Hallo miteinander,
ich habe mich die letzten Tage etwas mit der Erhöhung der Security meiner Synology DS befasst mit dem Ziel, den fragwürdigen Quickconnect-Dienst abschalten zu können und nur noch via OpenVPN von extern auf die Diskstation zuzugreifen. Grundsätzlich klappt das ganz gut, jedoch sehe ich mich aktuell genötigt, neben dem OpenVPN Port 1194 noch die Ports 6690 und 5001 in den Portforwarding Regeln der IB3 freizugeben. Das ist mir ein Dorn im Auge und deshalb habe ich die letzten Tage gefühlt das ganze Internet gelesen bezüglich Themen wie Split-Tunneling, zusätzlichem DNS-Server im LAN, OpenVPN-Config-Optionen etc. Und wie so oft: irgendwann ist man “lost in complexity”, weshalb ich hoffe, hier allenfalls jemanden zu finden, der meinen Knoten lösen kann.
Zum Setup:
Internet Box 3
- Swisscom DynDNS: on auf xxx.internet-box.ch
- VPN: off
- Portforwarding: Ports 1194 (VPN), 5001 (DSM), 6690 ( Synology Drive)
Synology DS218+
- Quickconnect: off
- DDNS: on auf xxx.synology.me
- OpenVPN Server auf der Synology: on und Clients haben Zugriff auf Server-LAN
- Firewall: kann ignoriert werden, Verhalten ist unabhängig der Firewall-Einstellungen
OpenVPN Client Config
- remote xxx.internet-box.ch 1194
- redirect-gateway def1
- dhcp-option DNS 192.168.1.1
Zur Problemstellung, bzw. Anforderung:
Ich möchte mit meinen mobilen Geräten sowohl im lokalen Netzwerk (ohne VPN) wie auch von extern (natürlich dann mit OpenVPN) via Browser auf die DSM-Oberfläche der Diskstation und via die iOS App “Synology Drive” auf meine private Cloud zugreifen können.
Nehmen wir das Beispiel des Browserzugriffs, weil einfacher zu erläutern: Im lokalen Netzwerk funktioniert das problemlos über die DDNS-Adresse von Synology (xxx.synology.me) und ich mich auf der Diskstation einloggen. Von extern (wie gesagt: verbunden via OpenVPN-Server auf der Synology) funktioniert das NUR, wenn in der IB der Port 5001 direkt an die Synology weitergeleitet wird. Ist dies nicht der Fall, so gelingt der Zugriff nur, wenn ich die dynamische IP des OpenVPN Servers manuell in die Adressleiste des Browsers eintippe (bei mir: 10.8.0.1). Das ist in diesem Case unschön, im Case der iOS-App dann sogar ultra mühsam, da ich mich dort jeweils abmelden und (mit der Serveradresse 10.8.0.1) neu anmelden muss. Sprich, bei jedem Wechseln von lokal nach extern und umgekehrt funktioniert die App erst nach manuellem Eingriff wieder.
Mit meinem Netzwerk-Halbwissen liegt das Problem beim DNS des OpenVPN-Servers, der - wenn darüber verbunden - beim Lookup von xxx.synology.me rausgeht, eine IP erhält, diese ansteuert und dann an die Tür der Internetbox klopft mit dem jeweiligen Port (5001 oder 6690), dort aber sofort abgewiesen wird, wenn der Port nicht ohnehin explizit weitergeleitet wird. Das ist aber ja genau die Idee der Sache, denn sonst ist die Synology auf diesen Ports ins Internet exponiert und direkt angreifbar.
First World Problem, natürlich, aber vielleicht gibt’s ja hier einen Experten, der a) meine ungelenken Formulierungen versteht und b) mich des Rätsels Lösung näher bringen kann.
Merci im Voraus!
Hitchhiker42