Webzugriff auf Internet-Box sperren (Synology VPN-Server)

L4stJudgment

Hallo liebe Community

Habe meinen bei mir auf dem Synology-NAS den VPN Server konfiguriert und auf der Internetbox die entsprechenden Ports weitergeleitet. Funktioniert auch alles wunderbar.

Jetzt gibt es aber eine kleine Unschönheit. Und zwar ist über den Tunnel jetzt auch der Zugriff auf das WebUI der Internetbox möglich. Ja es ist extrem unwahrscheinlich dass ein fremder Mutwilig sich in den VPN-Tunnel einschleusen kann dann auf das WebUI des Routers zugreift und dort noch das Passwort rausfindet und kA was dann anstellt. Aber es geht mir ums Prinzip😃

Die eigentliche Frage:
Kann ich mit bestehender Hardware (Internetbox und Synology DS214) den Zugriff auf das WebUI der Internetbox sperren, so dass ich aber weiterhin auf das DSM der Synology von aussen zugreiffen kann?

Danke

Edit:
L2TP/IPsec wird als VPN verwendet.

Tux0ne

Du solltest das mittels Firewall Regel auf der Synology unterbinden können.

Erstelle auf dem LAN eine Regel welchem dem Subnet des VPN die Verbindung über http und https auf die IP der Internet-Box verbietet.

L4stJudgment

Hallo TuxOne

Danke für die (wie immer:smileyvery-happy🙂 schnelle Antwort.
Verstehe das Prinzip was gemacht werden soll aber hab so meine Mühe mit der Eingabe im DSM.
Habe mal ein Screen-Shot gemacht, wenn ich die Einstellungen so übernehme dann funktioniert leider gar nichts mehr. Wie muss ich die Einstellungen genau eingeben?

Tux0ne

Du hast jetzt bei Ports alle angewählt. Du kannst dort benutzerdefiniert 80 und 443 wählen oder bei den Diensten Webservices http und https. Indem du alles sperrst, hast du natürlich keine DNS Auflösung mehr usw.

Das musst du mal versuchen. Wie genau müsste ich auch mal pröbeln.

Eventuell gehts so auch gar nicht, da wir damit den http Traffic auf das Gateway sperren. Theoretisch dürfte das keinen Effekt auf den Http Traffic mit anderen Zielen haben, aber eben...

Tux0ne

Habe zu Hause nachgeschaut. Die WUI Firewall taugt dazu nicht, da man kein spezielles Ziel angeben kann.

Allenfalls könnte man iptables direkt konfigurieren.

Würde ipfire verwenden. Da geht so was direkt im Webinterface. In dem Fall würde man das VPN auf der Firewall terminieren womit dieses ein eigenes Netz ist. Die Diskstation könnte oder würde man in eine DMZ stellen. Von und zu mit was und wie zu welcher Zeit und wie oft usw. Das ist eine Firewall 🙂

L4stJudgment

Super 🙂 Danke fürs nachschauen. Schade das es mit der Firewall der DS nicht geht.
IP-Fire hätte ich schon immer mal ausprobieren wollen aber hab bisher die Finger davon gelassen wegen SC-TV und Konfiguration, bin nicht so der "Hirsch" was tiefere IT-Konfigurationen angeht. Aber glaube nun ist es mal soweit sich die Hände schmutzig zu machen.

Was für eine Hardware würdest du mir empfehlen um IP-Fire zu verwenden?

L4stJudgment

Noch eine Frage. Würde IP-Fire mit SC-TV auf mehreren TV-Boxen funktionieren oder würde die FW Probleme haben wenn mehrere Multicast Streams im Netzwerk rumgeistern? Wenn dem so wäre würde das ganze ins Wasser fallen.

Habe jetzt mal noch dem Synology-Support geschrieben ob sie eine Lösung haben den Tunnel bis zur DS zu erlauben und dann den Sack zu machen. Mal abwarten...

L4stJudgment

So, habe nun nach ein paar Mails hin und her Antwort von Synology erhalten. Die Supporter dort haben mir vorgeschlagen einfach die IP-Sperre zu verwenden. Blöd nur wenn die Clients welche über das VPN rein kommen dynamische IP's haben... und vorallem hätten diese dann weiter Zugriff auf das ganze LAN, was ich ja nicht möchte.
Also bestätigt sich das was TuxOne mir bereits gesagt hatte, auch der Support hat dafür keine Lösung.

Zum Thema Alix & FW:
Habe Kurz eine Zeichnung gemacht wie das Setup wohl aussehen sollte. Korrigiert mich bitte wenn ich dabei falsch liege. Was ich noch nicht ganz begriffen habe ist wie ich die FW dann konfigurieren soll, also VPN Ports öffnen ist soweit klar, aber wie müsste ich die FW dann konfigurieren dass VPN-Clients NUR auf die DS kommen und nicht in das LAN.

Tux0ne

Mit ipfire ist vieles möglich.

Dabei ist es noch eine einfache Firewall.

Hier ein Beispiel welches jetzt nicht zu deiner Skizze passt. Bei deiner Skizze könnte man dem VPN zB. den Zugriff auf das LAN (Grün) ganz entziehen bez. nicht aktivieren, und den Zugriff nur auf das Internet und der DS welche in einer DMZ (Orange) stehen könnte gewähren.

Das VPN würde man natürlich eher auf der ipfire selber terminieren.

2015-03-13 22_45_37-IPFire - Firewallregeln.png

Anonymous1

Ich würde lieber darauf vertrauen das du eher einen sechser im Lotto kiegst bevor jemand deine VPN UND deine IB knackt 😜

L4stJudgment

Es geht mir eigentlich weniger um den Router. Habe einen blöden Titel gewählt und die Frage etwas falsch formuliert. Der Router kann von mir aus Untergehen im worst case Szenario.
Geht mir eigentlich mehr um die Teilnehmer im LAN dass diese geschützt sind.

Mein Probelm ist, dass wenn die VPN-Clients (Freunde & Familie) angegriffen werden der Angreiffer dann natürlich auch Zugriff auf mein LAN hat was natürlich nicht so toll ist. Wollte deshalb eigentlich das VPN nur bis zur DS führen und dem Router oder DS eben sagen das VPN nicht aufs restliche LAN anzuwenden.

Ja ich weiss ein VPN ist eigentlich genau dafür gedacht für sight-to-sight verbindungen um zweites LAN aus der Ferne erreichbar zu machen. Aber dieses Feauture möchte ich eben kastrieren und nur die DS erreichbar machen und deren Services brauchen.

Nun kommt es drauf an wie viel Aufwand und Geld dies verschlingen würde. Nutze eig das NAS als Ablage für Dateien, Printserver mit Scan-Ablage und Backupdestination mittel Acronis.

VPN wäre ja hier eigentlich die sicherere Variante da ich die DS dann auch nicht "offen" mit einer DDNS ins Netz stellen muss sondern nur über VPN erreichbar mache. Blöd nur wenn jetzt ein Client angegriffen wird dann hat der Angreifer einen direkten Tunnel zu mir...

Was schlagt ihr mir vor?😞

Tux0ne

Ich schlage dir ipfire vor 😄

Kann ja sein das man mehrere gleichzeitige VPN Verbindungen erstellen möchte - ipfire, kein Problem.

Kann sein das man 2 oder mehrere Standorte direkt miteinander verbinden möchte. - ipfire, kein Problem.

Es geht darum jedem VPN Benutzer sein individuelles Konto einzurichten. - ipfire, kein Problem

Kann sein das man jedem VPN Benutzer genau sagen möchte auf was er im Netzwerk Zugriff hat und auf was nicht. Richtig, ipfire kein Problem.

Das sind ja nicht mal abgefahrene Features, das sind nur einfache Basics.

Mal schauen was dann die Internet Box können wird, hehe

L4stJudgment

Warum habe ich das Gefühl dass du mir ein APU-Board von PC Engines andrehen willst?😃

Naja, wie bereits erwähnt habe ich mir das schon letztes Jahr lange überlegt. Nun scheints wohl doch so ein kleines "Chästli" zu geben.

Könnte ich bei der Konfiguration allenfalls auf dich zurückkommen wenn ich nicht weiter komme, über PN oder deine TuxOne-Page?

Und was würdest du mir empfehlen als Kauf?
Ziel ist eben die kleine Wunderbox dann als vernünftige FW und VPN Server zu brauchen. Oder VPN über die DS laufen lassen und die Wunderbox als "Verkehrsüberwacher" einzuseten.

- apu1d
- case1d2redu
- ac12veur2
- msata16d

fehlt was oder würdest du was ändern?

Tux0ne

Glattbrugg ist nicht weit von mir, aber ich habe nichts davon wenn du dir ein APU Board besorgst 😉

Das Board hat ein gutes Preis/Leistungsverhältnis.

Selber setze ich einen Atom PC ein. Damit muss ich bisher keine Kompromisse bezüglich der Leistung eingehen. Natürlich ist der Verbrauch wiederum höher.

Bei deiner Zusammenstellung ist alles i.O. Nur würde ich die SSD von einem Markenhersteller aus einem anderen Shop besorgen, zB. Kingston.

Du kannst dich melden. Vermutlich werde ich nicht immer sofort antworten. Muss ich auch nicht. Meist lösen sich die Probleme von selber, indem man 2mal liest oder so.

L4stJudgment

Habe mir jetzt ein APU-Board von PC-Engines bestellt.
Werde den Thread hier als gelöst markieren.

Danke für deine Hilfe Tux-One, werde mich jetzt mal in die Materie einlesen. Kann ich bei Fragen bzgl. dem ganzen Konzept dich auf deiner [at]tuxone Adresse kontaktieren? Bringt ja nicht sonderlich viel wenn das Grundkonzept nicht passt und ich mühsam Versuche das dann aufzubauen 😉

Das Einrichten sollte ich hoffentlich alleine schaffen... hoffe habe mir nicht zuviel vorgenommen😃

L4stJudgment

Noch eine Frage😉

Wäre es möglich auf iPfire, einen L2tp/iPsec VPN-Server zu betreiben um Client-to-Site zu verbinden? Laut meinen Recherchen bisher ist nur eine Site-to-Site Verbindung mit L2tp/iPsec möglich.

Mit OpenVPN (Roadwarrior) wäre eine Client-to-Site soweit möglich. OpenVPN finde ich als technische Lösung an sich ok. Jedoch gibt es ein "Problem".
Ich möchte eine möglichst komfortable Lösung für meine Client-User. D.h VPN einmal konfigurieren und gut ist ohne sich jedesmal neu einloggen zu müssen.

Bei L2tp/iPsec, wäre das ja kein Problem, den PSK bei Windows eigeben und VPN Verbindung dann erstellen wenn man möchte und wieder Trennen wenn man diese nicht braucht.
Bei OpenVPN kann man soviel ich weiss diese maximal in eine txt-Datei als Reintext speichern und per Skript diese dann automatisch im Login-Fenster eintragen lassen, nicht so toll...

Meine Wunschlösung wäre folgende:

- L2tp/iPSec VPN Server welcher Client-to-Site zuläst

- den VPN soweit einschränken dass nur der Server erreicht werden kann jedoch nicht die restliche Site (LAN)

EDIT:
Mir ist grad noch in den Sinn gekommen, dass OpenVPN für Android ohne Root ja gar nicht machbar ist. Also fällt OpenVPN ins Wasser. Muss also zwingend L2tp/iPsec sein.

Tux0ne

L2TP/IPSEC: Es lässt sich auch ein Host to Net einrichten.

Ich empfehle die aktuelleren Englischen Wikis zu benutzen: http://wiki.ipfire.org/en/configuration/services/ipsec

OpenVPN auf Android erfordert kein root.

Ob das Passwort gespeichert wird oder nicht lässt sich im Client definieren.

http://www.tuxone.ch/2012/07/ipfire-openvpn-for-android.html

oder offiziel https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=de

L4stJudgment

Ups, seit Android 4.0?... Hänge wohl etwas hinterher.

Okay, somit wäre ja OpenVPN wieder im Rennen und wäre ja die bessere Lösung da auch kein NAT Problem bestehen würde falls man sich mal in einem Hotel oder Flughafen befindet und die einem das Leben schwer machen wollen. OpenVPN hat das NAT Problem nicht oder liege ich da falsch?

Langsam kann ich mir ein Bild vor Augen führen wie das ganze aufgebaut und konfiguriert werden soll, habe ja noch Zeit mich einzulesen bis die Jungs von PC Engines mir das hübsche Board liefern.

Habe noch eine Grafik hochgeladen wie ich mir da die Zonen vorstellen würde. Wäre froh um Feedback bezüglich der Zonen-Einteilung.

Tux0ne

Ja das NAT Problem existiert mit openvpn nicht wirklich. Nicht nur das, in einem restriktiven Netzwerk kann es sein das der Traffic sogar nur über gewisse Ports durchgelassen wird. Man kann openvpn zB. über Port 443 laufen lassen. Spätestens das funktioniert zu 99.9% überall.

NAT das ist was für die Flenner die in 1 2 Wochen nach dem Update für die Internet-Box das Forum hier besuchen 😉

https://support.microsoft.com/de-de/kb/926179

Die Zonenaufteilung ist sicher mal ein Anfang. Mit dem VPN hast du noch eine weitere Zone. Du kannst auch versuchen die TV Boxen hinter ipfire zu betreiben. Auch das funktioniert. Natürlich muss man das aber ein wenig konfigurieren. Der Aufwand hält sich in Grenzen.

-Eventuell kommst du auf den Geschmack und entdeckst immer wieder "neue" Sachen. Weisst du wie das Internet ohne Werbung und Youtube ohne Werbeclips aussieht. --> mit ipfire ist das möglich. Filterung direkt auf der Firewall für alle Endgeräte 😉

-Gehen wir mal davon aus man hat die SIP Zugangsdaten nicht ausgelesen. OK. Stell dir vor du kannst die kommende Internet-Box App mit welcher man im eigenen WLAN telefonieren kann auch ausserhalb der eigenen 4 Wände brauchen. --> mit ipfire im Verbund zur ib und VPN kein Problem.

L4stJudgment

Ja das mit dem Registry-Eintrag hatte mich auch zu Beginn Zeit und Nerven gekostet. Hatte es dann rausgefunden. Mühsam auf jedem Client den Registry-Eintrag anpassen zu müssen nur weil der VPN Server sich hinter einem NAT Router befindet...

SC-TV möchte ich vorerst noch in der red-Zone belassen und die IBox das machen lassen. Je weniger Zeit ich aufwenden muss desto besser (bin Student:smileywink🙂. Und weiter müssen sich dann meine Eltern nicht aufregen wenn die plötzlich kein TV mehr haben oder ständig Unterbrüche.

Das mit der IP Telefonie über WLAN hört sich genial an. Im Ausland über Festnetz telefonieren? Sehr geil 🙂

Ja das Internet ist auf meinem PC soweit Werbefrei löse das über Plug-Ins / Apps. Klar die elegante Variante wäre es besagten Paketen gleich die Tür zu schliessen, hab leider aber keine Zeit mich in diese Materie einzulesen. Nach dem Studium und in der eigenen Wohnung kann ich mich dann mit solchen Sachen austoben, aber vorerst reicht es mir wenn ich einen VPN-Tunnel hinbekomme und den VPN-Clients den Zugriff auf das LAN (ausser Synology DS) verweigert wird und SC-TV weiterhin läuft. Bin ja schon froh dass die IBox zur SCTV-Box über 5Ghz streamen kann (obwohl noch nicht offiziel freigegeben), möchte an dem jetzt nicht weiter basteln. Auch wenn die Finger kribbeln😂

Page suivante »