QNAP ins Internet verbinden

    Offenbar wurde ich falsch verstanden.

    Ich habe nie über Geld gesprochen oder was es kosten darf.

    Ich hätte gerne eine Lösung.

    Ich habe nur wiedergegeben, das hier offenbar viele eine Fritzbox benutzen, ohne diese oder andere zu kennen.


    Es geht darum, das sie erstens von Chello akzeptiert und anschliessbar ist

    das auch der darüber führende Telefonanschluss funktioniert.

    Das mein WiFree Anschluß erhalten bleibt.

    Das ich mittels VPN von Aussen auf das NAS zugreifen kann ( repektive meine Familie )

    Das war auch mit ein Grund, warum ich mir diese Ding angeschafft habe, denn sonst hätte es ja ein normaler Massenspeicher auch getan.


    Darum meine Anfrage, wer mit einem Chelloanschluß sich dies realisiert hat.

    Und wie es den Firmen sonst lösen.

    Firmen machen nur VPN nichts anderes!

    Zudem mit zwei Faktor Authentisierung.


    Der WiFi Spot muss dann aber entfallen.

    Über das eigene Gerät kann der nicht abgewickelt werden.

    Ggf. wenn du die Fritz mieten kannst.

    Warum sollte man sich wegen einer Portweiterleitung einen neuen Router kaufen ?


    Chello gibts wohl nicht mehr, das ist jetzt UPC Schweiz, also der gleiche Laden wie UnityMedia hier ( Liberty Global).


    Was da jetzt genau für eine ConnectBox verwendet wird, kann ich nicht sagen.


    Diese hier kann auch Portweiterleitungen.


    https://www.upc.ch/pdf/support…connect-box-anleitung.PDF


    Wenn's ums VPN geht, ich bin da eher OpenVPN Fan.Das geht mit ner Fritz sowieso nich ;)


    Ein VPN welches am Router terminiert ist, bringt auch nicht mehr Sicherheit, wenn man das dahinterliegende LAN mit NAS dann

    trotzdem ins VPN weiterreicht.

    Zitat von DocHollywood

    Ein VPN welches am Router terminiert ist, bringt auch nicht mehr Sicherheit, wenn man das dahinterliegende LAN mit NAS dann

    trotzdem ins VPN weiterreicht.

    Das verstehe ich jetzt nicht so ganz.


    Du findest es also Sinnvoller, einen Port direkt auf das NAS System weiter zu leiten und dieses dann als VPN GW zu verwenden?

    Da hast du dann zwar schönes open VPN, aber wenn in der implementierung ein zero Day drin ist, dann übernimmt man von außen einfach gleich die ganze Kiste.


    Beim Aufbau vom VPN Tunnel, wird Benutzer + Kennwort und dann noch mal ein geheimer Schlüssel ausgetauscht und erst wenn das alles passt, dann darf sich z.B. das Handy verbinden. Bekommt dann eine interne IP und ist quasi im Heimnetzwerk.

    So kommt es dann an alle Geräte dran, bei der FritzBox klingelt dann auch die App wenn jemand anruft, seht witzig.

    Da wird also das NAS nicht einfach so ins Internet durchgereicht.


    Das Endgerät wird über den Tunnel in das Heimnetz hineinversetzt.


    Daher ist ein VPN die sicherste Lösung, von überall auf der Welt auf die eigenen Daten zugreifen zu können.

    Zudem kann man auch in ungesicherten WLAN Umgebungen, dank des VPNs, über den eigenen Internetanschluss Geoblocking umgehen und z.B. aus Basilien deutsches Netflix schauen. Oder sorgenfrei Onlinebanking nutzen, obwohl man in einem ungesichertem Hotel WLAN hängt.

    Habe es zwar geschafft, mittels QNAP und openVPN einen Tunnel von meinem Sohn zu der IP meines NAS zu installieren, aber zu dem NAS komme ich irgendwie trotzdem nicht.

    Offenbar fehlt da noch Einstellungen.

    Aber welche?

    Wer weiß bitte mehr?

    Danke.

    Zitat von Crazyhorse

    Du findest es also Sinnvoller, einen Port direkt auf das NAS System weiter zu leiten und dieses dann als VPN GW zu verwenden?

    Da hast du dann zwar schönes open VPN, aber wenn in der implementierung ein zero Day drin ist, dann übernimmt man von außen einfach gleich die ganze Kiste.


    Ob es sinnvoller ist, sei mal dahingestellt, aber wenn man nunmal keinen VPN Router besitzt und das NAS das schon eingebaut hat, dann bietet es sich an.

    Zitat von DocHollywood

    aber wenn man nunmal keinen VPN Router besitzt und das NAS das schon eingebaut hat, dann bietet es sich an.


    Ein klares nein. Vielleicht kommt es mir nur so vor aber die Malwarefunde scheinen zu zunehmen. Und betroffen waren solche NASen wo das NAS per Portforwarding erreichbar war. Ob durch Zero Day lücken, veraltete App/Firmware od. schwache Passwörter kann ich nicht beurteilen. Also wenn mein Router das nicht kann, lass ich es.

    Ich weiß nur nicht ob esmit dem Router so schlau ist.

    In mein Asus Router kann ich mit ein paar klicks ein OpenVPN Server einrichten und starten, aber wenn sich jemand darüber verbindet kann er alle meine Lan Geräte im Netz sehen. Mir wer das zu unsicher. Bei meinen externen VPN Server sieht man nur die Geräte die man mit verbindet. Sprich Qnap Nas verbinde ich mit OpenVPN und einen externen PC, dann sieht der nur mein Qnap Nas und nicht das ganze Lan.

    Jeder kann mit seinen Daten und Geräte machen was er will und Sicherheit muss Verhältnismäßig sein.


    Für mich bedeutet das im Haus da sich ein UTM einsetzten möchte und alle nach Geräteklassen trenne, eine L3 Switch verwende und Cams, Smart Home in DMZ Netzen weg sperre, da die Komponenten Angreifbar sind.


    Von mir aus kannst du dein NAS auch als exposed Host ins Netz stellen.


    ----------------------

    Bei einer richtigen Firewall kann ich das auch Regeln, da kann ich USER ACLs/ACEs erstellen oder das über Gruppen steuern.

    Das kann man also bis ins extrem treiben.


    In der Firma erstellen wir z.B. für jeden Dienstleisterzugang eine eigenen ACL, so das er nur auf seine System zugreifen kann, egal wo dann räumlich stehen.


    Das übersteigt aber die Möglichkeiten eines Home Device bei weitem.

    Einmal editiert, zuletzt von Crazyhorse ()

    Zitat von Jagi

    Ein klares nein.


    Wenn man es sicher haben will, dann läßt man das ganz.Jetzt einfach davon auszugehen, dass ein Fritz VPN schon sicher sein wird, ist kein besseres Sicherheitskonzept.Im Gegenteil, gerade eine Fritzbox bietet sehr wenig Kontrolle über ein VPN.Und Fritzboxen waren doch auch schon betroffen von solchen Lücken.Wenn da jemand einbricht, ist er in Deinem LAN.Und kann potentiell überall im LAN zugreifen.Dann hat dieser jemand vlt. noch kein User/Password für das NAS, allerdings hätte er das auch nicht, wenn es ihm gelingen sollte, in das OpenVPN der QNAP einzubrechen.Theoretisch hätte er mit einer Lücke auch mehr Möglichkeiten auf dem NAS; wenn er root wird, das ist richtig.Manchmal macht man eben Kompromisse, ich wollte jetzt auch gar nicht sein Konzept auf völlige Sicherheit bewerten, sondern nur die naheliegendste Möglichkeit aufzeigen.Richtig sicher wird es für jemanden, der sich nicht auskennt, sowieso nicht werden, da fehlt einfach die Kontrolle.

    Das waren dann aber Boxen die nicht mit der aktuellen Firmware bestückt waren, oh Wunder!


    Da sind aber auch Ciscos angreifbar wenn die Jahre nicht aktualisiert werden.


    Wie bei WannaCry, der Patch war Monate raus, wer zu doof war den zu installieren, sorry kein Mitleid!

    Zitat von Crazyhorse

    Das übersteigt aber die Möglichkeiten eines Home Device bei weitem.

    Man kann auch im Heimbereich bezahlbar viele fortgeschrittene Techniken benutzen, ohne sich das gleich die Mega Appliance da hinzustellen, z.B, mit einer pfsense/OPNSense Firewall.Da hat man schon sehr viel Kontrolle.Das Problem is noch nichtmal, dass die Konfiguration schwierig wäre, die haben ein sehr schönes aufgeräumtes GUI, man muß halt nur wissen, was man da konfigurieren soll.

    Zitat von G.M.H.

    Habe es zwar geschafft, mittels QNAP und openVPN einen Tunnel von meinem Sohn zu der IP meines NAS zu installieren, aber zu dem NAS komme ich irgendwie trotzdem nicht.

    Wenn eine Verbindung aufgebaut wird, solltest dein Sohn auch aufs Nas kommen.


    Hier zum Thema eine etwas ältere Anleitung. Auch die Kommentare lesen, denn zwischenzeitlich gab es wohl einen Bug in der Firmware, der zu Verbindungsproblemen führte.

    pfSense ist aber wieder eine Enterprise Appliance und geht über das was ein Homeuser einstellen kann weit hinaus.

    Da muss man schon wissen was man tut.

    Zudem hat man die mit wenigen Mauskicks um Snot erweitert und mit weiteren Mausklicks die IPS Funktion aktiviert und schon geht nix mehr ||


    Das ist nicht für den durchschnittlichen Heimanwender, da muss man schon viel Grundlagenwissen mit bringen, sonst wird man daran verzweifeln.

    phoneo

    Zitat von phoneo

    Wenn eine Verbindung aufgebaut wird, solltest dein Sohn auch aufs Nas kommen.

    Ich darf mich präzisieren.

    ICH saß vor dem Computer meines Sohnes und konnte mittels QVPN und openVPN einen Tunnel von seinem Computer zu der IP Adresse des NAS zusammenbringen.

    Dies sah man nach dem Verbindungsaufbau auf der QNAP QVPN Client Anwendung. Das Stück von der NAS IP zum NAS selbst konnte nicht aufgebaut werden.

    Der Client schlug vor sich an den NAS Administrator zu wenden.

    (der da ich bin )

    Als ich mittels Teamviewer auf meinem Computer auf das NAS einstieg, sah ich in den Verbindungen sehr wohl die Verbindung und am Schemata auch.

    Trotzdem war es mir nicht möglich vom Computer des Sohnemannes z.B. mittels Qfinder auf die NAS Oberfläche zu kommen.

    Sorry für die laienhafte Ausdrucksweise eines alten Mannes.

    Fertige einen Traceroute von der Client IP zur IP des NAS Systems an, dann kann man ggf. sehen wo es denn klemmt.

    Hast du den IP-Adressbereich für den VPN-Clienten (siehe Anleitung) auf deinem NAS geändert? Dieser Adressbereich darf auf gar keinen Fall der gleiche Adressbereich sein, den man üblicherweise im Heimnetzwerk (192.168.1. ...) hat.

    Crazyhorse


    Zitat von Crazyhorse

    Fertige einen Traceroute von der Client IP zur IP des NAS Systems an


    Was ist das?

    Wie schon geschrieben, ich bin hiermit nicht bewandert

    Wie macht man sowas?