externer Zugriff, per VPN? -Achtung Anfänger!

Hallo Leute!

Wie im Betreff schon geschrieben, bin ich ganz neu hier im Forum, ich hab mein NAS erst seit ein paar Tagen, Weihnachten...
Dementsprechend is sehr Vieles neu für mich und ich bin noch nicht so gut eingelesen in die Materie.
Zum Thema von "Außen" auf das NAS zugreifen hab ich hier im Forum schon ein bißchen herumgestöbert, aber es gibt ein paar Dinge, die ich noch nicht ganz verstanden hab, bzw. hab ich noch ein paar Fragen.

Zwar hab ich nicht vor, hoch sensible Daten auf dem NAS zu speichern, aber ich bin auch nicht scharf darauf, dass meine Fotos, oder Mitschnitte von Bandproben "frei" zugänglich sind.
Soweit ich das in der kurzen Zeit herausgefunden habe, gibt es als sichere Art der Verbindung VPN.
Zu diesem Thema hab ich über den Eintrag "[FAQ] Externer Dateizugriff" hier im Forum folgende Seite gefunden: http://wiki.nas-portal.org/ind…installieren#Portfreigabe

Ich hab eine fixe externe IP-Adresse, da brauch ich den Schritt mit DynDNS doch nicht, oder?

Nur, der Router ist von der Telekom Austria und da sie mir die Zugangsdaten nicht gegeben haben, soweit ich das weis werden sie das auch nicht,
komme ich nicht in die Konfiguration des Routers rein.
Also kann ich die Portweiterleitung nicht selbst einstellen, sondern muss die Leute von der Telekom bitten das zu tun.
Da wüsst ich halt gern, wovon ich rede:
In oben erwähnter Anleitung ist unter Punkt 4.4 die Rede von Port "1194 (UDP)".
Ist das der "standard" UDP Port?
Gibts da einen bestimmten Bereich innerhalb dessen der Port liegen muss, oder is das eh egal?
Ich will ja nicht einen Port verwenden, der von jedem Skriptkiddie sofort probiert wird.
Und was hat's in dem Zusammenhang mit UDP auf sich?
Auf Wikipedia hab ich gelesen, dass es ein "nicht zuverlässiges" Protokoll ist.
Ganz dumm gefragt: Ist das nicht eine schlechte Voraussetzung für VPN, wenn Daten verloren gehen können?

Ok, wenn ich dann mal alles wie in dieser Anleitung eingerichtet und auch einen Port freigeschaltet hab, kann ich dann von außen nur per VPN auf das NAS zugreifen, oder auch normal?
Wenn ich den Port an das NAS weitergeleitet hab, kann man dann nur auf das NAS zugreifen, ohne dass die Computer in meinem LAN gefährdet sind?

Brauch ich mehrere Ports, für die zahlreichen Anwendungen auf dem NAS, oder genügt so der eine Port für die VPN Verbindung?
Zur Zeit genügt es mir auf die Dateien zugreifen zu können und vielleicht möcht ich die Downloadstation und die Administration auch mal von außerhalb bedienen, aber erst nachträglich weitere Ports für z.B.: FTP und SSL zu öffnen ist dann wieder mit einer Auseinandersetzung mit den Telekommitarbeitern verbunden...

Ihr seht also, ich hab nicht untertrieben und kenn mich wirklich nicht so gut aus.
Außerdem hab ich vor lauter Protokollen, von denen ich davor noch nichts gehört hatte schon einen Knoten im Hirn!
Deswegen bin ich wirklich für jede Hilfe dankbar!

Greets,
Voodoochile

PS: Wer bis hier durchgehalten hat, bei dem möchte ich mich für meinen "Redeschwall" entschuldigen!

Hi!

Danke für die superschnelle Antwort!

Ich hab gedacht das mit dem VPN-Server direkt auf dem NAS wär ne gute Lösung, hab's ja wie gesagt über dieses Forum herausgefunden...

Um genau zu sein ist das der Business Speed Basic Tarif von TA, also ein Geschäftstarif.
Bei dem Router handelt es sich um einen Speedtouch 608i WL.
Auf deine Antwort hin hab ich nochmal genauer im Manual nachgeschaut.
http://www.speedtouch.nl/docs/STBUS_UserGuide_R54.pdf
Man kann den Router scheinbar auch als VPN Server einsetzten.
Vorausgesetzt, man hat das VPN Software Modul installiert.
Ob das der Fall ist kann ich nicht sagen, ich hätte schon in der Vergangenheit gern ein bißchen mit dem Router herumgespielt, aber ich bin ja ausgesperrt.
Vielleicht ja deshalb.

Ob die TA die Zugangsdaten zu dem Router rausrückt, hab ich noch nicht probiert, aber laut mehreren Posts in folgendem Forum: http://www.speedtouchforum.de/…e19357affb622b1d109d3c979
tun sie das nicht.
Ich werd mich erst morgen mit denen in Verbindung setzten, dann weis ichs definitiv.

Gibt's irgendeine Lösung wie ich an dem Ganze vorbei komm?
Muss ich mir jetzt auch noch einen neuen Router holen?
-Wobei den könnt ich dann einstellen, wie's mir passt...

Beste Grüße,
Voodoochile

Hi!

Der Bitte um den Bericht bezüglich meines Vorankommens komm ich gerne nach:

Gerade habe ich mit dem Support der Telekom telefoniert.
Das ist rausgekommen:
Wie ich mir schon gedacht habe, nachdem ich ja in besagtem Speedtouch Forum nachgelesen hatte, werden mir die Zugangsdaten zu dem Router nicht gegeben.
Der ist Eigentum der TA und sie machen zwar die Fernwartung und -Konfiguration, aber ich darf da nichts machen.
Bei dem Tarif Business Speed Basic ist Portforwarding, geschweige den VPN, nicht inkludiert.
Es wäre ein Tarifwechsel möglich, der wäre allerdings um 9€ im Monat teurer und ich könnte nur per Formular die zu öffnenden Ports beantragen.
Soweit ich das verstanden hab, ist VPN da aber auch noch nicht dabei.

Die Alternative ist, dass ich mir einen eigenen Router besorge, den ich selbst konfigurieren kann und hinter dem TA-Router hängen hab.
Sie geben nämlich auch die Zugangsdaten nicht her, sondern würden ihren Router so einstellen, dass er einfach alles nur durchschleift und mein Router den Rest eledigt.
Zumindest brauch ich kein ISDN Modem, bzw. einen Router mit Modem, nur so teuer sind die ja glaub ich auch nicht.

Damit muss ich mir wohl doch einen neuen Router besorgen, nur habe ich mal kurz bei http://geizhals.at nachgeschaut und habe das Gefühl, dass VPN-Router nicht zu bezahlen sind, oder keine guten Bewertungen haben.

Auch auf die Gefahr hin jetzt eventuell gelyncht zu werden, nochmal ein par Anfängerfragen:
a) Hab ich das richtig verstanden, dass der VPN Server die Clients einfach ausgedrückt "in Empfang nimmt" und verschlüsselt weiterleitet, also wenn der Server auf dem Router läuft er eine Weiterleitung ans NAS macht, bzw. wenn er auf dem NAS läuft er quasi der Endpunkt ist?
b) Wieso stellt es erfahrenen Usern die Haare bei dem Gedanken den VPN Server auf der NAS laufen zu lassen auf? Ist das Sicherheitstechnisch ein Problem? Wenn ja, wieso?
c) Wenn ich aus Kosten- oder Machbarkeitsgründen auf VPN verzichte, bleibt mir ja als sichere Verbindung nur noch SSL, oder? Und da hier im Forum erwähnt wurde, dass das NAS kein offizielles Sicherheitszertifikat enthält und eine Man-in-the-Middle-Attacke möglich wäre, ist das ja auch nicht die beste Lösung, oder?
d) Was vielleicht halbwegs interressant für euch sein könnte (oder auch nicht, weil nicht machbar): Gibt es eine Möglichkeit ohne Portforwarding und VPN eine sichere Verbindung von außen auf mein NAS zu bekommen?

Vielen Dank nochmals für die Geduld!
Nachdem ich mir das Sticky zum Thema wie man in hier richtig postet durchgelesen hatte, hab ich mich fast nicht getraut...
Beste Grüße,
Voodoochile

Hi!

Vielen Dank Gerald und Christian für die ausführliche Beantwortung und die Denkanstöße!

Tut mir leid, wenn ich mich missverständlich ausgedrückt habe.
Der Verweis auf das FAQ war nur dazu gedacht, um zu zeigen, dass ich mich hier und überhaupt schon ein bißchen umgeschaut hab.
Dass es nicht vollständig ist hast du eh schon dort festgehalten!
Es kann sein, dass ich, als von Haus aus vorsichtiger Mensch, durch das Lesen der Sicherheitsthemen hier etwas hypersensibelisiert worden bin.
Ich hab halt gedacht, dadurch dass die Erklärung zum VPN in dem FAQ schon so ausführlich und mit dem Wiki verlinkt ist, und dadurch, dass ich schon öfter den Begriff VPN als sooo sicher aufgeschnappt hab, dass es die beste Lösung ist.

christian: Dass ich nicht auf die Frage geantwortet hab, war natürlich keine Absicht, ich hab gedacht, sie wäre eher rhetorisch gemeint gewesen...

Zeit also, endlich zu konkretisieren, was ich überhaupt will und wie sicher es sein soll. :oops:
Die Daten auf dem NAS sollen sowohl für mich, als auch für Freundin, Band- und Studienkollegen zugreifbar sein.
Die anderen sollen es auch nutzen können, um Daten austauschen zu können.
Also kein fixes Büro mit entsprechender IP, sondern mehrere Leute, bzw. mobiler Zugriff meinerseits.
Damit also eher Client to Host, oder?

Dabei geht es um Mitschnitte von Bandproben, Laborprotokolle, Fotos etc.
Eben keine hochsensiblen Firmendaten, nur möcht ich es trotzdem relativ sicher gestalten, schon allein, weil ich kein Skriptkiddie mit meinen Urlaubsfotos in der Hand wissen möchte. (ich weis, am sichersten is es die Fotos nicht auf dem NAS zu speichern)
Bakk, Master, geschweige denn Doktorarbeit und sonstige Arbeiten werd ich dann wohl nicht draufstellen können, Plagiate sind zwar klagbar, das muss aber nicht sein...
Außerdem möchte ich ja nicht, dass mir jemand gleich das komplette NAS kapert und sonst was damit macht.
Deswegen Danke für den Hinweis keine Fernadministration durchzuführen!
Ich werd mir gleich mal selber noch einen "nicht Admin Account" anlegen...

Von der Idee mit VPN bin ich dank Gerald wieder etwas abgekommen.
Ich würde zwar ein bißchen Zeit investieren um mich damit soweit vertraut zu machen, dass ich es halbwegs konfigurieren und verwenden kann.
Aber dem großteil der Leute muss ich es so einfach wie möglich machen, am besten nur einen Link schicken und fertig...
Kann ich per SSL Verbindung dann das oft kritisierte FTP sowie den QNAP Web Fileserver und die Multimedia- und Download-Station sicher genug machen,
dass es für die bösen Hacker zu mühsam wird und sie keine Lust haben mein NAS zu knacken?

Dann kann ich ja auf VPN verzichten und mir einen einfachen Router zulegen.
Der muss ja dann nur eine entsprechende Firewall haben und Portforwarding können...

Gruß,
Voodoochile

Hi!

Ja, bei der Sache mit Fort Knox muss ich zugeben, dass ich da ein bißchen eigen bin...
Ich bin halt oft nicht voll zufrieden, wenn ich nicht die beste Lösung verwenden kann...
Dadurch, dass ich eben geglaubt habe mitbekommen zu haben, dass VPN die sicherste Verbindungsmethode darstellt, wollte ich natürlich die verwenden.
Es stört mich ja auch ein bißchen, dass ich um von extern Zugriff auf mein NAS zu bekommen, den Modem-Router von der Telekom plus einen zweiten Router laufen haben muss.
Und das nur, weil sie mir nicht die Zugangsdaten geben und ich so nicht einfach den TA Router durch einen eigenen Modem-Router ersetzten kann.

Im Übrigen hab ich einen alten WGR614 gefunden, mit dem ich schon ein bißchen herumgespielt hab.
Der reicht Firewalltechnisch hoffentlich, womit mir erpart bleibt einen neuen Router zu kaufen.

So 100%ig hab ich's noch immer nicht zum laufen gebracht, aber ich bin schon auf dem Weg denk ich.
Und obwohl es eher offtopic ist, damit ihr was zum Schmunzeln habt hier mein Vorankommen:

1)Portforwarding mit der Systemportnummer des NAS auf die entsprechende Lan IP gemacht, aber keine Verbindung bekommen.
-> draufgekommen, dass man sich bei diesem Router nur von außen über den Port verbinden kann. Also den Netgear Router so konfiguriert,
dass der TA Router für ihn der Gateway ist und ihn mit seinem Internetport an den TA Router gehängt. Das NAS dan auf dynamische IP gestellt
und an einen der 4 Ports des Netgear gehängt.
Damit hat dann das Portforwarding auf die NAS Starseite geklappt, weil ich mich ja von "außen" (über das Netzwerk am TA Router) verbunden hab.

2)Versucht per SSL auf den Web File Manager / Multimedia Station zuzugreifen.
Kein Erfolg, nichtmal die Nachricht betreffend des unsicheren Zertifikates ist aufgetaucht.
-> nochmal hier im Forum nachgelesen, und über einen Beitrag gestolpert, indem ein User draufgekommen ist, dass er für SSL auch den Port 443 forwarden
muss. Hatte ich's gewusst/gemacht? Nein. Also den Port geöffnet und siehe da, es läuft.

3)Das Firefox Plugin "FireFTP" heruntergeladen, aber keine Verbindung bekommen als im NAS unter FTP nur die SSL/TLS Verbindung aktiviert war,
bzw Verbindung ständig abgebrochen, oder kein Zugriff auf die Ordner. Auch nachdem ich die Ports 20 und 21 geöffnet hatte.
Gewundert, warum die verschiedenen Sicherheitsprotokolle in den Einstellungen von FireFTP nur auswählbar waren,
wenn unter "Connection Type" ein Haken bei "Passive Mode" gesetzt war.
-> zum Thema FTP Ports und aktives/passives FTP gegoogelt. Die Portrange der passiven FTP Ports im Router geöffnet. Tamtamtam... Es lebt!

Ist zwar leider auch Offtopic, aber ich halt mich kurz:
Ich beim testen direkt auf ein paar Ordner gestoßen, deren Dateien ich nicht übertragen konnte.
Error 550 war die Fehlermeldung, hat das jetzt was mit FireFTP zu tun, oder mit einem Fehler im Verzeichnis auf dem NAS?
Was hab ich übersehen?

Kurz gesagt, habe ich:
1) einen Port zum Systemport des NAS
2) Port 443 für SSL/TLS
3) die Ports 20+21 für FTP
4) eine Portrange für das passive FTP
aufgemacht.
Das sind ja ganz schön viele, ist das noch sicher?
Wieviele Ports soll die Range der passiven Ports umfassen?
Ich muss doch nicht alle Ports in der Standardrange öffnen, aber in welchem Bereich und welche Anzahl ist ratsam?
Und was bitte bringt der Punkt "Respond with external IP address for passive FTP connection request" im FTP Menü des NAS?

So, dann werd ich mal bei der Telekom anrufen und sie bitten ihren Router so umzustellen, dass er alles an den Netgear Router weiterleitet,
dann sollte es auch von "wirklich außen" funktionieren.

Vielen herzlichen Dank Christian und Gerald für eure Hilfe!
Ohne euch würde ich wahrscheinlich noch immer an VPN kauen und nicht weiter kommen.
Jetzt kann ich dann bald mein NAS in halbwegs sinnvollem Umfang nutzen und mit meinen Bandkollegen einen kleinen "Server" betreiben!

Nur die allerbesten Grüße und ein glückliches neues Jahr!
Voodoochile

Hi!

Danke Eraser!

Mit oe hat geklappt.
Das war dann wohl ein sehr dummer Anfängerfehler! :oops:
Wirklich böses Lied!
Mit FTP also keine Umlaute.

Jetzt geht Alles!
Die Telekom hat ihren Router auch schon umgestellt.
Ich bin online!
(eineinhalb Stunden und noch keine Attacken. Hurray! Ok, ich bleib dann lieder mal unauffällig!)

Nochmal vielen Dank für eure tolle Unterstüzung hier!!!
Greets,
Voodoochile