Jetzt wird's listig....
Der Autor schreibt dass man Ports weiterleiten muss, wenn man einen VPN-Server im LAN betreibt oder sein NAS dazu nutzt.
Oder man kann auch direkt einen VPN-Router dazu nutzen.
Nichts falsch an der Aussage...
Zudem weisst der Autor darauf hin, dass das öffnen von Ports ins besondere Port 80 ein Sicherheitsrisiko darstellt... mMn vorbildlich beschrieben.
Wenigstens ein Port muss für VPN immer auf.
Ja bei eingehenden Verbindungen im eigenen Netz ja, aber es geht natürlich auch ohne:
- ZeroTier z.B. braucht das nicht. (bis 25 'Nodes' sind gratis)
- VPN Server extern (z.B. OpenVPN VPS, gibt's auch gratis bei via amazon AWS aber verlinken darf ich nicht)
- Diverse Anonymizer VPN bieten jetzt auch VPS Services an (grad letzte Woche erst gelesen)
Bei den Alternativen stellen alle Teilnehmen aktiv eine Verbindung her und kommen so auch durch diverse NAT (selbst CGNAT) durch, ohne Portweiterleitungen
Aber durch das offtopic abschweifen gibt bestimmt auf die Finger 
, bei Interesse können wir gerne mal nen neuen Thread dazu aufmachen
Es gibt bei VPN auf dem Router i.d.R. genau einen Port, der angesprochen wird.
Dieser Port ist aus dem Internet erreichbar. Bei openVPN ist das per default 1194, bei Wireguard ein anderer.
Man kann in diesem Fall von Freigabe reden. Eine Weiterleitung ist dann der Fall, wenn der Router einkommende Pakete vom WAN Port 0815 auf die IP xxx.xxx.xxx.xxx Port 4711 weiter leitet. Bei einem VPN Server nicht auf dem Router muss das so gemacht werden.
Gruss
Edit: Oder eben, wenn man ohne VPN das NAS erreichbar machen will. Z.B. das NAS hat (LAN) IP 192.168.1.2, die WAN IP sei 1.2.3.4.
Wenn man im Router eine Weiterleitung von WAN Port 4712 auf 192.168.1.2 Port 80 einrichtet, dann wäre das NAS unter 1.2.3.4:4712 aus dem Internet erreichbar.
Für jeden von außen zu erreichenden Dienst müsste so eine Portweiterleitung eingerichtet werden.
Bei VPN auf dem Router fällt das weg.
Das würde ich Portumleitung nennen... Portweiterleitung ist für mich erstmal nur durchs NAT, unabhängig davon auf welchen Port (gleicher oder anderer) es dann weitergeht. 
Das ist nun Haarspalterei 
. In der Fritz heißt es m.W. Portweiterleitung.
Gruss
und da kann ich mir den VPN Client, den ich im Einsatz hätte in die Haare schmieren weil der nichts mehr nutzt.
Wenn die Portfreigabe zu einem sicheren VPN Server geht (pfsense, raspi,etc) dann ist das vollkommen in Ordnung, nur halt auf keinen Fall Ports zum Webfrontend des QNAP weiterleiten, das ist das Fatale
Jein. 
Es ist kein Client (der wählt raus zu einem VPN Dienst, z.B. NordVPN), sondern ein Server.
Gruss
Je nach technischer Umsetzung kann man sagen, er hat zum Teil recht.
Denn manche Dienst lauschen auf dem localhost und dann wird im Router das ganze umgesetzt und auf die andere IP weiter geleitet.
Auch wenn es im Router selber passiert, so passiert es.
Aber es hängt wie immer davon ab aus welcher Perspektive ich ein Problem wie genau betrachte.
Privatpersonen werden niemals gezielt angegriffen, dazu ist man zu unwichtig.
Aber es gibt ganze Serverfarmen die nichts anderes machen also das Internet zu scannen und dann ihre Palette an vorgefertigte Skripten drauf abzufeuern, wenn auf einer IP:Port Kombo ein Dienst lauscht.
Hat man dann mit seinem Dienst Pech, dann passt ein Exploit und bei ganz viel Pech gleich der erste und man hat Gäste.
Da Privatpersonen zudem keinerlei Sicherung in Form von IP oder DNS Filtern haben, kann der Codeschnipsel sich jetzt in Ruhe mit dem C&C Server im Internet verbinden und den Rest nachladen.
Ist dann das komplette Arsenal vorhanden, geht es los.
Suche nach Dokumenten, Daten und verschlüssele sie, wenn fertig dann Nachricht mit bitte um Zahlung x Bitcoin.
Gab kürzlich auch Ableger die haben einfach Mülldaten in jede Datei geschrieben die gefunden wurde.
Zudem gab es noch ein Lösegeldforderung, hat das Opfer bezahlt, hat es 2 mal Lehrgeld bezahlt.
Eine klassische Portweiterleitung ist aber simples NAT, weil man hat ja als normaler Kunde mit Glück noch eine public IPv4.
Neukunden sind aber fast alle mit CGNAT angebunden, weil IPv4 Adressen ausgehen. Das kann man sogar als Sicherheitsfeature verkaufen, weil vor Angriffen geschützt, aber auch vor dem Verwenden nützlicher Dienste wie VPN.
Dann bleibt nur IPv6, denn nur hier ist das Router direkt erreichbar, ohne NAT.
Oder ein Relay im Internet wo man sich hin verbindet und der Mobile Client auch und wo dann die Datenpakete zueinander finden.
Gute VPN Gateways, Firewalls usw. haben auch noch Sicherheitsfunktionen mit dabei die erkennen wenn da jemand etwas versucht und dann diese IP blocken, Fail2ban ist da nur eine Möglichkeit.
AVM hat mit der 7.39 Beta und der 7.5 Final was schickes mit Wireguard eingebaut und auch IPv6 ist jetzt sauber mit dabei.
Das macht die Kisten, gerade aufgrund der einfachen Einrichtung und Übertragung der Zugänge auf Clients, Mobile Device usw. für den einfachen Anwender super nutzbar!
Das wurde wirklich sehr gut gemacht!
brauch ich die Weiterleitung und die ist unsicher,
Das ist die halbe Wahrheit.
Es kommt auf den Dienst an, der dahinter steckt. Ein "gehärteter" VPN Dienst ist immer ebenso gefährdet wie ein solcher auf dem Router, nur sind die auf dem Router meist besser gehärtet / aktuell als es vermeintlich auf einem NAS der Fall sein mag (ein NAS ist halt primär Datenspeicher).
Huch... Da war ich aber spät dran 
Mit IPv6 kenne ich mich nicht so doll aus. Es gibt dort, soweit ich das verstanden habe, öffentliche Adressen (Adressen die aus dem Internet erreichbar sind) und private Adressen (Adressen die nur im LAN erreichbar sind). Auf Grund der enormen Anzahl von Adressen kann davon ausgegangen werden, dass sich eine Adresse nie wiederholt und jede einzigartig ist. Zudem kann jedem Endgerät eine öffentliche und eine interne Adresse zugewiesen werden. Routing und NAT werden somit "überflüssig".
Bei IPv4 sieht das anders aus. Die Adressen sind limitiert. Hier wurden Adressbereiche für bestimmte Zwecke reserviert. Die bekannteste sollte 192.168.x.x sein, das ist ein Bereich der für das lokale Netzwerk reserviert ist. In der Regel wird für einen Internetanschluss auf einem Router nur eine öffentliche IPv4-Adresse vergeben. Nennen wir diese mal y.y.y.y.
Wenn du nun über das Internet auf dein NAS zugreifen willst, befindet sich dieses mit einer internen IP (nennen wir diese x.x.x.100) hinter der öffentliche IP y.y.y.y
Angenommen du willst direkt zum NAS gelangen, wie soll das jetzt funktionieren?
Mit der internen Adresse geht es nicht weil die am entfernten Standort nie gefunden werden kann. Du musst die öffentliche Adresse y.y.y.y verwenden. Auf der Gegenstelle kommt deine Anfrage jetzt an. Nur weiss diese nicht was diese Anfrage zu bedeuten hat und wird deshalb abgelehnt.
Damit dies nicht passiert musst du deinem Router beibringen wie er sich zu verhalten hat. Dies passiert mit einer Weiterleitung eines Ports oder aller Anfragen an ein internes Gerät. Der Router übernimmt jetzt eine weitere Aufgabe das NAT. Er übersetzt die Anfrage y.y.y.y in x.x.x.100 und die Antwort von x.x.x.100 in eine Antwort von y.y.y.y, weil du am entfernten Ort eine Antwort von dieser Adresse erwartest. Nun könnte die Verbindung von Ausserhalb zum NAS hergestellt werden.
Wie bereits unzählige Male erklärt, soll man es nicht so machen!!!
Was passiert nun bei einer VPN-Verbindung?
Wenn du den VPN-Server auf deiner Fritz-Box aktivierts, Sagst du ihr, dass sie auf VPN-Anfragen aus dem Internet reagieren soll. Wenn du nun eine VPN-Verbindung zu deinem Heimstandort (y.y.y.y) aufnehmen willst, findet eine kleine Verhandlung statt und wenn erfolgreich wird ein Tunnel aufgebaut zwischen Fritz-Box und deinem Gerät.
Hier wird deinem entfernten Gerät von der Fritz-Box eine weitere Adresse zugewiesen. Nennen wir diese x.x.2.1. Die Fritz-Box sollte dafür ausgelegt sein selbständig eine Verbindung zwischen x.x.2.1 und x.x.x.100 herzustellen. Das wäre dann das VLan-Routing, hierfür brauchst du keine Einstellungen vorzunehmen.
Da du nun über einen Tunnel mit der Fritz-Box verbunden bist, kannst du die interne Adresse des NAS verwenden. Die Fritz-Box weiss ja wo sich dieses Gerät befindet. Du brauchst also nichts weiterzuleiten, umzuleiten oder zu öffnen. Hier braucht es auch keine Übersetzung der Adressen, da x.x.2.1 mit x.x.x.100 kommuniziert und umgekehrt.
Nochmal, die Labor Version von Ende Dezember ist bei der 7590 der RC gewesen, also der fertige Stand der dann auch raus gekommen ist, oder zumindest so gut wie.
Du kannst also die Labor Version ruhig auf deiner FritzBox installieren, vor allem wenn du VPN Zugriff benötigst oder haben willst.
Denn es kann noch Wochen dauern bis AVM als kleine Firma die Version für alle Modelle raus bringt.
Zudem sind die für jeden Anwender dankbar, der die Labor Version testet und hier noch einen Fehler findet, denn das kann dann in den Final mit einfließen.
Mein Schwiegervatter hatte auch erst Bedenken, aber da er im Sommer VPN brauchte haben wir die installiert.
Er hat dann ein paar Fehler und Verbesserungen gemeldet die jetzt in der Final drin sind und er ist total happy das seine Wünsche umgesetzt wurden.
Da muss man sagen, AVM Hut ab!
Beim AVM VPN sind die VPN Clients immer im gleichen Netz wie die anderen Komponenten im Heimnetz, alles im gleichen /24er.
Da wird nix geroutet.
...Der derzeitige Fritz fernzugang funkt nicht immer zufriedenstellend...
Auch hier muss ich sagen, das der Shrewsoft Client immer einwandfrei funktioniert hatte. Liegt evtl. ein ganz anderes Problem vor?
Gruss
Bei meinen letzten Versuchen hat er gar nicht mehr funktioniert.
Ich lasse halt gerne andere Meinungen auch gelten
In diesem Thema geht es nicht um Meinungen, sondern um Fakten!
