Zugriff auf Filestation mittels Fritzbox VPN

    Hallo Leute,


    ich habe auf meiner Fritzbox einen VPN-Tunnel eingerichtet, mit dem ich von ausserhalb mich sowohl in die Fritzbox als auch auf andere IP Adressen meines Heimnetzes einwählen kann. Leider funktioniert das nicht mit der IP der Filestation meines QNAP TS251+. Was müsste ich denn da und wo einstellen, damit ich von auuserhalb auf die Filestation zugreifen kann? Muss ich da irgendwelche Berechtigungen noch vergeben oder VPN-Einstellungen machen (habe diese aber nicht gefunden). Könnt Ihr mir da weiterhelfen?


    Herzlichen Dank!!! :)

    Moin,

    zu anderen Geräten in deinem LAN kannst du aber eine Verbindung aufbauen? Wie sieht es mit Weboberfläche oder anderen Diensten vom NAS aus?

    Habe einen Temperatursensor im Netz, den kann ich über Internet via VPN der Fritzbox unter Eingabe der http://IP-Adresse/Ordner/...esp problemlos öffnen. Auch die Fritzbox-Oberfläche mittels https://IP-Adresse lässt sich problemlos öffnen.

    Wenn ich aber http://IP-Adresse:8080/cgi-bin/index.cgi oder http://IP-Adresse:8080/filestation eingebe, dann erscheint die Meldung "Netzwerkzeitüberschreitung"...

    Hast du den Zugriffsschutz auf dem NAS aktiv?

    Wurden hier nur bestimmte Bereiche oder IPs zugelassen?

    Hm, da ich ein vpn an einer Fritte nie genutzt habe und auch keine mehr habe weiß ich leider nicht wie die Fritte die routen einrichtet, da müsstest du auf Hilfe von jemandem warten der das Gerät kennt oder so schon umgesetzt hat.

    Wie sehen denn die statischen routen aus? Eventuell muss man die manuell eintragen? Könnte mir in diesem Fall vorstellen dass (warum auch immer) nur eine Route auf den Tempsensor eingerichtet ist. Hast du noch andere Geräte die du anpingen kannst um zu sehen ob es bei denen geht?

    Brauchst keine, die Fritz nutz für VPN die IPs 192.168.x.201+


    Sind also im gleichen Netz wie der rest.

    Zitat von Crazyhorse

    Brauchst keine, die Fritz nutz für VPN die IPs 192.168.x.201+


    Sind also im gleichen Netz wie der rest.

    Gut zu wissen...


    Zitat von Crazyhorse

    Hast du den Zugriffsschutz auf dem NAS aktiv?

    Wurden hier nur bestimmte Bereiche oder IPs zugelassen?

    Wäre ich gar nicht drauf gekommen, manchmal sollte man vielleicht gar nicht erst zu weit weg denken :S

    Einspruch! ;)

    Ich hatte auf meiner Fritte einen ganz anderen IP Bereich als 192.168.x.x, im Client auf den Win PCs (ShrewSoft) wurde das entsprechende Netzwerk eingetragen und der Client erhielt dann eine DHCP IP aus diesem Netzwerk.

    Damit war der Rechner per VPN im LAN und man konnte ohne weitere

    Einstellungen auf alles zugreifen.

    Der Zugriff auf die NAS Oberfläche sollte also wie aus dem LAN gewohnt möglich sein.

    Auf meinen Androiden hat es genauso problemlos funktioniert.


    Wenn Du eine VPN Verbindung hast, dann prüfe doch mal mit ipconfig /all, was alles für Netzwerkparameter ausgegeben werden.


    Gruss

    Also, habe nachgeschaut. Ich habe eine Zugriffserlaubnis nur für IP-Bereich 192.168.178.1 sowie 192.168.178.1 bis ...99. Wenn ich das abschaltete auf "Alle Verbindungen zulassen", dann ging es!!! Aber das erschien mir dann doch ein wenig zu unsicher, insofern war die Frage, was ich noch zulassen müsste, damit der VPN der Fritzbox auch erlaubt wird. Dabei wunderte es mich, da die Fritzbox ja die 192.168.178.1 hat.


    Im VPN der Fritzbox wird ja aber eine "kryptische" Serveradresse "jyz...myfritz.net" verwendet. Eine IP habe ich dann gefunden unter "VPN-Verbindungen zur FRITZ!Box!", dort ist eine IP "109.xx.xxx.xxx" als "Adresse im Internet hinterlegt". Diese habe ich jetzt auch freigegeben im QNAP und nun funktioniert es prinzipiell über die "http://192.168.178.xx:8080/filestation". Super soweit!!!


    Jetzt aber eine letzte Frage: Ist das safe, wenn ich diese "Adresse im Internet" für Zugriffe freigebe auf dem QNAP, ist die einzigartig und bleibt die immer gleich auf der Fritzbox, oder ändert die sich immer wieder, von alleine oder so? Wohl nicht, denke ich... aber ist sie bedenkenlos freigebbar? Bin da echt unsicher als ziemlicher Netzwerk-Laie (bin schon stolz, dass ich das jetzt soweit hingekriegt habe und dem QNAP TS251+ auch in Eigenarbeit die 2GB RAM auf 8 GB aufgerüstet habe gestern ^^)

    Hallo,


    ich vermute, dass deine Fritz-Box dein NAS nicht im Internet sichtbar macht. Unter dieser Voraussetzung würde ich "alle Verbindungen zulassen" als akzeptabel ansehen, denn es können ja nur Anfragen aus dem lokalen Netz und dem (akzeptierten) VPN kommen.


    Gruß

    Reinhold

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von uro-frank

    Jetzt aber eine letzte Frage: Ist das safe, wenn ich diese "Adresse im Internet" für Zugriffe freigebe auf dem QNAP, ist die einzigartig und bleibt die immer gleich auf der Fritzbox, oder ändert die sich immer wieder, von alleine oder so?

    Das ist die adresse, die dir dein Provider aktuell zugewiesen hat, diese ändert sich durchaus wenn du nicht bewusst eine statische IP geordert hast.

    Sauber ist das so jedenfalls nicht.

    Mach mal das was FSC830 gesagt hat, damit wir sehen was für eine IP Du vom VPN bekommst, diesen Bereich gibst du dann ebenfalls frei. Oder wie mein Vorredner bereits sagt: alles freigeben wenn du in Deinem LAN nicht bewusst etwas einschränken willst, von draußen sorgt ja deine FB/ Firewall dafür dass niemand reinkommt (und wenn da schon jemand drin ist, dann ist die Restriktion des Adressbereichs am qnap sowieso ein Witz ;)).

    Und noch eine Zusatzfrage, wenn ich schon dabei bin diese "neue Welt" für mich zu nutzen. Habe das ja jetzt über mein Android-Phone gemacht mit VPN-Verbindung. Wenn ich das jetzt von einem anderen PC aus machen möchte, z.B. in der Arbeit, wie macht man das mit einem Win10-PC? Gibt es da auch so eine VPN-App sozusagen, die genauso eingerichtet wird, wie am Androiden?

    Ja die heißt Shrew Soft... Aber nicht erschrecken wenn Du als neueste Version eine von vor 5 Jahren findest, das Ding ist leider uralt und wird scheinbar nicht mehr gepflegt (für mich übrigens unverständlich dass AVM so einen Mist anbietet).

    Andere Software gibt es meines Wissens nicht.

    Mit

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zitat von tiermutter

    Mach mal das was FSC830 gesagt hat, damit wir sehen was für eine IP Du vom VPN bekommst,

    meinst du "ipconfig /all" von meinem Windows-PC im Netz aus laufen lassen? Und dann hier das Ergebnis einstellen? Das sind VIEEEELE Zeilen, welche interessieren Euch denn?


    Bin jetzt mal leider für eine gewisse Zeit "offline", mache dann später weiter, oder morgen, wenn Ihr das beantwortet habt... Bis hierher schonmal HERZLICHEN DANK!!!

    Wie sich gerade herausgestellt hat hast du das VPN aktuell ja nur auf Android laufen, demnach hilft uns das auf deinem Rechner gerade nicht. Eventuell zeigt dir deine VPN App auf Android aber an, welche IP Dir zugewiesen wurde...

    Nein, Du musst das hier nicht veröffentlichen. :)

    Du sollst nur kontrollieren, ob Du dann eine Adresse aus Deinem Heimnetz am VPN Adapter erhältst.

    Wenn das LAN das Netzwerk 192.168.178.0/24 umfasst (das wären alle Adressen von 192.168.178.1 bis 192.168.178.254) dann mußt Du diesen Bereich auch zulassen.

    Oben hast Du gesagt, Du hattest nur den Bereich .1 bis .99 freigegeben.

    Wenn der VPN Client eine IP über .99 erhalten hat, dann ist es kein Wunder, das der Zugriff nicht ging.

    Die WAN Adresse musst und solltest Du dort nicht eintragen!


    Gruss

    Zitat von uro-frank

    Wenn ich das abschaltete auf "Alle Verbindungen zulassen", dann ging es!!! Aber das erschien mir dann doch ein wenig zu unsicher

    Ich verwende dies ganzen pseudo Schutzfunktionen auf QTS nicht.

    Wenn ich in meiner Firewall jemanden dafür freischalte, da hat er Zugriff, das ist meine zentrale Stelle, da schraube ich doch nicht noch am Endgeräte in dem Fall QNAP rum.


    Bringt eh keine Sicherheit, da ich die exakte Arbeitsweise der Implementierung in QTS nicht kenne, kann ich mich nicht drauf verlassen.

    In der Vergangenheit wurden auch schon einige Systeme die das aktiv hatte, erfolgreich übernommen, da vom Internet aus erreichbar.


    Mit ist aber kein Fall bekannt, bei dem es ein Angreifer geschafft hat die PSKs für die VPN Verbindung eines User zu knacken und dann über das VPN zu connecten um das NAS zu übernehmen.


    Wenn du das aber für dein Gewissen verwenden willst, dann trage das ganze lokal verwendete Netz ein, also bei dir 192.168.178.0/24 oder 192.168.178.1 bis 192.168.178.254.


    Zudem solltest du den Bereich ändern, denn wenn du bei jemandem zu Besuch bist, der auch eine Fritz hat mit dem Netz, kannst du dich nicht verbinden.

    Zitat von tiermutter

    Ja die heißt Shrew Soft... Aber nicht erschrecken wenn Du als neueste Version eine von vor 5 Jahren

    Das war auch einer der Gründe, warum jetzt hier ein Netgate SG steht und ein sauberer IPsec IKEv2 Tunnel läuft, der mit 2 Zeilen Powershell in Win 10 hinterlegt ist. Und beim Verbinden mit 3 Mauskicks aufgebaut ist. Zudem ist der Tunnel der Fritz gurken Langsam, hier ist jetzt die Leitung das Limit dank Hardware Crypto.


    Das gleiche für iOS, hier einfach das Profil passend erstelle und rein ins Handy, User + Kennwort für EAP angeben und fertig.


    Was noch aussteht ist Zertifikatsbasiertes VPN, da muss ich mich noch mal durch arbeiten, aber jeder brauch Projekte in seiner Freizeit:evil:

    Ja, aber mit dem VPN der Fritte kommt der m.W. nicht klar, dazu braucht man den ShrewSoft.

    Jetzt, mit der Netgate, reicht der native Win10 Client :).


    Gruss

    Der Win 10 kann halt nur aktuelles IPsce mit IKEv2, die Fritz kan nur IKEv1 und das ist legacy und damit aus Sicherheitsgründen einsetzbar.


    Klar gibt es Clients die auch noch so was unterstützen, aber wenn ich MS wäre, würde ich das auch nicht mehr mit onboard Mitteln unterstützen, wenn es doch deutlich neuere Lösungen seit Jahren gibt.