VPN lieber an der NAS oder am Router einstellen

  • Hallo zusammen,
    habe es nun nach langem gebastel endlich geschafft den VPN Zugang an meiner TS 251+ einzurichten. 3 Windows PC's und 3 Iphones haben schon Zugang. Ein MacBook bekomme ich sicherlich auch noch hin.
    Nun hatte ich mir aber im Zuge dieser Ganzen Operation einen neuen Router (FritzBox 7590) gekauft und mußte feststellen: Der kann ja auch VPN.
    Und gestern meinte jemand hier aus dem Forum, warum ich denn nicht einfach den VPN Zugang über die Fritzbox laufen lassen würde.
    Auf der einen Seite denke ich, ja klar, macht Sinn, nur einen Port offen. Aber auf der anderen Seite denke ich das da dann mein kompletter Router im Netz steht.
    Was meint ihr? Irgendwelche Argumente? Was ist besser?


    Besten Dank schonmal
    Christoph

  • Du bist schon auf der richtigen Spur, warum der VPN-Server auf den Router gehört. Allerdings ist dabei kein Port offen, im Gegensatz zum Server auf dem NAS. Da muss ein Port offen sein und damit eine potentielle Schwachstelle. Dein Router hängt so oder so im Netz, nur eben ohne geöffnete Ports.
    Ganz nebenbei hast Du dann auch Zugriff auf Dein gesamtes Netzwerk, so kann man von unterwegs drucken, den SAT-Receiver programmieren usw.

  • und für die Fritzbox gibt es dann auch sehr bequeme Apps, mit denen man schön einfach ins Netz kommt...


    VPN sollte auf dem Gerät laufen, dass "als erstes" ins Netz muss, und das ist der Router.

  • Wie ich geschrieben habe... SICHER ist VPN auf der Fritzbox... kein offener Port...

    Meiner Ansicht nach ist diese Aussage falsch. Natürlich muss auch bei Fritz-VPN ein Port offen sein, wie sollte man sonst mit dem Fritz-VPN-Server eine Verbindung aufbauen können?! Es wird halt nur so sein, dass der Port automatisch innerhalb der Fritzbox geroutet wird und externe Anfragen nicht ins interne Netz weitergeleitet werden müssen. Das ist schon mal ein großer Vorteil. Aber auf der Fritzbox läuft auch "nur" eine Software und die ist wie jede andere Software nicht vor Schwachstellen geschützt. Schafft es also ein Angreifer eine Sicherheitslücke auszunutzen um den VPN-Server auf dem Router zu kapern, ist auch gar nicht sicher, dass er nicht doch auf das interne Netzwerk zugreifen kann.


    Meiner Meinung nach ist die VPN-Lösung auf der Fritzbox auch nicht zu 100% sicher, bestimmt aber sicherer als eine VPN-Nas-Lösung.

  • das stimmt wohl. Der Vorteil ist aber, das eben der Port nicht "direkt" erreichbar ist.


    Sicherheit bieten aber noch nicht mal Bleistift und Papier..

  • phoneo: Du betreibst wieder Haarspalterei. Der VPN- Port auf der Fritte ist nicht "offen", sondern nur durch das entsprechendes Protokoll ansprechbar. Das ist etwas anderes als ein offener Port.

  • Ich habe beim Lesen den Eindruck die Kenntnis über VPN sind rel. flach. Welche Art von VPN meint Ihr eigentlich?


    1. VPN - Zugang, um den selbst verwendeten Zugriff nach Außen zu verschleiern [Verschleierung zum Rest der Welt]
    2. VPN - Möglichkeit, den Zugriff auf das eigene Netz von Außen, verschlüsselt zu ermöglichen.


    Fall 1. kann man weder mit dem Router, noch mit QNAP, lösen. Hier ist ein Zugriff auf einen externen Dienstvermittler notwendig.
    Nur bei Fall 2. ist das möglich. Und ja, das geht sowohl am Router, als auch über die NAS. Es kommt darauf an , wieviele User einen Zugriff benötigen. Hier sind 5-6 User m.E. das oberste Limit. Das funktioniert auch zuverlässig und gut mit Standardmitteln welche AVM zur Verfügung stellt. Der Funktionsumfang der Fritzbox ist beschränkt. Das ist aber alles noch Old-School und basiert i.d.R. auf Username, Passwort und PreShared-Key. Der Zugriff erfolgt über VPN über PPTP, wobei m.E. der Erst-Verbindungsaufbau unverschlüsselt erfolgt, will heißen. Der User frägt mit Benutzernamen und Passwort bei der Fritzbox an, ob er denn Zugriff bekommt. Wenn der User bekannt, und das eingegebene PW dem gespeicherten PW entspricht, wird die Kommunikation ab diesem Zeitpunkt verschlüsselt, und ist somit sicher.


    Abschließend sei angemerkt: Der eigene Router steht immer an vorderster Front und ist vom Internet aus gesehen, der Representatant des privaten Netzes. Die IP-Adressen welche intern verwendet werden, werden von außen nicht geroutet - diese liegen in einem privat Adressbereich. Das ist Internet-intern geregelt, dass diese nicht durchgeschleift werden. Der Router selbst ist der Angriffspunkt sämtlicher Aktivitäten von Außen.


    Markus

  • Der VPN- Port auf der Fritte ist nicht "offen", sondern nur durch ein entsprechendes Protokoll ansprechbar. Das ist etwas anderes als ein offener Port.

    Ist das keine Haarspalterei? 8o


    Meine Kernaussage ist:

    Meiner Meinung nach ist die VPN-Lösung auf der Fritzbox auch nicht zu 100% sicher, bestimmt aber sicherer als eine VPN-Nas-Lösung.

  • Ich finde, es hängt viel mehr davon ab, welchen VPN-Typ man benutzen möchte:


    1.) openVPN
    2.) IPSec
    3.) L2TP/IPSec
    4.) PPTP


    Wenn ich mit dem Windows eigenen VPN-Client fahren möchte, komme ich mit der Fritte nicht weiter...

  • Hallo,


    IPSec als PPTP ist das unsicherste Protokoll. Wenn man es aus einem Hotel benutzt dann kann es z.B. einfach unterbunden werden. Es wird halt der Login noch nicht verschlüsselt. Aber wir wollen eine Verbindung von Unterwegs nach Haus aufbauen. Da ist es sicher genug. Die Verbindung erfolgt verschlüsselt und das ist die Hauptsache.


    Wir können uns einen Login Server zu Hause installieren der lediglich die VPN Verbindungen für 3 Leute manaaged. Aber ist das sicherer ? Wenn der Rechner gekapert wird ?


    Ich verwende nicht den Fritzbox ddns Dienst, da der ja auch schon mal gehackt wurde...


    Eigener DDNS Dienst. - Lange Passwörter und ich habe Zugriff ohne das mein NAS im Netz hängt.
    Mir reicht es schon wenn ich sehe was mein Server im Netz aushalten muss.

  • Dieses Forum mit seinen Halbwahrheiten die jeder nachbeten und liken kann amüsiert mich immer mehr..


    VPN und der Port ist nicht offen, aber über ein Protokoll ansprechbar? Erzählt mir mehr von dem heißen Schei* und gebt mir was von eurem Zeug ab, ja?

  • hier tummeln sich Anwender wie ich.


    Niemand hier muss die Absicht haben, ein Vollprofi zu sein, um hier Fragen oder Antworten zu dürfen.


    Wir "Normalos" freuen uns aber sehr über Laienverständliche Hilfe gerade und auch von Profis!


    Wo also @moepstar ist dein inhaltlicher Beitrag, und nicht nur das werfen von Belustigung und Häme? Es ist ja scheinbar kinderleicht zu erklären!

  • Da wir hier in einem Nas-Forum sind und nicht in irgendeiner Boulevard-Klatschspalte, sollte man schon auf falsche Erklärungen/Argumentationen aufmerksam machen. Wobei sich jetzt bitte nicht eine Diskussion über "offene", "geöffnete" bzw. "open" Ports entwickeln sollte. Eine allgemeingültige simple Erklärung ist vielleicht diese hier: Ein offener Port ist eine Adresse auf der der Router entsprechend adressierte Nachrichtenpakete entgegennimmt und weiterverarbeitet/weiterleitet.


    Bei einer Nas-VPN-Konfiguration muss der Router die Nachrichtenpakete ins interne Netz weiterleiten. Das muss der Admin mit einer Portweiterleitung entsprechend konfigurieren. Bei einer Fritz-VPN-Konfiguration werden die Ports von der Router-Software automatisch geöffnet und die entsprechenden Nachrichtenpakete routerintern weiterverarbeitet. In beiden Fällen sind die zur Kommunikation notwendigen Ports geöffnet.


    Für Zweifler poste ich die Port-Übersicht einer Fritzbox die mit Fritz-VPN läuft.


    Ports_Fritzbox.jpg



    Und deshalb sind einige der zuvor getroffenen Aussagen wie diese hier einfach falsch:



    Du bist schon auf der richtigen Spur, warum der VPN-Server auf den Router gehört. Allerdings ist dabei kein Port offen, im Gegensatz zum Server auf dem NAS. Da muss ein Port offen sein und damit eine potentielle Schwachstelle. Dein Router hängt so oder so im Netz, nur eben ohne geöffnete Ports.

    Einmal editiert, zuletzt von phoneo ()

  • Ok,
    allen die mir hier geantwortet haben: Danke.
    Ich wollte hier keinen Streit vom Zaune brechen.
    Um es kurz zusammenzufassen: Es ist besser Den VPN Zugang über die Fritzbox zu steuern. (Ich hoffe, ich habe mich korrekt ausgedrückt)


    Beste Grüße
    Christoph

  • ?( Wieso arten eigentlich in letzter Zeit so viele einfache Fragen in lange Diskussionen aus, über Dinge die der Themensteller so eigentlich gar nicht wissen wollte. ?(
    SoniceReducer wollte eigentlich nur wissen ob es besser ist über Router oder NAS - also mehr oder weniger eine ja oder nein Frage. Ob es jetzt offener Port heißt oder nicht **schulterzuck**.
    Nach den Antworten die hier gegeben wurden muss ich mich bald selbst fragen was besser ist. Es kann wohl nicht das Ziel sein den Themensteller vollends zu verwirren. :D

  • Hallo,


    VPN auf der Fritte würde ich immer vorziehen.
    Schon aus einem Grund der hier noch nicht erwähnt wurde - Sicherheitsupdates!


    Wenn du VPN auf diversen Geräten hast, dann musst du dich um die Sicherheit von jedem Gerät kümmern, mit all den möglichen Problemen. Bei VPN auf der Fritte hast du nur ein Gerät. AVM ist dafür bekannt (im Normalfall) schnell zu reagieren wenn eine Lücke auftaucht.


    Grüße
    kasimodo

  • Mit der MyFritz-App ist VPN sehr schön einfach zu benutzen, bei minimalstem Konfigurationsaufwand.


    Fritz-App VPN.PNG


    Es kann wohl nicht das Ziel sein den Themensteller vollends zu verwirren.

    Nein, das nicht, aber ein paar hilfreiche Antworten, wie das denn nun ist, und nicht nur Belehrungen über das unvollständige Wissen derer, die hier helfen wollen, wäre eben das Richtige gewesen.


    VPN im Router finde ich besser, weil logischer. myQNAPcloud kann für die Nicht-Profis eine schöne und hilfreiche Alternative sein. Vor allem, weil man da auch weitere Leute leicht einbinden kann.


    Alles weitere ist eben schon ein bisschen frickeliger. Aber da gibt es dann je einige gute Anleitungen hier im Forum von den Computerverstehern, die das erklären können, und das vor allem dann auch mal tun.