Professionelle Meinung zu DynDNS Einstellungen erwünscht.

ebu

Hallo

Folgende Einstellungen funktionieren einwandfrei. Was ist davon zu halten?

Internet-Box-3 empfängt das Internet der Swisscom, dann mit statischer Route zum Synology Router RT2600ac. Der RT2600ac stellt das W-LAN und das LAN zur Verfügung. Das funktioniert einwandfrei.

An der IB3 ist der DynDNS Service der Swisscom eingerichtet. Der Port 123456 wird an den RT2600ac weitergeleitet. Dieser leitet den Port 123456 weiter an mein Syno-NAS. Der Standard-Port 5001 ist geändert, Firewall eingerichtet und auch andere vorhandene Sicherheitsaspekte aktiviert.

Mit obiger Einrichtung kann ich von Extern auf mein NAS zugreifen. Mehrfach ausprobiert. Es funktioniert einwandfrei.

Frage: Was ist aus professioneller Sicht von dieser Einrichtung zu halten?

Danke für eine - vielleicht ernüchternde - Antwort.

Gruss und schöne Pfingsten.

Werner

@ebu

Ich vermute mal es geht Dir hauptsächlich um die Beurteilung des Themas Sicherheit beim Zugriff aus dem Internet auf Dein Heimnetz.

Und ja, die viel sicherere Standardlösung funktioniert anders, nämlich mittels VPN (Virtual Private Network). Damit wird dann ein verschlüsselter Tunnel von einem vagabundierenden Client aus dem Internet zu Deinem Heimnetzwerk aufgebaut. Durch dieses Konstrukt wird dieser Client dann standortunabhängig Teil Deines Heimnetzwerkes, egal wo er sich physisch gerade befindet.

Da Du bereits einen RT2600ac benutzt, würde ich vorschlagen diesen auch als VPN-Server für Dein Heimnetz zu benutzen.

Von den zur Verfügung stehenden VPN-Varianten würde ich OPEN VPN Server empfehlen (ist performant und bringt am meisten Stabilität in die Verbindung)

Das Vorgehen wäre dann:

- DynDNS auf der IB3 unverändert beibehalten

- das Paket Open VPN Server auf dem RT2600ac aktivieren und konfigurieren

- auf dem RT2600ac das Konfigurationsfile x.ovpn exportieren und mit einem Editor manuell auf den DynDNS der IB3 anpassen

- auf der IB3 den im Konfigurationsfile gewählten Open VPN Port (Default UDP 1194) an Deinem Heimnetzrouter weiterleiten

- auf den Clients (Handys, Tablets, Notebooks) die App/Software Open VPN Connect installieren und manuell angepasstes.ovpn Konfigfile importieren

- die sowieso jetzt schon überflüssige statische Route auf der IB3 löschen (wäre nur dienlich, falls Du mit Clients direkt im Netz der Internetbox unterwegs wärst und dann in das hinter der NAT-Grenze stehende RT2600ac-Netz hineingreifen möchtest

Wenn Du dann aus dem Internet mit einem Client auf Dein Heimnetz zugreifen willst, startest Du dann jeweils zuerst Deine VPN-Verbindung, meldest Dich an und fühlst Dich sofort wie wenn Du zuhause am WLAN des RT2600ac angemeldest wärst.

Was Du noch berücksichtigen musst:

- je nach vorhandenem Vorwissen, musst Du Dich vielleicht noch ein wenig ins Thema Open VPN Server einlesen

- dein Synology-Router sollte in einer Routerkaskade mit eigenem IP-Bereich stehen, also z.B IB3 mit Stamm IP 192.168.1.1 und RT2600ac mit Stamm IP 192.168.13.1

- um den VPN-Zugriff zu testen, sollte Du nicht direkt im Heimnetz angemeldet sein (also am besten dann mal übers Mobilnetz testen), mit der Routerkaskade könnte es aber auch sogar ev. direkt im WLAN des RT2600 funktionieren

ebu

@Werner

Vielen Dank - Werner - für diese ausführliche Antwort.

Deine Annahme, den Blick auf das Thema Sicherheit zu legen ist richtig. Da hast Du für mich eine Hilfestellung formuliert, die seinesgleichen sucht. Herzlichen Dank dafür!

Ich werde mich noch ins Thema einlesen - insbesondere Open VPN. Der RT2600ac steht bereits einer Routerkaskade mit eigenem IP-Bereich.

Beste Grüsse.

Werner

@ebu

Open VPN ist nicht wirklich so kompliziert, wie es dann als Einsteiger im ersten Moment vielleicht aussieht, bietet dann aber im Betrieb wirklich sehr viele Vorteile:

- sehr sicher verschlüsselte Verbindungen

- Möglichkeit zur vollständigen virtuellen Einbindung von externen Clients in ein internes Netzwerk

- Optionen für teilweise oder vollständige Tunnelung des Traffics (tendenziell empfiehlt sich die vollständige Tunnelung, also auch die Umleitung aller Internetzugriffe des mobilen Clients über das Heimnetz)

- Möglichkeit zur Einbindung von eigenen DHCP- und DNS-Server

- Open VPN Connect App für die Mobiles inkl. Auto-Reconnect und Stromsparfunktionen (wichtig, falls man VPN auf den mobiles dauernd aktiviert hat)

- Umgehung von IP-Geo-Einschränkungen im Ausland durch Benutzung einer Heimnetz-IP (speziell für Swisscom-Funktionen: Live Swisscom TV, Benutzung CH-Flatrate-Festnetztelefonie standortunabhängig)

Einmal richtig eingerichtet funktioniert Open VPN problemlos und auch ziemlich wartungsfrei, zudem gibt es hier im Forum einige die den Open VPN Server auf ihren Synology NAS in Betrieb haben (für Dich ist aber der Betrieb direkt auf dem Router die bessere Option) und da auch noch bezüglich Synology-Spezifika über einiges an KnowHow verfügen.

Selbst habe ich Open VPN auf allen meinen Mobiles seit 2-3 Jahren dauernd aktiviert, bin also gar nie unverschlüsselt in fremden Netzen oder auch im Mobilnetz unterwegs. Da es in meiner eigenen Routerkaskade auch innerhalb des eigenen Heimnetzes funktioniert, schalte ich es nicht mal aus, wenn ich im eigenen WLAN unterwegs bin.

ebu

Vielen Dank für die weiterführenden Informationen.

In der Tat auf den ersten Blick etwas komplex, wobei ich mir schon zutraue, durch lesen und verstehen die Konfiguration vorzunehmen. Sicherheit geht soweit es machbar ist vor...

Gaungaseu94

Hallo @Werner

Ich habe seit kurzem einen Nas erhalten und spiele zurzeit etwas herum mit den Einstellungen.
Ich hatte zuerst am Swisscom IB den Port 5001 geöffnet, damit ich das meinesynology.me DDNS Zertifikat machen konnte und damit ich https auf die Diskstation komme und nicht mehr die Meldung erhalte, dass die Webseite gefährlich sei.

Nun wollte ich openvpn ausprobieren. Ich habe den Port 1194 am IB geöffnet, kann mich nun erfolgreich via openvpn meinen Netzwerkordner am PC anzeigen lassen.

Ich dachte, ich könnte nun den Port 5001 wieder schliessen beim IB (aus Sicherheitsgründen).

Problem: Wenn ich nun den openvpn einschalte, kann ich weiterhin meinen Netzwerkordner mounten auf dem PC, aber ich kann nicht mehr über den Browser auf meine Diskstation zugreifen über meine übliche Adresse meinesynology.synology.me:5001 (ich nehme an, weil ich den Port geschlossen habe).

Aber es sollte doch möglich sein, darauf zuzugreifen, da ich ja über vpn drin bin.

Weisst du da warum?

Danke für deine Hilfe!

Gruss

Werner

@Gaungaseu94

Dein DynDNS zeigt auf die öffentliche IPv4-Adresse der Internetbox und nicht auf die interne IP-Adresse der Syno.

Falls Du via VPN den kompletten Traffic getunnelt hast und der Syno eine fixe interne IP zugeteilt hast, probiere es mal mit "192.x.x.x:5001" für den Zugriff"

Den Zugriff direkt über die IP-Adresse kannst Du zuerst auch mal noch im internen Netz ausprobieren.

Falls Du häufig mit VPN unterwegs sein willst und Du eine Syno direkt an der Internetbox hängen hast, solltest Du übrigens Deine Interntbox auch nicht mehr im Swisscom-Standardnetz 192.168.1.0 betreiben, da Du sonst von anderen Swisscom-Anschlüssen aus nicht auf Deine internen IP- Adressen Deines Heimnetzes zugreifen kannst.

Gaungaseu94

Danke für die schnelle Antwort.

Also ich habe weiter rumgespielt. In der Synology DSM habe ich bei Openvpn die IP 10.x.x.1.

Nun konnte ich erfolgreich via vpn auf meine Diskstation zugreifen, indem ich in der Adresszeile die IP Adresse 10.x.x.1 eingegeben habe. Ich habe einen weiteren Port geöffnet (5stellig), damit ich auch das Synology Drive und Photos App benutzen kann ohne VPN zu benutzen.

Kannst du mir mitteilen, wie ich meiner NAS eine fixe IP Adresse zuordne über die Swisscom Router Webseite? Ist das für mein Setting nötig?

Ich komme zurzeit im gleichen Netzwerk über den die IP Adresse 192.xxx.x.xx8 auf die Diskstation.

Ich habe meine Nas direkt an der Internetbox angeschlossen, meine Internetbox hat die lokale IP Adresse 192.168.1.1 und ist ja gar nicht die gleiche wie meine NAS. Daher versteh ich nicht ganz, weshalb ich meine Internet box nicht über die Standardnetz (192.168.1.1.) betreiben soll, da ja meine Nas eine andere IP Adresse hat. Mache ich da etwas falsch?

Mein Setting:

NAS an der Internetbox angeschlossen.

1. Openvpn benutzen für Zugriff auf meinen Nas via Netzwerkfreigabe Ordner (SMB), wenn ich nicht zu Hause bin.

2. IPhone Apps benutzen mit Synology Drive App und Photos App - Openvpn da zu benutzen, find ich etwas mühsam. Jedes mal vorher VPN einzuschalten)

Ich konnte die 2 Punkte nun erfolgreich konfigurieren. Aber deine Aussage bezüglich Standardnetz hat mich etwas verunsichert.

Bezüglich Openvpn: wie kann ich überprüfen/ bzw was ich konfigurieren, dass der gesamte Traffic über mein Netz getunnelt wird?

Ich habe an der configfile noch folgende Option aktiviert: redirect-gateway def1

Sorry für mein Unwissen.

Werner

@POGO 1104

Falls Du Deinen Open VPN Server noch auf einer Syno betreibst, und auch Zeit für die Detailfragen von @Gaungaseu94 hast, bist Du eigentlich aktueller qualifiziert, denn meine eigenen VPN-Server sind schon länger nicht mehr auf einer Syno, sondern auf einer separaten Appliance.

POGO 1104

@Werner schrieb:

@POGO 1104

Falls Du Deinen Open VPN Server noch auf einer Syno betreibst, und auch Zeit für die Detailfragen von @Gaungaseu94 hast, bist Du eigentlich aktueller qualifiziert....

Der OpenVPN Server läuft zwar noch auf meiner DS, wird aber nicht mehr aktiv genutzt. Eigentlich nur noch als Backup, falls der VPN Server auf dem Raspi aussteigen sollte....