Outdoor IP-Kamera für Synology NAS (zur Vogelbeobachtung)

[Raijin]

Also wenn ich von außen auf mein NAS will, z.B. DS Photo, dann mache ich das über DynDNS.

Ich habe eine 6660 und die notwneigen Portweiterleitungen eingerichtet. Mit VPN habe ich mich nie beschäftigt.

Solltest du aber. Portweiterleitungen gehen direkt auf das Endgerät. Dabei musst du dich zwangsläufig darauf verlassen, dass eben dieses Gerät bzw. der jeweilige Dienst auch adäquat abgesichert ist. In vielen Fällen ist das nicht der Fall bzw. bei fehlenden / nicht durchgeführten Updates nach Bekanntwerden einer Sicherheitslücke steht das System offen wie ein Scheunentor - und damit dein gesamtes Netzwerk.
Hinzu kommt, dass bestimmte Dienste explizit NICHT für das Internet gedacht sind und somit durch Portweiterleitungen ein immenses Angriffspotenzial bieten.

VPNs sind virtuelle und vor allem verschlüsselte Netzwerkverbindungen, die man gefahrlos durch fremde Netzwerke wie das Internet hindurchleiten kann. Mit einem VPN schleppst du gewissermaßen den ganzen Tag eine fiktive Kabeltrommel mit einem Netzwerkkabel zu dir nach Hause mit dir herum. Andere können mit diesem Kabel aber nix anfangen, da verschlüsselt.
Eine Portweiterleitung wäre analog dazu etwas wie eine Katzenklappe in deiner Haustür - nur dass diese Klappe womöglich groß genug für einen Einbrecher ist....


Synology bietet eine integrierte VPN-Funktion, zu der es haufenweise Anleitungen gibt. Darüber kannst du von unterwegs gefahrlos deine Kameras anschauen - so als wärst du daheim auf der Couch.

 

[Blende Up]

Synology bietet eine integrierte VPN-Funktion,

Wenn die aber ohne Portweiterleitung auskommt, wie läuft denn das?
Hält die permanent eine Verbindung zu einem synology serverdienst, der darüber dem NAS mitteilt, dass ein Endgerät eine VPN Verbindung eröffnen will? oder läuft gleich der ganze Traffic über diesen Server?

Deshalb würde ich immer zu einem Router VPN raten, da kommt man dann auch mit einer VPN Software aus... Und ausser einem Dyndns ist auch kein anderer Server notwendig.

 

[chrigu]

Das funktioniert alles über den syno Server. Natürlich müssen 1 oder zwei Ports offen sein, damit die syno überhaupt von aussen erreichbar ist. Natürlich ist die Kommunikation verschlüsselt vom syno bis zum händy (vorausgesetzt man nutzt deren App)
Und als Highlight: es funktioniert sogar mit einem ds-lite/cgn Provider

 

[Raijin]

@Blende Up : Jein. Natürlich benötigt ein VPN-Server hinter dem Router eine Portweiterleitung für das VPN an sich. VPNs sind aber explizit für die sichere Kommunikation konzipiert und deswegen ist solch eine Portweiterleitung auch als weitestgehend unkritisch anzusehen.

Das Problem an Portweiterleitungen auf x-beliebige Endgeräte mit x-beliebigen Diensten kommt durch die schiere Masse und die unbekannten Sicherheitsvorkehrungen des Geräts bzw. Dienstes. 3 Kameras, 3 Weiterleitungen, vielleicht sogar über nacktes http ohne Login. Dann hat man ja noch einen MedienServer und die smarte Heizung möchte man ja auch aus der Ferne steuern. Am Ende sind es dann schnell ein halbes Dutzend Portweiterleitungen oder mehr. Und dann kommt der Anwender noch auf die Idee, zum Beispiel die SMB-Ports an das NAS weiterzuleiten, weil man ja von unterwegs auch gerne auf die Netzlaufwerke zugreifen möchte. Ach, und von unterwegs auf dem Drucker daheim drucken wäre ja auch cool, also auch noch TCP 9100 weiterleiten.

Am Ende hat man nicht nur einen verschlossenen Zugang zur heimischen Wohnung, sondern ein Dutzend potentiell komplett unverschlossener Zugänge.

Eine Portweiterleitung auf einen VPN-Server ist daher unkritisch, speziell im privaten Umfeld.

Deshalb würde ich immer zu einem Router VPN raten, da kommt man dann auch mit einer VPN Software aus... Und ausser einem Dyndns ist auch kein anderer Server notwendig.

Warum sollte man bei einem NAS-VPN nicht mit einer VPN-Software auskommen
Einen DynDNS-Client bringen die NAS, die u.a. VPN anbieten, ebenfalls mit.

Hinzu kommt, dass Router in den meisten Fällen deutlich schwächere CPUs haben als ein NAS, welches eben noch für viele andere Dinge Leistung in der Hinterhand haben muss. Router-VPNs von Consumer-Routern sind daher in den meisten Fällen alles andere als performant - neue Modelle mit ggfs WireGuard mal ein wenig ausgenommen.

 

[Blende Up]

okay, ggf bessere Leistung wegen CPU ist n Punkt. Aber um eine IP-Cam mit max 8Mb/s Anzeigen zu lassen, war mein FB VPN immer schnell genug. Aber ich Lade da auch keine (großen) Dateien hin und her.... Insofern halte ich das mit einem generellen, statt jeweils dedizierten VPN Zugang schon für praktischer

Warum sollte man bei einem NAS-VPN nicht mit einer VPN-Software auskommen

Das "einer" bezog sich auf für alle Geräte. Denn die VPN SW für mein Synology NAS muß ja nicht unbedingt für mein Netgear NAS, oder meinen Drucker funktionieren, oder ist das sichergestellt?

 

[Raijin]

Das "einer" bezog sich auf für alle Geräte. Denn die VPN SW für mein Synology NAS muß ja nicht unbedingt für mein Netgear NAS, oder meinen Drucker funktionieren, oder ist das sichergestellt?

Hä?

So wie du für die vom Router eingesetzte VPN-Technologie einen passenden VPN-Client benötigst, gilt dasselbe für ein x-beliebiges NAS mit VPN-Funktion.

Es gibt unterm Strich drei häufig genutzte VPN-Technologien:

OpenVPN
IPsec
WireGuard

Setzt der Router oder das NAS OpenVPN ein, braucht man am Remote-Gerät einen OpenVPN-Client.
Setzt der Router oder das NAS IPsec ein, braucht man am Remote-Gerät einen IPsec-Client.
Setzt der Router oder das NAS WireGuard ein, braucht man am Remote-Gerät einen WireGuard-Client.


Einige Hersteller liefern der Einfachheit halber eigene VPN-Client-Software mit, die bereits alle Einstellungen beinhaltet (zB Verschlüsselungsmodus, etc) und lediglich mit dem Profil versorgt werden muss, welches man vom Router/NAS für den Client herunterlädt. Das ändert aber nichts daran, dass unter der Haube zB ein Standard-OpenVPN-Server läuft, den man auch mit einem unabhängigen OpenVPN-Client verbinden könnte - korrekte Konfiguration vorausgesetzt.


Was die Verbindung zu Geräten im Heimnetzwerk jenseits des NAS betrifft (zB der heimsiche Drucker), ist es in der Regel nur ein simpler Haken bei der Einstellung "Heimnetzwerk über VPN freigeben" (o.ä.). Mit dem Haken leitet das NAS Anfragen aus dem VPN ins heimische Netzwerk weiter, ohne den Haken kann man via VPN nur auf das NAS selbst zugreifen. Möchte man beispielsweise nur auf die Surveillance Station eines Synology-NAS zugreifen, reicht die VPN-Verbindung auf das NAS ohne diesen Haken, weil die Kameras ja nicht direkt angesteuert werden, sondern von der Surveillance Station.

 

[Blende Up]

Ah, super, wieder was gelernt, wusste ich nicht. Ich dachte, da kocht jeder sein eigenes Süppchen.
Danke für die ausführliche Erklärung.

okay, meine FB hat dann IPSec "IPSec" oder "IPSec Xauth PSK" und für das Synology NAS gibt es ein OpenVPN Paket. Und ich könnte auf mein Handy (was von Android her wohl nur IPSec kann) dann eine OpenVPN App instalieren um dann (wenn ich z.B. mehr Bandbreite bräuchte als die FB bietet) über das NAS gehen zu können.

Mein Netgear RN104 bietet ein Paket an, das sich "SoftEther" nennt, okay, scheint IPSEC zu sein
"SoftEther VPN supports also L2TP/IPsec".

Edit: ah, der Synology kann sowohl OpenVPN, als auch IPSec, und PPTP??. Ich glaub, ich geh mal was lesen auf Wikipedia ;-)

 

[jensxp]

Okay, auch wenn wir nun von meinem Vogelhaus und den (inzwischen ausgezogenen) Meisen weit entfernt sind: So ganz habe ich das noch nicht verstanden.
Per DynDNS lande ich auf meinem Router zuhause - klar soweit. Jetzt will, bzw. meine Apps die DS Photo ja aber nicht auf meiner Fritzbox anmelden, sondern auf meinem NAS. Hierzu habe ich - notgedrungen - die notwendigen Ports für die IP-Adresse meines NAS weitergeleitet.
Ja, ich lande "direkt" auf meinem NAS, habe ich verstanden. Die Verbindung zur FB per VPN ändern daran ... was?

Konkret: Aktuell gebe ich für den DS Photo-Zugriff ein
Adresse: tollername.selfhost.eu
Konto: tolleruser
Pwd: sicherespwd

Das würde sich doch per VPN nicht ändern, oder? Oder würde ich dann angeben

Adresse: 192.168.x.y
Konto: tolleruser
Pwd: sicherespwd

?

 

[Blende Up]

Verbindung zur FB per VPN ändern daran ... was?

Das Du keine Ports an der FB öffnen und zum NAS weiterleiten musst, und damit Dein NAS nicht im Internet auftaucht. Sondern, dass Du einen verschlüsselten Tunnel von der FB zu Deinem Handy aufbaust, der dafür sorgt, dass Dein Handy in Deinem Heimnetz ist, und somit auch auf die Surveilance Station, die ja im Heimnetzwerk erreichbar ist, zugreifen kann.

Ergänzung (28. Juni 2022)

Konkret: Aktuell gebe ich für den DS Photo-Zugriff ein

Doch, Du würdest es genau so aufrufen, wie auch aus dem Heimnetz wenn Du zu Hause bist....

Ergänzung (28. Juni 2022)

Adresse: 192.168.x.y

jepp, genauso, bzw der Name des NAS

 

[jensxp]

Hmm, jetzt hast du mich angefixt.

 

[jensxp]

Okay soweit. Frage: Wenn ich nun unterwegs bin, bin ich dann permanent per VPN mit meiner Box verbunden und der komplette traffic geht vom Handy auf meine Box, dort dann ins WWW, und dann wieder zurück auf mein Handy? Und wenn ich wo im wlan bin (was weiß ich im Edeka oder Lidl beim Einkaufen) auch?

 

[jensxp]

Nachtrag: Das Einrichten war grundsätzlich kein Problem. Jedoch muss ich die VPN-Verbindung jedesmal neu herstellen wenn ich vom WLAN uns mobile Netz gehe. "VPN immer eingeschaltet" geht nicht, weil nur numerische DNS-Serveradressen verwendet werden können.
Für meinen Fall ist also VPN mal nix.

 

[Blende Up]

bin ich dann permanent per VPN

Solange Du im VPN bist, sozusagen ja, vom handy über lte ins INet, da zur Box, zum VPN, und, dann in dein Netz, und im Falle dass Du darüber surfst, dann wieder raus ins Inet, und wieder zurück.
Hat aber zusätzlich den Charme, dass heimische Filterdienste, wie z.B. ein piHole, aktiv sein können, und dir z.b. die werbung rausfiltern.

jedesmal neu herstellen wenn ich vom WLAN uns mobile Netz gehe

Das wäre denkbar.
macht aber auch wenig Sinn aus dem eigenen WLan ein VPN ins eigene Netzwerk aufzubauen....

 

[jensxp]

Nein, was ich meine ist: ich habe eine VPN-Verbindung, komme heim, WLAN springt an, läuft. Ich gehe weg, Handy wechselt ins Mobilnetz, aber NICHT von alleine ins VPN. Das muss ich wieder von Hand machen!