QuFirewall und Zugriff via VPN auf die Freigabeordner

  • Hallo,


    ich habe die QuFirewall auf dem NAS installiert und diese mit "basic protection" aktiviert.

    Im Homeoffice kann ich mich wie gewohnt mit dem Server verbinden (QVPN L2TP Login OK).

    Aber ich bekomme keinen Zugriff auf die Freigabeordner.


    Der Verbindungsaufbau dauert ca. 1 min und dann bricht er ab. Das Log sagt:

    Code
    [QuFirewall] the denied amount reach the set threshold: 50".

    Was sind die 50? Der Timeout Wert?


    Wie bekomm ich das zum Laufen? :)


    QNAP FW: v. 5.0.0.1828

    QuFW: v. 2.1.0


    Gruß

    timoe

  • Der Wert ist eine Schwelle und sagt nur, dass die FW 50x den Zugriff verweigert hat.


    Hast du Screenshots zu den einzelnen Regeln? Scheinbar ist aus dem VPN kein Zugriff erlaubt. Bzw. nur auf die GUI, sofern mit "Login OK" gemeint ist, dass man sich in der GUI einloggen kann.

  • Wenn du Zugriffsversuche von externen IPs erlitten hast solltest Du dringend dafür sorgen, dass das NAS nicht direkt aus dem Internet erreichbar ist, maximal auf dem VPN Port.

    Damit das VPN auch Zugriff aufs NAS hat muss relativ weit oben, in jedem Fall vor all ipv4 any any any block  eine Regel die besagt, dass das VPN (bzw. dessen IP) Zugriff haben darf.

    Momentan stellt sich das so dar (grob) :

    1. LAN Teilnehmer haben Zugriff

    2. Alle deutschen IP haben Zugriff

    3. Alles was nicht deutsche IP oder LAN ist wird geblockt


    Somit kannst du mit einer deutschen IP das VPN zum QNAP zwar aufbauen, sobald Du Dich im Tunnel befindest und dessen IP verwendet wird, wird diese geblockt.

    Je nach Einstellung (Portfreigabe) in deinem Router könntest Du sogar direkt und ohne VPN zugreifen, daher maximal eine Portweiterleitung für das VPN einrichten (IPsec braucht glaube ich mehrere).

    Mit einer ausländischen IP könntest Du Dich übrigens erst gar nicht mit dem VPN verbinden.

    Bei den Betrachtungen ist die Regel mit den Applications nicht berücksichtigt, hier verstehe/ sehe ich nicht so recht was die genau anstellt.

  • Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    ...nicht direkt aus dem Internet erreichbar...

    reicht es, wenn ich die Standard Ports (HTTP 8080, HTTPS 443) ändere?



    Ich müsste also NAS Zugriff nur von internen IPs:


    192.168.2.x (LAN, Büro)

    192.168.3.x (VPN L2TP)

    192.168.4.x (VPN QBelt)


    zulassen?

    Wie genau stelle ich das an, ohne mich auszusperren? :)


    pasted-from-clipboard.png


    Vielleicht so?

    Einmal editiert, zuletzt von timoe ()

  • reicht es, wenn ich die Standard Ports (HTTP 8080, HTTPS 443) ändere?

    nein, das zögert einen erfolgreichen Angriff maximal etwas hinaus...

    Wenn Du aber ohnehin ein VPN verwenden willst brauchst Du auch gar keine Portfreigaben (außer halt für VPN), mit denen Du die Dienste (zb HTTPS) aus dem Internet erreichbar machst... das VPN ist ja dafür da, damit eben genau das NICHT gemacht werden muss.

    192.168.3.x (VPN L2TP)

    192.168.4.x (VPN QBelt)

    Warum zwei VPN? Eins sollte eigentlich reichen wenn Du keine speziellen Anforderungen hast.

    Ich sehe auch grad dass Du L2TP verwenden willst, hatte IPsec in Erinnerung... auf keinen Fall L2TP verwenden, das ist ultra veraltet und mega unsicher!!!

    Qbelt kenne ich nicht, ich würde Wireguard (ab QTS 5) oder OpenVPN bevorzugen.

    Wie genau stelle ich das an, ohne mich auszusperren?

    Da Du dafür ja nur eine weitere ALLOW Regel einbauen musst, wirst Du Dich nicht aussperren können ;)

    Wie genau man das in der QuFirewall anlegt (also was man anklicken muss) weiß ich nicht, da ich sie nicht verwende.

    Im Grunde muss die Regel etwas so aussehen wie die all IPv4 any any Germany, nur dass "Germany" durch den Adressbereich des VPN ersetzt wird (zB 192.168.3.0/24)

  • Danke, dann sollte das ja so wie im Screenshot passen (Range 192.168.3.1 bis 192.168.4.255).


    ich meinte natürlich "L2TP über IPSec". Das ist im macOS integriert und man brauche keine Zusatzsoftware. Ist dieses "L2TP" dann i. O.?


    QBelt nutze ich als alternativen Typ, da "L2TP" am Heimrechner mit Win10 nicht verbinden wollte.

  • ich meinte natürlich "L2TP über IPSec".

    Sorry mein Fehler... war etwas in Eile und habe PPTP daraus gemacht :D

    Ist dieses "L2TP" dann i. O.?

    Ja :)

    QBelt nutze ich als alternativen Typ, da "L2TP" am Heimrechner mit Win10 nicht verbinden wollte.

    Ok, wenn nicht zwingend erforderlich würde ich aber wirklich nur auf ein Protokoll satteln, zumal zumindest mir Qbelt unbekannt ist und ich nicht weiß wir hart das gesichert ist.

    Unterm Strich würde ich für Roadwarrior dennoch Wireguard oder OVPN nehmen, aber ich hatte mit IPsec auch noch keine Berührungspunkte.

    Danke, dann sollte das ja so wie im Screenshot passen (Range 192.168.3.1 bis 192.168.4.255).

    Der kam wohl beim Edit und habe ich noch nicht gesehen. Was genau steht denn da bei den IPs, das ist abgeschnitten?!

    Da Du aber zwei Adressbereich konfigurieren willst würde ich auch für jeden eine Regel erstellen, so wie Du es hier beschrieben hast versuchst Du beide Adressbereiche in einem anzugeben... auf diese Idee bin ich noch nie gekommen und weiß nichtmal ob das funktionieren kann ;) Also je eine Regel mit:

    192.168.3.0/24 und 192.168.4.0/24

  • Für das QNAP-NAS gibt es wireguard unter QVPN.

    Bin am Überlegen das auf jeweils einem QNAP hinter der Fritzbox an zwei Standorte laufen zu lassen.

    Das Wireguard-Protokoll soll ja angeblich wesentlich höhere Datenraten ermöglichen.

    Hat schon jemand Erfahrungen?

  • Was genau hast Du denn mit dem VPN vor?

    Wireguard ist zumindest auf Geräten die kein AES-NI unterstützen schneller in der Datenübertragung als zB OpenVPN.

    Ansonsten ist der Verbindungsaufbau bei WG halt ultra fix, das sollte aber kein entscheidendes Kriterium sein.

    Achja, Geschwindigkeit kommt natürlich auch darauf an wie WG implementiert ist... Bei Linux Kernel >=5.6 ist WG ja direkt darin implementiert.


    Ich finde WG im Gegensatz zu OVPN noch recht kompliziert zu konfigurieren, aber das liegt wohl nur daran dass WG noch neu für mich ist :)

    Auch die Implementierung in QVPN finde ich noch etwas ungeschickt, so habe ich zB noch keine clientseitigen Protokolle gesehen, aber da wird sich sicherlich noch was tun.


    Hier habe mal schnell was dazu geschrieben gehabt: Quick Guide - Wireguard Server auf QNAP einrichten


    Unter Strich ist das aber eher ein separates Thema :)

    2 Mal editiert, zuletzt von tiermutter ()

  • Was genau hast Du denn mit dem VPN vor?

    Datensicherung HBS3 mit zwei QNAP-NAS an zwei Standorten. Bei der Eingabe scheitere ich schon am Servernamen der einen Bindestrich enthält. Hier bleibt die Maske rot.

    Bindestrich soll aber laut Anleitung ein gültiges Zeichen sein.

  • Bindestrich soll aber laut Anleitung ein gültiges Zeichen sein.

    Nicht wirklich, die Striche die Du siehst bedeuten "bis" und geben die Range für Zahlen und Buchstaben an ;)