QNAP - VPN

    Ein Hallo an die Community!


    ICH BIN NEU HIER ;)


    Ich hätte mal eine Frage bezüglich VPN (Zugriff über das Internet auf mein NAS).


    Alles funktioniert soweit super, nur stelle ich mir gerade folgende Frage:


    Warum muss ich auf meinem Router eine Port-Weiterleitung einstellen um auf mein NAS zugreifen zu können?

    Auf meinem Router habe ich auch VPN eingerichtet und komme hier ganz normal in mein Netzwerk, wenn ich mich über VPN einlogge, nur nicht auf mein NAS.


    Erst wenn ich im NAS OpenVPN einstelle und die Portweiterleitung im Router einstelle kommen ich über diesen VPN in den Router.

    (OpenVPN über das NAS eingeschaltet/konfiguriert und alles funktioniert super)


    Die Frage kommt daher, dass mir ein Freund eingeredet hat, dass eine Portweiterleitung sehr unsicher ist.


    Komme ich irgendwie auch auf mein NAS wenn keine Portweiterleitung am Router einstelle?



    Vielen Dank für Eure Hilfe / Infos.


    FG

    Christian

    Dein Freund hat Recht, Portweiterleitungen sind sehr unsicher!

    Wenn das VPN richtig eingerichtet ist, dann kommt man an jedes Gerät im Netzwerk, auch ohne Portweiterleitung.

    Das openVPN auf dem NAS ist eine Krücke, aber besser als nichts.

    Wenn aber schon der Router einen VPN Zugang ermöglicht, dann ist es überflüssig.

    Warum nun das NAS nicht erreicht werden kann, kann man ohne Kenntnis der Netztwerkinfrastruktur nur raten.


    Gruss

    Hallo FSC830!


    Danke für Deine Info.


    Kurz zur Problemdarstellung:


    Am Router VPN eingestellt - Einwahl über dieses VPN - Verbindung über die IP Adresse des NAS im internen Netzwerk funktioniert nicht über den Browser
    (ansonsten kann ich aber alles erreichen im internen LAN)


    Was benötigst Du hier genau für eine Konstelation?

    Gibt es hier bestimmte Einstellungen im Router, die ich beachten muss?


    FG

    Christian

    QuFirewall aktiv? Die blockt per default Anfragen von einer IP aus einem VPN Netz.

    Hallo Tiermutter!


    QuFirewall ist aktiv JA.


    Was muss ich hier einstellen in der QuFirewall, sodass ich über das Router-VPN mit meinem NAS eine Verbindung herstellen kann.


    DANKE


    FG

    Christian

    Welcher Router wird verwendet?

    Wenn der Zugriff auf das Netzwerk geht, funktioniert der Ping zum NAS?

    Hat das NAS eine IP Zugriffssperre, die nur bestimmte IPs erlaubt?

    Funktioniert z.B. über VPN der SSH Zugang zum NAS?


    Wird dem Browser der Port mitgegeben (8080 oder ggf. ein anderer falls Du einen anderen https Port auf dem NAS eingestellt hast)?


    Gruss

    Hallo FSC830!


    Es wird der Netgear RAX70 verwendet.

    IP Zugriffssperre habe ich keine eingerichtet im NAS

    Bezüglich PING muss ich es probieren.


    Aber ich glaube, dass die QuFirewall das Problem sein könnte.


    Werde diese einmal deaktivieren und prüfen ob es dann funktioniert nur rein über den Router.


    DANKE


    FG

    Christian

    Wenn Du keine guten Gründe hast die QuFirewall zu benutzen, deinstalliere sie.

    Andernfalls muss eine Regel rein die sagt "allow Source= IP DES VPN, Protocol= any, Port= any, Interface= any, IPv4".

    Diese Regel muss dann vor den deny-Regeln stehen.

    Hallo Stiefmutter!


    Bitte um kurze Info, warum ich QuFirewall deinstallieren soll?

    Hätte gedacht bezüglich "allg. Sicherheit" ist eine Firewall nie schlecht.


    FG

    Christian

    STIEFmutter :D:D:D Der ist gut!


    tiermutter hat gesagt wenn Du keine guten Gründe für die Firewall hast, dann deinstalliere sie.

    Eine FW auf dem NAS ist auch eher eine Krücke wie openVPN. Die FW gehört eigentlich auf den Router, damit schon alles, was nicht rein soll, erst gar nicht ins LAN kommt.

    Willst Du die Firewall behalten, dann musst Du eine entsprechende Regel einrichten, damit das NAS auch über VPN erreichbar ist.


    Gruss

    Einmal editiert, zuletzt von FSC830 ()

    Gefällt mir 1
    Zitat von ChristianB_01

    Hallo Stiefmutter!

    Hallo mein Stiefsohn ;):D

    Zitat von ChristianB_01

    Bitte um kurze Info, warum ich QuFirewall deinstallieren soll?

    Üblicherweise übernimmt die Firewall zwischen LAN und Internet (meist Router) alle notwendigen Aufgaben um das NAS bzw. Geräte im LAN vor Angriffen aus dem Internet zu schützen. Die QuFirewall, die noch lange nicht ausgereift ist, ist was das Internet angeht daher arbeitslos und kann sich nur darum kümmern den Zugriff aus dem Netzwerk (oder VPN) einzuschränken, kann also nur "intern" für mehr Sicherheit sorgen, sofern man denn überhaupt weiß wovor man sich hier noch schützen will (Du könntest zB den Zugriff auf das NAs von bestimmten Geräten beschränken). Daher meinte ich "wenn Du gute Gründe hast".

    Zitat von ChristianB_01

    Hätte gedacht bezüglich "allg. Sicherheit" ist eine Firewall nie schlecht.

    Doppelt hält besser, klar... ist manchmal aber auch überflüssig und erschwert einem das eigene Vorhaben :)

    Hallo FSC830!


    Vielen Dank für die Erklärung - Wo Ihr beiden einfach recht habt.

    Werde es einfach mal "OHNE FW" bzw. "MIT FW + Regel" ausprobieren.


    Halte Euch infomiert über das Ergebnis.


    Vorerst VIELEN DANK für Eure Hilfe.


    FG

    Christian

    Ja, aber beachte trotzdem: Du hast (noch) eine Portweiterleitung zum NAS, daher ist die QuFirewall, so anfällig sie auch ist, evtl. besser als keine Firewall!

    Aber auf lange Sicht ist das nicht die beste Option.


    Gruss

    Hallo!


    Wenn ich das ganze ausprobiere, dann lösche ich VORHER die Portweiterleitung am Router.


    Wenn ich Euch korrekt verstanden habe, sollte das Router-VPN dann funktionieren ohne FW bzw. mit FW+Regel am NAS.


    Bin schon sehr gespannt.


    VIELEN DANK


    FG

    Christian

    Wenn das VPN dann über den Router läuft bedarf es die QuFirewall nicht mehr.

    Der Zugriff auf das NAS über das VPN wenn das NAS der Server ist funktioniert wahrscheinlich nur, weil die QuFirewall dann automatisch eine Regel erstellt, die den Zugriff aus dem ihr ja nun bekannten VPN Netz ermöglicht.

    Ist doch schon gefixt... ;)


    Gruss

    So alles ausprobiert - und was soll man sagen:

    Alles, wie Ihr es beschrieben habt.

    1. Portweiterleitung am Router entfernt

    2. QuFirewall deinstalliert -> Funktion über Router VPN alles perfekt

    3. QuFirewall installiert + Regel "allow Source= IP DES VPN, Protocol= any, Port= any, Interface= any, IPv4" eingefügt -> Funktion über Router VPN alle perfekt.


    VIELEN DANK für Eure rasche Hilfe.

    Haue doch mal einen route print rein, wenn du am Client den VPN Tunnel mit deinem Router aufbaust.


    Denn man kann dem Client per Push Routen mitgeben, Split Tunneling ja/nein usw.

    Ich route hier immer alles in meinen VPN Tunnel, wenn ich will darüber auch in einem ungesichertem Gast Netz sicher Surfen können und das läuft dann durch den VPN Tunnel zu meiner Firewall und geht hier ins Internet.

    Je nach Client ist es notwendig am Client (z.B. bei Windows) auf die DNS Funktion ein zu wirken, wenn man auch nur noch die aus dem VPN verwenden möchte. Die anderen reagieren meist schneller und werden daher zum teil bevorzugt. Die können dann aber wieder interne FQDNs die man über Split DNS auflösen will nicht mit der privaten IP auflösen.