Fritz Vpn oder diskstation Vpn

[cristi_petre]

Hallo

Ich bin am überlegen was besser oder schlechter ist FRITZ VPN für Nutzer einrichten oder Diskstation VPN?
Was meint Ihr bzw. was nutzt Ihr wenn ihr ein par ca.5 Benutzer habt die nur über das VPN auf die Ds zugreifen sollen.
(Aus Sicherheitsgründen)

Ich will maximale Sicherheit

 

[DHC]

Beide haben wohl so ihre Vor- und Nachteile.

Fritz!Box nutzt IPsek, welche mit der Software von AVM eingerichtet wird. Evtl. gibt es auch eine andere Möglichkeit.
Die Diskstation kann mehrere Protokolle. Drei um genau zu sein.

Welche der beiden Geräte das sichere ist, kann ich nicht beurteilen.
Ob das überhaupt jemand beurteilen kann ist auch so eine Sache.

Vom Prinzip tun beide Geräte, was sie sollen.

Man wird hier sicher unterschiedliche Meinungen hören.

 

[Golgorod]

Der Synology Diskstation VPN-Server kann meines Wissens doch nur OpenVPN und PPTP. AVM setzt bei der Fritzbox auf IPSec. Da ich jedem von PPTP abraten würde, bleibt also eher OpenVPN oder IPSec.
Die IPSec Verbindungen kannst du mittlerweile bei der Fritzbox auch über das Webinterface einzurichten, genau wie bei der Diskstation.
Bleibt dann die Frage des Tunnel-Endpunktes.
Wenn du die Diskstation als VPN-Server konfigurierst müssen im Router entsprechend die Ports geöffnet werden. Bei der Fritzbox brauchst du dir dahingehend keine Gedanken machen.

Ich würde die Fritzbox entsprechend enrichten.

Nur das hängt dann auch immer vom entsprechenden Anwendungsfall ab.

 

[DHC]

Der Synology Diskstation VPN-Server kann meines Wissens doch nur OpenVPN und PPTP.

Das ist nicht korrekt.
Die Diskstation kann PPTP (Nicht zu empfehlen), IPsec und OpenVPN.

 

[Golgorod]

Deshalb schrieb ich ja meines Wissens - hatte das letzte mal eine Diskstation hier, das war mit Softwareversion 4.2. Also schon ein paar Tage her, damit ging nur OpenVPN und PPTP. L2TP/IPSec war glaube ich ab 4.3 möglich.

 

[chrigu]

je nachdem was gewünscht wird... soll nur die syno erreicht werden, und der rest des netzwerkes soll weiterhin frisch&frei rumsurfen oder sonstwas getätigt werden, sollte die syno-vpn eingerichtet werden.
will man das komplette netzwerk (hinter der fritzbox) über vpn erreichen und die anderen im netzwerk einschränken, dann natürlich die fritz-vpn aktivieren.

 

[fuyuhasugu]

je nachdem was gewünscht wird... soll nur die syno erreicht werden, und der rest des netzwerkes soll weiterhin frisch&frei rumsurfen oder sonstwas getätigt werden, sollte die syno-vpn eingerichtet werden.
will man das komplette netzwerk (hinter der fritzbox) über vpn erreichen und die anderen im netzwerk einschränken, dann natürlich die fritz-vpn aktivieren.

Ist das als Empfehlung zu verstehen? Oder steckt dahinter eine Notwendigkeit, begründet z.B. in den Begrenzungen des VPN-Servers der Diskstation, welcher evtl. wie auch bei QNAP nur den Zugriff auf die Diskstation nicht jedoch auf das lokale Netzwerk zulässt?

 

[chrigu]

ja, ähm, nein ich mein jein.
wie geschrieben, fuyuhasugu... je nachdem ob der fragesteller nur seine syno/qnap/asus erreichen will, oder ob das gesamte netzwerk von aussen über vpn erreicht werden muss....
hat auch ein wenig mit sicherheit zu tun, was alles erreichbar sein soll... ptpp ist ja nicht wirklich sicher und die anderen vpn-tools haben bestimmt auch noch irgendwelche hintertürchen, die bis jetzt noch nicht entdeckt wurden, inkl. router...

 

[fuyuhasugu]

Unabhängig von noch unentdeckten Sicherheitsproblemen und auch den schon entdeckten von PPTP, haben die Implementationen der VPN-Server verschiedene Begrenzungen. So sind die Voreinstellungen z.B. bei QNAP so, dass man nur auf das NAS selbst zugreifen kann, der Rest des Netzwerkes aber unerreichbar bleibt. (Man kann sich direkt anmelden und an den Konfigs rumspielen, um diese Begrenzungen aufzuheben, aber das geht zumindest tlw. vorbei an der Zielgruppe eines solchen NAS). Synology unterstützt, wie manch Router auch, ebenfalls OpenVPN und seit neuestem auch L2TP/IPSecund verspricht dabei den Zugriff auf "shared ressources", was auch immer das heißen mag. Man kann also über ein sicheres Protokoll eine VPN-Verbindung herstellen, aber kommt man dann auch im Netzwerk weiter (Netzwerkdrucker, ssh auf andere Rechner u.ä.)?

Beim Router ist das i.a. selbstverständlich, wobei ich auch schon welche gesehen habe, die nur den Zugriff auf lokale Ressourcen zuließen, d.h. auf direkt am Router per USB angeschlossene Festplatten oder Drucker.

 

[chrigu]

das habe ich ja geschrieben... will man nur nas, dann nas-vpn, will man komplettes netzwerk, dann fritz-vpn... mhhh, komisch... kaffeemaschine bei dir defekt

 

[fuyuhasugu]

Deine Begründung hörte sich nach Sicherheitsbedenken hinsichtlich des mit der Diskstation möglichen PPTP-Verbindungsprotokolls an, nicht jedoch nach einer funktionalen Beschränkung des VPN-Servers auf der Diskstation. Und die Webseite suggeriert eher die Möglichkeit des Zugriffs auch auf andere lokale Netzwerkressourcen. Da der Hersteller aber so etwas gern allgemeiner hält und es dem Kunden überlässt, die Beschränkungen herauszufinden, sind solcherart Infos eher mit Vorsicht zu genießen.

kaffeemaschine bei dir defekt

Nö, aber schon seit 8 Stunden auf den (Schreibtischstuhl)-Beinen, mittlerweile ist ja auch schon wieder später Nachmittag...
Noch ein bisschen (~6h) und dann ist Feierabend!

 

[cristi_petre]

Also ich danke euch erstmal für eure rege Anteilnahme.

Ich fasse also zusammen pptp nicht zu gebrauchen. IPSec ist (in jedem Fall?) OpenVPN vorzuziehen.
Wenn ich das gesamte Netzwerk nicht freigeben will um evtl. auf dlna Server, Drucker etc. zugreifen zu können dann ikann ohne Bedenken das Vpn der Diskstation genutzt werden und in dem Fall die Ports 1701,4500 und 500 zur Diskstation weitergeleitet werden und auch die Entsprechenden Firewall regeln erstellt werden.
Will ich aber das Benutzer x sozusagen auf mein gesamtes Netzwerk zugreifen kann ist das Fritz Vpn zu benutzen.

Zwischen den beiden gibt es Sicherungstechnisch keine Bedenken nur eben die "Beschränkung".

Ist es so richtig?


Ich habe für mir jetzt den FritzVPN Zugang eingerichtet. Klappt alles wunderbar kann damit auch mehrere Sachen machen wie z.B.: Mit der FritzBOx Fon App über meine daheim stehende fritzbox telefonieren, was im Urlaub besonders praktisch ist solange man Internet hat

Jetzt möchte ich aber auch das Diskstation VPN nutzen damit Freunde und Bekannte eben nur auf das zugreifen können was sie auch dürfen.
Jetzt kann aber EZ Internet oder wie das Tool in der DS heißt die Ports für das IPSec nicht öffnen weil die für was anderem reserviert sind. Wenn ich die Ports manuell öffne passiert auch nichts. (Server antwortet nicht) ich hab auch die Ip Adresse direkt eingegeben und auch die DS eingestellt sprich Firewall und feste IP (über den Router diesm Netzwerkgerät immer die gleiche...) dem Benutzer hab ich auch das Recht in dem Vpn Server der DS erteilt. Muss ich dem Admin sonst noch wo rechte erteilen. Ich weiß mit dem Admin soll man nicht so viel machen aber ich will erstmal alles konfigurieren um dan ein Normales Benutzerkonto zu erstellen welches nicht alle Zugriffsrechte hat.

Kann es sein das man nicht beide (fritz vpn und DS vpn) gleichzeitig Nutzen kann? Oder hab ich was übersehen?

 

[chrigu]

du kannst an der nas die ports selber frei wählen und einstellen (ist jedenfalls bei qnap der fall)

 

[cristi_petre]

Autch das gibt es anscheinend bei Synology aber nicht.