann ich mir nicht ein eigenes Subnetz erstellen und den VPN nur auf dieses verbinden lassen?
Gibt es eine Möglichkeit bzw. ist euch eine bekannt bei der sich oVPN Client automatisch bei WIN-Start mit dem vpn verbindet?
Dann werde ich das wohl erstmal so beibehalten.
Kann ich mir nicht ein eigenes Subnetz erstellen und den VPN nur auf dieses verbinden lassen?
Gibt es eine Möglichkeit bzw. ist euch eine bekannt bei der sich oVPN Client automatisch bei WIN-Start mit dem vpn verbindet?
Hier steht wie man es wasserdicht macht:
OpenVPN - Erreiche Netzwerk hinter Client nicht
bzw. grundlegend:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
OpenVPN - Erreiche Netzwerk hinter Client nicht
bzw. grundlegend:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Zitat von @WIN1JK:
Den Satz mit der Firewall die den VPN terminiert verstehe ich nicht. Natürlich sind die Ports freigegeben im Router.
Den Satz mit der Firewall die den VPN terminiert verstehe ich nicht. Natürlich sind die Ports freigegeben im Router.
Hier benutze ich den Haltestellen-Vergleich:
Das Ticket wird bevor Du in den Bus einsteigst kontrolliert versus das Ticket wird im Bus kontrolliert
Natürlich sind die Ports freigegeben im Router.
Wenn es denn auch die richtigen Ports sind (UDP 1194 bei OpenVPN) dann ist das auch der richtige Weg.Siehe dazu auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Generell muss man aber anmerken das die Lösungen mit einem internen VPN Server nie gut sind. Klar, denn man muss mit dem Port Forwarding immer ungeschützten Internet Traffic in sein an sonsten sicher abgeschottetes lokales Netzwerk leiten. Kein gutes Design und auch der Grund warum VPN Server immer besser in die Peripherie gehören auf Router oder Firewall !
Wer aber mit dem Sicherheitsrisiko leben kann kann es natürlich so umsetzen.
Hier benutze ich den Haltestellen-Vergleich:
Das Ticket wird bevor Du in den Bus einsteigst kontrolliert versus das Ticket wird im Bus kontrolliert
Du meinst also, dass durch eine zusätzliche Firewall die potenziellen Angreifer schon vor meinem Router bzw Synology gefiltert werden?
Im Prinzip, könnte ich auch einen Access-Server anlegen mit einem Pi und den die Arbeit erledigen lassen? Es geht ja nur drum zu filtern bevor die Anfragen zum Synology kommen, oder?
Das Ticket wird bevor Du in den Bus einsteigst kontrolliert versus das Ticket wird im Bus kontrolliert
Du meinst also, dass durch eine zusätzliche Firewall die potenziellen Angreifer schon vor meinem Router bzw Synology gefiltert werden?
Im Prinzip, könnte ich auch einen Access-Server anlegen mit einem Pi und den die Arbeit erledigen lassen? Es geht ja nur drum zu filtern bevor die Anfragen zum Synology kommen, oder?
schon vor meinem Router bzw Synology gefiltert werden?
Richtig !könnte ich auch einen Access-Server anlegen mit einem Pi und den die Arbeit erledigen lassen?
Ja, aber nur dann wenn der Pi in einer DMZ liegt die vom Restnetz getrennt ist. Ansonsten hättest du das gleiche Design wie mit der Synology und nix gewonnen ! Traffic müsste ja auch wieder ins interne Netz zum Pi, analog zur Synology.DMZ Designs kannst du hier z.B. sehen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit einer Firewall oder einem VPN Router bräuchte man aber eine DMZ gar nicht erst !
Das einfachste wäre du tauscht den jetzt bestehenden Router gegen einen anständingen VPN Router !
Das würde dein Problem ja ganz einfach und schnell lösen. Da Routerfreiheit besteht ist das ja kein Thema
Oder du betreibst eine Firewall oder VPN Router in einer simplen Kaskade:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ideal ist natürlich immer ein VPN Gateway was alle Onboad VPN Clients bedient auf allen möglichen Endgeräten so das du ohne zusätzliche Software Frickelei auskommst auf der Clientseite:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit so einer Firewall bist du VPN seitig universal und unabhängig, denn sie supportet alle gängigen VPN Protokolle. Ein 50 Euro Mikrotik Router kann das aber auch wenns nur ums Geld geht.
Es gibt viele (VPN) Wege nach Rom... Such dir den für dich Schönsten und vor allem Passendsten aus !
Ich benötige keine Verbindung über mobile Endgeräte.
Sehr viele Informationen, danke dafür, dauert aber bis ich das alles durchgelesen habe.
Mit DMZ meinst du ein abgekapseltes Subnetz nehm ich an?
Ich werde mich mal informieren über VPN-Router, ich denke eine Hardware-Firewall wäre zu teuer und würde das Budget sprengen, abgesehen von meinen nicht vorhandenen Kenntnissen in dem Bereich.
Das Problem bei den Routern könnte werden, dass in meinem Heimnetz, warum auch immer DHCP ausgeschaltet ist und ich wenn ich eine Internetverbindung haben möchte, eine feste IP-Adresse und einen DNS-Server einsetzen muss. Wäre das egal?
Danke dir für die Hilfe!
Sehr viele Informationen, danke dafür, dauert aber bis ich das alles durchgelesen habe.
Mit DMZ meinst du ein abgekapseltes Subnetz nehm ich an?
Ich werde mich mal informieren über VPN-Router, ich denke eine Hardware-Firewall wäre zu teuer und würde das Budget sprengen, abgesehen von meinen nicht vorhandenen Kenntnissen in dem Bereich.
Das Problem bei den Routern könnte werden, dass in meinem Heimnetz, warum auch immer DHCP ausgeschaltet ist und ich wenn ich eine Internetverbindung haben möchte, eine feste IP-Adresse und einen DNS-Server einsetzen muss. Wäre das egal?
Danke dir für die Hilfe!
Mit DMZ meinst du ein abgekapseltes Subnetz nehm ich an?
Richtig ! Siehe die geposteten Design Skizzen beim pfSense Tutorial. Ich werde mich mal informieren über VPN-Router
Das Preiswerteste ist ein Mikrotik:https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
oder ein OpenVPN Router von der Stange:
https://www.amazon.de/GL-iNet-GL-MT300N-V2-Repeater-Performance-Compatib ...
Besser dann aber in einen Performanteren investieren der auch Gigabit Interfaces hat !
https://www.varia-store.com/de/produkt/36790-mikrotik-routerboard-hex-mi ...
Es gibt aber noch diverse andere. FritzBox, TP-Link usw. Je nach VPN Protokoll was du verwenden willst.
Firewall:
https://www.varia-store.com/de/produkt/64473-pc-engines-apu4d2-bundle-bo ...
Jetzt stellt sich für mich die Frage:
Kaufe ich nun so eine VPN-Router und schließe den an meiner FritzBox an, sodass dieser sein eigenes Subnet erzeugt oder wie gehe ich damit am besten vor? Die Fritz!Box austauschen möchte ich ungern.
Danke für eure Hilfe.
Kaufe ich nun so eine VPN-Router und schließe den an meiner FritzBox an, sodass dieser sein eigenes Subnet erzeugt oder wie gehe ich damit am besten vor? Die Fritz!Box austauschen möchte ich ungern.
Danke für eure Hilfe.
Eine Kaskade wäre dann die einzige Möglichkeit, das ist richtig !
Im Prinzip also VPN Router an die FritzBox klemmen und ein eigenes Netz für diese definieren. Wie kann ich die VPN Verbindungen auf dieses Netz dann begrenzen?
Kann ich trotzdessen aus meinem Heimnetz ohne VPN zugreifen?
Kann ich trotzdessen aus meinem Heimnetz ohne VPN zugreifen?
Im Prinzip also VPN Router an die FritzBox klemmen und ein eigenes Netz für diese definieren
Ja, aber immer als Kaskade und das Koppelnetz ist ein Punkt zu Punkt Netz ohne Clients !Kann ich trotzdessen aus meinem Heimnetz ohne VPN zugreifen?
Ja ! Warum meinst du sollte es deiner Meinung nach nicht gehen ??1
Ich stehe leider auf dem Schlauch wie ich so eine Kaskade einrichte. Muss ich mich erstmal informieren, obwohl es aktuell wie es gerade klappt, glaube ich schon fast in Ordnung ist.
Ich stehe leider auf dem Schlauch wie ich so eine Kaskade einrichte. Muss ich mich erstmal informieren
Ganz einfach hintereinander zusammenstecken. Guckst du hier:Kopplung von 2 Routern am DSL Port
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Man achte auf die bunten Bilder !
1
