ComputerBase Menü
Aktuelles

Firewall/Router für VPN gesucht

S

Sbibi

Lt. Junior Grade
Registriert
Juli 2010
Beiträge
493
Hallo zusammen,

ich spiele mit dem Gedanken, mir einen neuen Router bzw. eine Firewall anzuschaffen.
Bisheriger Router: FritzBox 7362 SL (von altem 1und1-Vertrag).

Warum ein neues Gerät?
Ich habe kürzlich eine QNAP TS251 in Betrieb genommen und über OpenVPN, DynDNS und eine eigene Domäne mein Handy via OpenVPN Connect-App ins Heimnetzwerk gebracht.

Konkret: Subdomäne erhält von der FritzBox-DynDNS-Funktion die aktuelle IP des ext. Interfaces.
Auf der Fritzbox habe ich drei Portweiterleitungen
  1. OpenVPN-Server (Port geändert)
  2. Web-Oberfläche der QNAP (für Zugriff auf die FileStation) (Port geändert)
  3. TeamSpeak3-Server
die auf die QNAP zeigen.

Nun habe ich diesen Artikel gefunden und gelesen und bin der Meinung, dass der gute Mensch nicht Unrecht hat.
TL;DR:

"Kann ich mein NAS ins Internet öffnen und Daten / Dienste freigeben?
Ja.
Das ist schon mal eine gute Nachricht, aber auch die einzige. Ab hier wird es Euch nicht mehr gefallen.
Kann kann ich dies alleine mit Bordmitteln?
Nein.
Wieso nicht? Der Hersteller bietet dies doch an.
Ist nicht sicher."
Wieso VPN direkt auf das NAS nicht sicher ist
Wird die VPN-Verbindung nicht auf die Firewall oder Router aufgebaut sondern direkt auf das NAS, steht das NAS wieder direkt im Internet und bildet die erste Front. Somit bekommt das NAS die volle „Kloppe“ ab. Ein NAS ist, wie oben schon geschrieben, dafür einfach nicht gerüstet und kann auch nicht dafür nachgerüstet werden.



Was ist mein Ziel?
Ich will:
  1. Handy per VPN ins Heimnetzwerk bringen
    + Da ich dort einen RaspberryPi mit PiHole als eigenen DNS-Server betreibe und den Werbefilter auch auf dem Handy möchte.
  2. VPN-Durchsatz: bestmöglich die 100/40er Leitung ausnutzen
    + Es ist eine 100/40er Leitung der Telekom vorhanden. Theoretisch könnte ich auch 200/40 oder so buchen, da ich wohl noch nah genug am KVZ/DSLAM wohne. Der VPN-Durchsatz sollte also bestenfalls eher Richtung 100Mbit/sek, denn Richtung 10 gehen.
  3. VLANs
    + Da ich in einer WG wohne (zwei Parteien), wäre es schön, wenn ich VLANs bilden könnte, wobei das mehr Spielerei als notwendig ist.
  4. Wake-on-LAN via VPN
    + OpenVPN - so wie ich es bisher konfiguriert habe - ist ja Layer 3. Zumindest kann ich meinen Receiver nicht per Wake-on-LAN-Befehl der App starten. Das zu können, wäre auch schön (und damit muss ich mich ja von OpenVPN verabschieden?).

Die nächste Frage ist:
(Wie) kann ich Daten/Bilder für andere verfügbar machen, ohne jedesmal eine VPN-Client-Software bei denjenigen installieren zu müssen? Gibt es eine bessere Option, als die "normale", wie ich es bisher mache? Oder führt in dem Fall kein Weg daran vorbei, einen Port in der Firewall zu öffnen und auf ein möglichst starkes Passwort zu vertrauen?

Weiterer Hintergrund:
  • Die Passwörter der User sind verhältnismäßig stark (10+ Zeichen, Sonderzeichen, Zahlen, Groß-,Kleinschreibung)
  • Der Admin-User der QNAP ist deaktiviert und die Rolle an einen anderen Account übertragen, nachdem es ganze neun Monate gedauert hat, bis eine fremde (externe) IP versucht hat, sich mit dem Admin anzumelden.
  • Den QNAP Security Counselor habe ich auf der höchsten Stufe durchlaufen lassen und (so gut es geht) alles umgesetzt.

Ich gebe mal bewusst kein Budget an, da ich grundsätzlich wissen möchte, was eine vernünfite Lösung kostet, die das kann, was ich mir wünsche.

Vielen Dank für Vorschläge,
Sbibi93
 
Schau mal bei Draytek. Die laufen super stabil.

Bei Synology kannst Du eine PhotoStation, die man als Paket direkt auf der Synology selbst installieren kann. Vielleicht bietet QNap sowas auch?
 
  • Gefällt mir
Reaktionen: Sbibi
Nun habe ich diesen Artikel gefunden und gelesen und bin der Meinung, dass der gute Mensch nicht Unrecht hat.
Zum Vergrößern anklicken....
Aber auch nicht wirklich Recht. Es spielt letztendlich keine Rolle ob der VPN Dienst auf der NAS oder dem Router läuft. Nutzt jedem eine Sicherheitslücke in diesem Dienst aus ist er potentiell im Netz. Du kannst das Kontrukt also ruhig so weiter fahren, solltest dir nur überlegen ob die Freigaben neben der des OpenVPN Servers nötig sind. Die Weboberfläche zur Fotostation wäre ja auch übers VPN erreichbar.
 
  • Gefällt mir
Reaktionen: Sbibi
Sbibi schrieb:
Auf der Fritzbox habe ich drei Portweiterleitungen
  1. OpenVPN-Server (Port geändert)
  2. Web-Oberfläche der QNAP (für Zugriff auf die FileStation) (Port geändert)
  3. TeamSpeak3-Server
die auf die QNAP zeigen.
Zum Vergrößern anklicken....
Du kannst den Port ändern bis du schwarz wirst. Wenn jemand danach sucht, hat er den Port binnnen einer Minute gefunden und ist drin. GUIs von x-beliebigen Geräten, die für das lokale Netzwerk gebaut wurden, gehören nicht ins www, niemals. Wenn du sogar schon ein VPN laufen hast, ist das auch mächtig bescheuert (Feststellung, keine Beleidigung), weil man die GUI dann ja auch via VPN aufrufen kann.

Sbibi schrieb:
Der VPN-Durchsatz sollte also bestenfalls eher Richtung 100Mbit/sek, denn Richtung 10 gehen.
Zum Vergrößern anklicken....
Wenn du nur 40 Mbit/s Upload hast, wirst du auch nur mit 40 Mbit/s abzüglich des VPN-Overheads von extern von deinem NAS runterladen können.

Sbibi schrieb:
wäre es schön, wenn ich VLANs bilden könnte
Zum Vergrößern anklicken....
Dazu reicht ein 50€ EdgeRouter-X. Der kann zwar auch VPN, aber OpenVPN ist sehr CPU-lastig und läuft auf kleinen Geräten eher mau. IPsec schafft der ER-X laut Usertests 60-100 Mbit/s, weil hardwarebeschleunigt.

Sbibi schrieb:
(Wie) kann ich Daten/Bilder für andere verfügbar machen, ohne jedesmal eine VPN-Client-Software bei denjenigen installieren zu müssen?
Zum Vergrößern anklicken....
08/15 Media-Cloud?

Sbibi schrieb:
Die Passwörter der User sind verhältnismäßig stark
Zum Vergrößern anklicken....
Das hilft vielleicht gegen brute force bzw dictionary attacks, aber kein Stück gegen etwaige Sicherheitslücken des Dienstes.

Bezüglich VPN @ NAS: Natürlich ist ein NAS weder Router noch Firewall, aber das OS basiert in der Regel auf einem Linux-Derivat und auch das hat eine Firewall. Die Standard-Einstellung solcher Firewalls ist üblicherweise "blocke alles bis auf die freigeschalteten Ports, zB den VPN-Server". Sofern man ssh-Zugriff auf das NAS hat, könnte man sich im Falle eines Linux-OS auch die Firewall anschauen (idR via iptables) und ggfs auch anpassen.
Viel anders funktioniert auch eine Profi-Firewall nicht....
 
  • Gefällt mir
Reaktionen: Sbibi
Masamune2 schrieb:
Aber auch nicht wirklich Recht. Es spielt letztendlich keine Rolle ob der VPN Dienst auf der NAS oder dem Router läuft. Nutzt jedem eine Sicherheitslücke in diesem Dienst aus ist er potentiell im Netz. Du kannst das Kontrukt also ruhig so weiter fahren, solltest dir nur überlegen ob die Freigaben neben der des OpenVPN Servers nötig sind. Die Weboberfläche zur Fotostation wäre ja auch übers VPN erreichbar.
Zum Vergrößern anklicken....
Logik des Verfassers: Eine Firewall ist besser geeigent, da sie für genau so etwas gebaut wurde. Bei einem (Consumer-)NAS ist das eine zusätzliche, nachgereichte Funktion, die nicht Hauptbestandteil des Produkts ist.
-> Das meine ich hauptsächlich mit "der Mensch hat nicht Unrecht".
Aber ich muss auch dir Recht geben; eine Angriffsfläche biete ich immer und überall, wenn ich so etwas möchte; Also macht es keinen Unterschied, wo ich den VPN-Tunnel terminiere(?)

Zum anderen: Naja, die Weboberfläche "muss" bzw. möchte ich ja ohne VPN verfügbar machen, damit ich unkompliziert an Freunde einfach einen Link zu meiner Domäne (DynDNS->QNAP) schicken kann und sie sich direkt im Browser mit ihren Benutzerdaten anmelden können.
 
Wenn du ein NAS als VPN-Server für angreifbar hälst, was glaubst du wie sicher die GUI ist?!?
 
  • Gefällt mir
Reaktionen: Sbibi
Raijin schrieb:
Du kannst den Port ändern bis du schwarz wirst. Wenn jemand danach sucht, hat er den Port binnnen einer Minute gefunden und ist drin. GUIs von x-beliebigen Geräten, die für das lokale Netzwerk gebaut wurden, gehören nicht ins www, niemals. Wenn du sogar schon ein VPN laufen hast, ist das auch mächtig bescheuert (Feststellung, keine Beleidigung), weil man die GUI dann ja auch via VPN aufrufen kann.
Zum Vergrößern anklicken....

Ports: "Security by Obscurity" - klar, kein echtes Security-Feature, ließ sich aber schnell umsetzen.
Bescheuert: Und ja, deshalb frage ich ja nach. Ich hätte das gerne einmal richtig umgesetzt. Die Frage ist eben: Kann ich VPN auch mit dem selben Komfort für andere umsetzen, wie es bisher mit der Web-Oberfläche ist?
Oder denke ich zu kompliziert?

Raijin schrieb:
Wenn du nur 40 Mbit/s Upload hast, wirst du auch nur mit 40 Mbit/s abzüglich des VPN-Overheads von extern von deinem NAS runterladen können.
Zum Vergrößern anklicken....

Das ist mir klar. Wollte damit sagen, dass ich gerne für die aktuellen Möglichkeiten Reserve hätte.

Raijin schrieb:
Dazu reicht ein 50€ EdgeRouter-X. Der kann zwar auch VPN, aber OpenVPN ist sehr CPU-lastig und läuft auf kleinen Geräten eher mau. IPsec schafft der ER-X laut Usertests 60-100 Mbit/s, weil hardwarebeschleunigt.
Zum Vergrößern anklicken....

Danke, den (ER-X) werde ich mir mal anschauen.

Raijin schrieb:
08/15 Media-Cloud?
Zum Vergrößern anklicken....

Die QNAP Photo-Station ist doch auch nur ein weiterer Web-Dienst oder nicht?

Raijin schrieb:
Das hilft vielleicht gegen brute force bzw dictionary attacks, aber kein Stück gegen etwaige Sicherheitslücken des Dienstes.
Zum Vergrößern anklicken....

Da sind mir dann aber auch die Hände gebunden. Sofern ich das Ding aktuell halte.

Raijin schrieb:
Bezüglich VPN @ NAS: Natürlich ist ein NAS weder Router noch Firewall, aber das OS basiert in der Regel auf einem Linux-Derivat und auch das hat eine Firewall. Die Standard-Einstellung solcher Firewalls ist üblicherweise "blocke alles bis auf die freigeschalteten Ports, zB den VPN-Server". Sofern man ssh-Zugriff auf das NAS hat, könnte man sich im Falle eines Linux-OS auch die Firewall anschauen (idR via iptables) und ggfs auch anpassen.
Viel anders funktioniert auch eine Profi-Firewall nicht....
Zum Vergrößern anklicken....

Stimmt wohl
Ergänzung ()

Raijin schrieb:
Wenn du ein NAS als VPN-Server für angreifbar hälst, was glaubst du wie sicher die GUI ist?!?
Zum Vergrößern anklicken....

Ist mir bewusst, deshalb frage ich nach.
Wir können das ganze hier letztendlich auch zu einer Best-Practice für QNAP-Nutzer umbauen.
Ziel: VPN und trotzdem möglichst komfortable + sichere Freigabe von Daten.
 
Security by obscurity ist weder ein echtes noch ein unechtes Sicherheitsfeature, sondern gar keins. Es beruhigt nur das Gewissen, weil die Logdateien weniger Angriffsversuche zeigen - von Bots, die eh nur nach admin/admin bzw root/root oder ähnlichen Logins schauen.

Das ist ungefähr so als wenn du dein Türschloss neben der Tür hinterm Briefkasten versteckst. Du wehrst damit nur die Passanten ab, die nur kurz an der Türklinke rütteln, aber sofort aufgeben, wenn die Tür zu bleibt. Ein Einbrecher, der aber wirklich bei dir reinwill, findet auch das versteckte Schloss und ist dann - je nach Verwundbarkeit des Dienstes bzw Stärke des Logins und Fähigkeit des Angreifers - binnen kürzester Zeit drin.

Ja, das Logfile wird kürzer, aber sicherer ist man damit nicht - es sei denn, man schließt nicht ab, was beispielsweise einem unverschlüsselten FTP-Server gleicht.

Es ist aber auch in der Fachwelt ein häufig diskutiertes Thema... ;)


Sbibi schrieb:
Die QNAP Photo-Station ist doch auch nur ein weiterer Web-Dienst oder nicht?
Zum Vergrößern anklicken....
Ich meinte damit eine externe Cloud, bei einem Anbieter deiner Wahl gehostet.
Ansonsten bietet QNAP soweit ich weiß auch WebDAV, das via https verschlüsselt ist. Das kann man mehr oder weniger sicher auch direkt nutzen.
Ich bin aber ehrlich gesagt auch kein Freund davon, Fremden - damit meine ich alle jenseits meiner Haustür - überhaupt Zugriff auf mein NAS/Netzwerk zu geben. Je weniger "Löcher" aka Portweiterleitungen im Router umso weniger Angriffsfläche für unliebsame Besucher.

Wie genau die QNAP PhotoStation arbeitet, weiß ich nicht, aber ich meine mich zu erinnern, dass vor einigen Monaten eine Sicherheitslücke in einem der Standarddienste bei QNAP durch die Presse ging - kann sein, dass es sogar die PhotoStation war. Sollte mittlerweile gefixt sein, aber wie gesagt: Jeder erreichbare Dienst vergrößert die Angriffsfläche.
 
  • Gefällt mir
Reaktionen: Sbibi
Raijin schrieb:
Security by obscurity ist weder ein echtes noch ein unechtes Sicherheitsfeature, sondern gar keins. Es beruhigt nur das Gewissen, weil die Logdateien weniger Angriffsversuche zeigen - von Bots, die eh nur nach admin/admin bzw root/root oder ähnlichen Logins schauen.

Das ist ungefähr so als wenn du dein Türschloss neben der Tür hinterm Briefkasten versteckst. Du wehrst damit nur die Passanten ab, die nur kurz an der Türklinke rütteln, aber sofort aufgeben, wenn die Tür zu bleibt. Ein Einbrecher, der aber wirklich bei dir reinwill, findet auch das versteckte Schloss und ist dann - je nach Verwundbarkeit des Dienstes bzw Stärke des Logins und Fähigkeit des Angreifers - binnen kürzester Zeit drin.

Ja, das Logfile wird kürzer, aber sicherer ist man damit nicht - es sei denn, man schließt nicht ab, was beispielsweise einem unverschlüsselten FTP-Server gleicht.

Es ist aber auch in der Fachwelt ein häufig diskutiertes Thema... ;)
Zum Vergrößern anklicken....

Ich weiß, aber somit bin ich zumindest einen Teil der Bots los :D

Raijin schrieb:
Ich meinte damit eine externe Cloud, bei einem Anbieter deiner Wahl gehostet.
Ansonsten bietet QNAP soweit ich weiß auch WebDAV, das via https verschlüsselt ist. Das kann man mehr oder weniger sicher auch direkt nutzen.
Ich bin aber ehrlich gesagt auch kein Freund davon, Fremden - damit meine ich alle jenseits meiner Haustür - überhaupt Zugriff auf mein NAS/Netzwerk zu geben. Je weniger "Löcher" aka Portweiterleitungen im Router umso weniger Angriffsfläche für unliebsame Besucher.

Wie genau die QNAP PhotoStation arbeitet, weiß ich nicht, aber ich meine mich zu erinnern, dass vor einigen Monaten eine Sicherheitslücke in einem der Standarddienste bei QNAP durch die Presse ging - kann sein, dass es sogar die PhotoStation war. Sollte mittlerweile gefixt sein, aber wie gesagt: Jeder erreichbare Dienst vergrößert die Angriffsfläche.
Zum Vergrößern anklicken....

  • Ja, WebDAV wäre mir auch lieber, da Externe es so auch als Netzlaufwerk einbinden könnten. Allerdings verliere ich damit die Möglichkeit, Ordner zu schachteln/Berechtigungen auf Unterordner zu vergeben... Wenn ich den Home-Ordner für Benutzer auch via WebDAV erreichen könnte, wäre das ein Träumchen.
  • Ist aber der Zugriff auf die Weboberfläche nicht auch via HTTPS verschlüsselt und die beiden Zugriffsmöglichkeiten (WebDAV/HTTPS) somit gleichwertig? Den Zugriff via HTTP habe ich sowieso verboten.
  • Bezüglich QNAP und "Fremde": Ja, das wäre dann die nächste Stufe. Persönliche Daten auf ein eigenes, 2. NAS und Mediathek + Zugriff von Dritten auf dem ersten belassen. Ist aber auch wieder mehr Spielerei, denn wirklich notwendig.

---

An der Stelle mal danke an alle bisher!
 
Den ER-X habe ich übrigens primär wegen der VLANs erwähnt.
Sbibi schrieb:
Ist aber der Zugriff auf die Weboberfläche nicht auch via HTTPS verschlüsselt und die beiden Zugriffsmöglichkeiten (WebDAV/HTTPS) somit gleichwertig? Den Zugriff via HTTP habe ich sowieso verboten.
Zum Vergrößern anklicken....
Du sprachst nur allgemein von "Weboberfläche". Dennoch ist es ein Unterschied ob ein unerwünschter Besucher unberechtigt an Daten kommt oder über eine GUI die Kontrolle über das ganze Gerät erlangt und so auch Zugang zu den Daten und das Netzwerk hinter dem NAS.

Mir persönlich erschließt kein einziges Szenario, in dem ich Freunden und Bekannten Zugang zu meinem NAS gewähren muss. Wenn ich unbedingt meine Urlaubsbilder teilen will, die nach meiner Erfahrung keine Sau interessieren (ein Kumpel meines Schwagers kommt immer mit ner DVD an und alle rollen nur mit den Augen, wenn er sie dann einlegt und von seinem ach-so-tollen Urlaub berichtet), dann mache ich das über eine der zahlreichen Cloudplattformen zum Teilen von Fotoalben.

Meine Devise lautet: Fernzugriff auf das Netzwerk ausschließlich via VPN. Anwendungsfälle, die mit VPN nicht umsetzbar sind - zB bei Zugriffen durch Fremde ohne VPN - kommen bei mir nicht vor, aus Prinzip. Warum soll ich mein Netzwerk angreifbar machen, damit ein Kumpel super-einfach an meine Fotos kommt............
 
  • Gefällt mir
Reaktionen: Sbibi
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Zweiter Router für VPN gesucht
Antworten
4
Aufrufe
981
Snifi
S
P
Router für VPN gesucht
Antworten
8
Aufrufe
1.160
phillow
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz