Sicherer Fernzugriff auf das NAS und LAN mittels VPN - Ein kleiner Überblick

[PROLOG]

Einige Leute schaffen sich ein NAS mit dem Gedanken an, aus der Ferne darauf zugreifen zu können und seine Daten überall und jederzeit parat zu haben. Die Hochglanzseiten von QNAP und Co bestätigen einem, dass dies mit tollen Features machbar ist. In dem Artikel Security - Das NAS als Cloud-Server ist eindrucksvoll beschrieben, wie man den Zugriff nicht realisiert und auch im Forum wird immer wieder vor den „einfachen“ Lösungen gewarnt, weil sie unsicher sind. Egal wo, immer lautet der Tenor der letzten Ansage „Nur über VPN ist das ganze sicher“. Manche mögen den Begriff kennen, dennoch stellt der Gedanke daran ein VPN einzurichten viele zunächst vor eine Herausforderung.

Diesen Artikel hatte ich letzte Woche während meines Urlaubs angefangen zu schreiben und dann erstmal liegen lassen. Es wird Zeit es zu Ende zu bringen...

Ich möchte an dieser Stelle das Thema VPN grob und kurz umreißen und ein paar Stolpersteine aufzeigen, die berücksichtigt werden sollten. Auch werde ich versuchen die Einrichtung so allgemein wie möglich zu beschreiben. Sicher wird es nicht möglich sein, dies für all die verschiedenen Protokolle und möglichen Geräte zu verallgemeinern, aber ich hoffe hiermit schon mal ein bisschen Licht ins Dunkle bringen zu können. Für Details bietet sich das Forum oder Google als Unterstützung an.


[WAS IST VPN?]

VPN steht für Virtual Private Network und ist wie sich aus dem Namen ableiten lässt, ein virtuelles Netzwerk, welches sich über ein oder mehrere Netze, wie das heimische LAN und das Internet erstrecken kann. Teilnehmer in einem VPN verhalten sich so, als hätten sie ihr eigenes Netzwerk wie man es sonst aus dem verkabelten oder Funk- Netzwerk kennt: Sie können untereinander kommunizieren und Außenstehende haben keinen Zugriff auf dieses Netzwerk (natürlich lässt sich vieles durch entsprechende Konfigurationen ändern).

Bei einem VPN ist der Datenverkehr (meist) verschlüsselt, sodass ein VPN insbesondere für Sicherheitsanwendungen eingesetzt werden kann, denn andere können die Daten nicht ohne weiteres mitlesen. Ohne auf all die Einsatzmöglichkeiten eingehen zu wollen, gibt es zwei besonders bekannte. Um eine davon geht es im weiteren Verlauf, die andere zeige ich nur auf, weil viele diese Anwendung mit dem Begriff „VPN“ assoziieren.


Wir wollen uns hier damit beschäftigen, wie man mit einem VPN aus der Ferne auf sein eigenes Heim-Netzwerk (LAN) und somit auch auf das NAS zugreifen kann.

Ein anderer bekannter Einsatzzweck ist es, seinen Internetdatenverkehr zu verschlüsseln und seine Herkunft zu verschleiern. Dabei kauft man sich den VPN Dienst in der Regel bei einem entsprechenden Anbieter der den VPN Server betreibt.

Wir wollen im Nachfolgenden unseren eigenen VPN Server aufsetzen. Hierbei gibt es unterschiedliche Protokolle die Anwendung finden können, ein Wort mehr dazu später.


[WAS FÜR GERÄTE SIND GEEIGNET UND WELCHE NICHT?]

QNAP sowie andere NAS

Sie bieten einen integrierten VPN Server und werben auch damit, dass dies den sicheren (mir wird übrigens schlecht wenn ich das in dem Zusammenhang schreibe) Zugriff ermöglicht. Wer sich die Artikel Security - Das NAS offen im Internet oder Security - Das NAS als Cloud-Server von Mavalok2 bereits durchgelesen hat, dem wurde schon angekündigt, dass dies eben nicht sicher ist und das nicht der Weg sein wird, den wir beschreiten wollen.

In kurz Zusammengefasst: ein QNAP ist kein geeignetes Gerät, denn ein NAS ist nicht dazu ausgelegt den daraus möglicherweise resultierenden Angriffen standzuhalten.


Raspberry und Co

Für viele mag ein Raspi oder anderer mini PC eine geeignete Wahl sein, denn sie sind energiesparend, günstig und einen VPN Server kann man auch auf ihnen laufen lassen. Im Grunde ist es aber nichts anderes als das NAS: ein zu schwach gegen Angriffe gesicherter PC, also eher ungeeignet, zumindest für mein Verständnis, auch wenn sich die Meinungen hier sicherlich spalten.


Das geeignetste Gerät für solch einen Zweck ist schlichtweg eine Firewall wie sie bei den meisten im Router integriert ist, denn diese sind genau für den Zweck konzipiert, nämlich mit - wie Mavalok2 schrieb - dem Krieg im Internet fertig zu werden. Anbei ein paar gängige Geräte.


Speedport

Bis zum heutigen Tag ermöglicht kein Speedport das Erstellen eines VPN Servers.


FritzBox

Zu den Routern, die das Erstellen eines VPN Servers ermöglichen gehören zum Beispiel die viel eingesetzten „neueren“ FritzBoxen. Ab welcher Firmware-Version dies möglich ist konnte ich auf die Schnelle nicht herausfinden, bitte vorher prüfen!

Das VPN der FritzBox ist zwar nicht gerade ein Wunderwerk was Geschwindigkeit und Sicherheit angeht und auch der veraltete Windows Client der hier benötigt wird wirft kein gutes Licht auf diese Lösung, aber sie ist nutzbar und um ein Vielfaches sicherer als den VPN Server auf dem NAS laufen zu lassen bzw. das NAS „nackt“ ins Netz zu stellen.


Asus WRT / Merlin WRT

Auch die „neueren“ Router von Asus mit der Standard Firmware „Asus WRT“ ermöglichen es einen VPN Server zu erstellen, analog dazu die alternative Firmware „Merlin WRT“. Leider weiß ich auch hier bei beiden Varianten nicht (mehr) ab welcher Firmware Version das möglich war, meine mich aber zu erinnern, dass es schon die Geräte konnten, welche um 2014 im Einsatz waren.

Die Geräte von Asus sind der FritzBox zumindest in der Verschlüsselung überlegen, von der Geschwindigkeit her können die „besseren“ Geräte deutlich punkten, ältere bzw. leistungsschwache Geräte hingegen können einem auch hier den Spaß verderben - alles eine Frage der Leistung des Geräts.


Open WRT

Open WRT ist ein freies Betriebssystem für viele Router-Modelle, welches ebenfalls die Erstellung eines VPN Servers ermöglicht. Sicherlich eher etwas für Fortgeschrittene.


OPNsense / PFsense / IPfire

Ebenfalls für Fortgeschrittene bieten diese freien Software-Distributionen eine scharmante Lösung. Die Firewall- und Routersoftware erfordert von ihrer sonstigen Bedienung und Einrichtung allerdings schon sehr viel Kenntnisse in der Netzwerktechnik, hier kann man sehr vieles verkehrt und dadurch unsicher machen. Die Software kann auf nahezu jeder Firewall Appliance (Hardwarefirewall) betrieben werden und kann auch vorinstalliert mit einem entsprechenden Gerät erworben werden.

VPN Server ist natürlich möglich und - je nach Hardware - sicherlich die performanteste, erschwingliche Lösung, aber eben auch die komplizierteste.


[PROTOKOLLE]

Ein VPN kann mittels unterschiedlicher Protokolle aufgebaut werden, die gängigsten möchte ich nur einmal angesprochen haben, da ich kein Experte bin oder mich sonderlich mit all den Protokollen auskenne. Für einen ersten Überblick sollte es aber reichen:


PPTP

Ein altes Protokoll, welches schon seit Jahren als nicht mehr sicher eingestuft ist. Nicht nur die Verschlüsselung ist Mau, auch klaffen etliche ungeschlossene Sicherheitslücken in dem Protokoll.

Auch wenn es immernoch unter nahezu jedem Betriebssystem problemlos einsetzbar ist, sollte um dieses Protokoll ein großer Bogen gemacht werden.


IPSEC

Dieses grundsätzlich sehr sichere Protokoll ist besonders geeignet um zwei Standorte via VPN zu verbinden. So sicher das Protokoll auch sein kann ist Vorsicht bei der Wahl und Verfügbarkeit der Schlüsselverwaltung (IKEv1, IKEv2) sowie der Authentifizierung geboten, denn mit alten Standards wie IKEv1 oder unsicheren Authentifizierungsverfahren wie "xauth", was bei einer Fritzbox ausschließlich verfügbar ist, lassen sich schnell Sicherheitslücken und Störquellen in das vermeintlich sichere und stabile Protokoll einbauen.

IPSEC ist je nachdem welche weiteren Protokolle verwendet werden für nahezu jedes Betriebssystem erhältlich bzw. bereits integriert. Im Falle von "xauth" an einer FritzBox wird ein Programm zur Einwahl eines Clients benötigt.


OpenVPN (SSL VPN)

Das Protokoll ist ebenso sicher wie IPSEC, sofern man die Verschlüsselung nicht zu sehr herabsetzt und läuft sehr stabil. Für dieses Protokoll ist immer ein entsprechendes Programm erforderlich um sich mit nem Client (PC, Smartphone, ...) einzuwählen, diese sind für alle erdenklichen Betriebssysteme verfügbar. OpenVPN soll außerdem besonders einfach einzurichten sein... ich habe keinen Vergleich, wirklich schwierig ist es aber nicht.


[HARDWAREAUFBAU]

Sollte jemand bereits einen passenden Router zur Verfügung haben, ist hardwareseitig keine Änderung von Nöten. Wer sich einen neuen Router anschaffen muss, tut zwecks Energieeinsparung gut damit, den bestehenden Router abzulösen. Sollte ein Modem im Router integriert sein, wie es z.B. bei FritzBox mit DSL oder Kabel der Fall ist, muss der neue Router natürlich ebenfalls über ein entsprechendes Modem verfügen, um den Alten ersetzen zu können. Zwingend erforderlich ist das Ersetzen des bestehenden Router aber nicht, man kann die Router auch hintereinander schalten, sodass der neue Router, der später als VPN Server fungiert, einfach zwischen den bestehenden Router mit Modem und das heimische LAN gesteckt wird, natürlich mit entsprechender Konfiguration.


[EINRICHTUNG UND VERWENDUNG]

Wie eingangs erwähnt, ist es unmöglich aufgrund der unterschiedlichen Geräte und Protokolle allgemeingültig an dieser Stelle ein HowTo zu erstellen, es soll also nur angerissen werden, was in allen (oder den meisten) Fällen identlisch ist. Auch stellt es einen kleinen Unterschied dar, ob der VPN Server auf dem ersten und einzigen oder einem zweiten Router eingerichtet wird.

Im Idealfall wird der VPN Server auf dem einen vorhandenen, einzigen Router erstellt. Je nach Protokoll und Authentifizierungsmthode werden dabei Benutzer und Passwörter sowie Schlüssel erstellt, welche auf der Gegenseite (Router oder PC, Smartphone, ...) eingegeben werden müssen um eine Verbindung aufzubauen.

Sollte man einen zweiten Router als VPN Server einrichten, muss dieser auf den vom VPN verwendeten Ports im ersten Router erreichbar gemacht werden (Portfreigabe / -Weiterleitung - keine Sorge, ein Router mit Firewall kann damit umgehen ohne dass es ein Sicherheitsrisiko darstellt).

Es entsteht ein eigenes Netzwerk zwischen den beiden Routern, also ein Bereich mit eigenen IP Adressen, die sich von den IPs im LAN unterscheiden (müssen). Dieser Bereich wird oftmals als "DMZ - Demilitarisierte Zone" bezeichnet. In diesem Netzwerk gibt es in diesem Fall nur zwei Teilnehmer: die beiden Router, einer davon als VPN Server.

Es ist auch denkbar, den vorhandenen Router in den "Bridge Modus" zu versetzen, sodass er nur noch als Modem fungiert. Bei einer Fritzbox z.B. ist das jedoch nicht möglich.

Zwischen dem VPN Server und seinen Clients wird, nachdem die Verbindung hergestellt wurde, das virtuelle Netz aufgebaut. Dabei bekommt jedes Gerät eine IP Adresse aus dem Adress-Pool des VPN zugewiesen (z.B. 10.8.0.x). Zunächst ist jedes Gerät nur über diese VPN IPs erreichbar, welche wir uns aber nicht zusätzlich merken müssen. Damit man die Geräte in seinem LAN daheim nun aus dem VPN heraus mit deren LAN IP ansprechen kann, auch wenn die Geräte nicht selbst mit dem VPN verbunden sind, ist die Konfiguration entsprechender Routen auf Seiten der Clients erforderlich, denn diese müssen wissen, dass eine Anfrage an das heimische LAN über das VPN gehen soll und nicht standardmäßig über das LAN (bzw. Internet, was auch nicht möglich wäre).

Diese Routen werden oftmals bereits bei der Einrichtung konfiguriert, sodass die Routen in den Clients beim Aufbau der Verbindung automatisch eingetragen werden. Der Router auf dem der VPN Server läuft kennt diese Routen in der Regel bereits, bzw. erstellt sie bei der Konfiguration ebenfalls selbst. Auch die Firewall des Routers wird in der Regel automatisch eingerichtet, sodass der Zugriff vom VPN auf das LAN gewährt wird. Sobald einmal alles eingerichtet ist, hat man bei bestehender Verbindung zum VPN die Möglichkeit auf alle Geräte zu zu greifen, als würde man sich direkt daheim im Netzwerk befinden.


[WISSENSWERTES]

Neben allen Möglichkeiten die ein VPN bietet gibt es natürlich auch einiges zu beachten. Anbei ein paar Stolpersteine und Infos die mir spontan einfallen.


DDNS - Dynamischer DNS

Die wenigsten User werden im Privatbereich eine statische, also feste IP Adresse haben. Damit man dennoch sein VPN erreichen kann, auch wenn die IP täglich wechselt, wird ein DDNS Dienst benötigt, welcher ebenfalls im Router eingerichtet werden kann. Hier gibt es unzählige Anbieter, auch kostenlose. Eine Fritz Box ermöglicht beispielsweise die Nutzung der myfritz Adresse für diese Zwecke. Grundsätzlich ist auf Kompatibilität zwischen Router und DDNS Dienst zu achten, meist ist es jedoch möglich jeden Anbieter zu nehmen, wenn man ein paar Minuten mehr Zeit in die Konfiguration steckt.


CGNAT (Carrier Grade NAT) aka DS lite

Bei solchen Anschlüssen, wie es bei neueren Providern bzw. Anschlüssen der Fall ist, bekommt man keine öffentliche IPv4 Adresse, da das NAT beim Provider stattfindet und man daher nur eine IPv4 Adresse bekommt, welche von außen nicht erreichbar ist (100.x.x.x.). In diesem Fall ist man auf die Verwendung von IPv6 angewiesen, was wiederum das Gerät, das den Server hosten soll beherrschen muss. IPv6 Support an sich sollte hier nicht das Problem darstellen, sondern vielmehr, dass nicht alle Geräte einen VPN Server auf IPv6 erstellen können, auch nicht wenn "Full IPv6 Support" versprochen wird. Nach aktuellem Stand scheiden hier FritzBox und Asus WRT sowie Merlin WRT aus. Bei Asus WRT und FritzBox mag es hier Hoffnung geben, dass es bald möglich ist, für Merlin WRT wird es in absehbarer Zeit definitiv kein IPv6 Support für VPN geben. Wer sein VPN auf IPv6 errichten muss, braucht aber keine Angst davor haben, nun alles mit IPv6 ansprechen zu müssen: Die Kommunikation im LAN, auch über das VPN, kann wie gewohnt via IPv4 und dessen Adressen erfolgen.


Verbindungsaufbau IPv6

Damit man zu einem eingerichteten VPN auf IPv6 verbinden kann, ist es erforderlich dass der Client ebenfalls über IPv6 Konnektivität verfügt.

Die meisten "Festanschlüsse" (DSL, Kabel, Glasfaser) verfügen in der Regel über IPv6 Konnektivität, es ist aber auch erforderlich, dass IPv6 für das Netzwerk und die Clients aktiv und funktionsfähig eingerichtet ist. Einige Mobilfunkprovider unterstützen unter Umständen noch kein IPv6 (Stand Anfang 2020 war nur bei T-Mobile IPv6 unterstützung vorhanden).

Um dies zu umgehen bieten sich Portmapper an, ich habe auch schonmal von einer weiteren Lösung gehört, an die ich mich allerdings nicht mehr erinnere.


IP Adressbereiche

Ein fataler Fehler der bereits vor der Einrichtung des VPN entstanden ist, ist oftmals der Adressbereich des LAN.

Die meisten User lassen den voreingestellten Adressbereich der Router bestehen, sodass die meisten im Adressbereich 192.168.178.0/24 bei einer FritzBox oder 192.168.1.0/24 (glaube ich) bei Speedport unterwegs sind. Das Problem entsteht wenn eine VPN Verbindung zwischen zwei gleichen Adressbereichen aufgebaut wird, z. B. aus dem WLAN bei Freunden. IP Adressen aus beiden Netzen könnten identisch, also doppelt vorhanden sein, was unweigerlich Probleme bereitet. Auch bekommt das Routing Probleme, da sich die entsprechenden Einträge widersprechen: soll nun an das VPN Gateway geroutet werden oder geht die Anfrage ins LAN?

Um derartiges vorzubeugen empfiehlt es sich, seinem LAN einen Adressbereich zu geben, der eben nicht standardmäßig verwendet wird.


DNS-Auflösung

Die Sache mit dem DNS über VPN ist so eine Sache, der ich noch nie auf den Grund gegangen bin, da ich meine Geräte ohnehin nicht beim Namen anspreche, sondern immer mit der IP.

Fakt ist, dass die DNS-Auflösung nicht ohne weiteres funktioniert, es aber Mittel und Wege gibt. Wer diese Mittel und Wege nicht finden, bzw. gehen will, sollte sich von den Namen der Geräte verabschieden und sie zukünftig mit deren IP Adresse ansprechen.


WLAN bei Verwendung von zwei Routern (Nachtrag)

Wie es der Zufall will, soll ich zwei Tage nach Veröffentlichung des Artikels bei einem Kollegen ein VPN einrichten.

Er hat bereits eine FritzBox, möchte aber das VPN nicht verwenden und stattdessen einen Asus Router mit OpenVPN dahinterschalten.

Wie beschrieben, ist das kein Problem, bis auf eine Kleinigkeit, die sich hier auftut: Er möchte das WLAN seiner Fritte verwenden und nicht das vom Asus.

Durch die entstehende Konstellation wird die Fritte und damit das WLAN ohne weiteres jedoch nur Zugriff auf das DMZ-Netz haben, nicht aber auf das LAN. WLAN Clients hätten so also nur Internetzugriff.

Damit das dennoch so funktioniert, wie mein Kollege sich das wünscht, ist zunächst eine Route ins LAN erforderlich, die eine Fritte aber schon automatisch drin hat. Der Firewall vom Asus Router muss jedoch noch eine Regel hinzugefügt werden, die besagt, dass Anfragen aus dem DMZ Netz passieren dürfen. Erst so wäre der Zugriff von WLAN Clients auf das LAN möglich.

Eine wie ich finde unschöne Lösung, da ein Angreifer der bereits in dem DMZ Netz ist nun ohne Hürde in das LAN gelangt. Mein Kollege besteht jedoch auf diese Umsetzung, da der Asus Router im Keller stehen soll. Da die Fritte auch für DECT verwendet wird, ist ein Tausch der Router-Positionen also ausgeschlossen.

Derartige Konstrukte sollten unbedingt beachtet werden!


Roadwarrior und Site to Site VPN

(Nachtrag 2)

Manchmal fallen die Selbstständigkeiten unter Tisch oder werden wie zuvor nur einmal angedeutet.

Ist der VPN Server einmal erstellt, kann man also Verbindungen dorthin aufbauen. Die meisten werden dies als "Roadwarrior" machen, also von einem PC oder Smartphone, sodass man mit diesem Gerät Zugriff auf das heimische LAN hat.

Mittels VPN besteht allerdings auch die Möglichkeit, zwei Netze, also zwei LAN an unterschiedlichen Standorten zu verbinden. Man spricht dabei von einer "Site to Site" Verbindung. Hier wird nicht ein einzelner PC mit dem VPN verbunden, sondern ein Router, der dann dafür sorgt, dass entsprechende Anfragen aller Geräte im LAN an das VPN und somit an das entfernte LAN geleitet werden. Auf diese Weise haben - entsprechend konfiguriert - sämtliche Geräte der beiden Netzwerke Zugriff aufeinander, als würde es sich um ein großes LAN handeln.



Das war es auch schon, was mir als Grundlage für die Einrichtung eines VPN Servers in den Sinn kommt. Ich hoffe der Artikel ist einigen eine erste Hilfe damit dem Weg zum sicheren Fernzugriff keine großen Hürden mehr im Weg stehen. Trotz allem: Nochmal eindringlich über alles informieren, meine Erfahrungen und Recherchen müssen nicht zwingend der Realität entsprechen, geschweige denn dem aktuellen Stand der Technik entsprechen.


Ach, es ist ja Freitagnachmittag... Cheers und ein geiles Wochenende! :beer:

Kommentare 5

  • Als Ergänzung zum IPv6 VPN Support der Router:

    Ich habe zufällig gelesen, dass die "Digitalisierungsbox Premium" der Telekom das IP-Sec Protokoll unter IPv6 unterstützt.

  • Hallo und danke für deinen Blog.

    Ich hab vor, ein Site-2-Site VPN einzurichten, und natürlich will ich auch von unterwegs auf mein QNAP zugreifen. Hab das Thema lange vor mir hergeschoben, aber seit ein paar Tagen hab ich das NAS in Betrieb. Ich hab 100 Fragen dazu und obwohl ich ganz passabel englisch kann, ist es mir dann doch lieber in deutsch zu kommunizieren.

    Was ich zu den VPNs noch suche wäre ein paar Grafiken zu den IPs.

    Ich würde möglicherweise so konfigurieren:

    LAN1-FGT51E-DMZ1-Speedport 1- - www - - Speedport2-DMZ2-FGT50B2-LAN2

    Kann es ein Problem werden wenn die DMZ1 und die DMZ2 die gleichen IP ranges haben, nur weil die A1 Telekom das immer so konfiguriert ? Ich hatte dies schon mal umkonfiguriert auf eigene IP Ranges, aber hatte damit unerklärliche Probleme ?

    Aber da ein Blog kein Forum ist sollten wir das dann in einem Thread diskutieren.

    LG Michael

    • Zitat von Boomerang63

      Aber da ein Blog kein Forum ist sollten wir das dann in einem Thread diskutieren.

      Das stimmt ;)

      Das hier ist zwar auch kein Forum für Router/ Firewalls oder VPN allgemein, aber im Bereich "sonstiges" kann man das Thema schon mal unterbringen, hier tummeln sich auf jeden Fall Leute rum, die Dir helfen können. Ich würde pauschal sagen dass für die DMZ nicht zwingend eigene Netze erforderlich sind, da der VPN Server ja sicher auf dem Fortigate läuft und die DMZ die VPN Ports nur durchreicht und mit dem VPN daher nichts zu tun haben. Der Zugriff auf die DMZ von der Gegenseite wäre so aber wohl nicht möglich... aber wir haben hier Leute die sich besser mit S2S und IPsec und solch einem Aufbau auskennen :)

  • Vielen Dank für den Artikel. Dieser hat es geschafft, dass ich endlich alle Ports zugemacht habe :)

  • Vielen herzlichen Dank für deine Mühe. Ich hatte es schon geahnt - da kommt Arbeit auf mich zu !