Zur Absicherung des TS-233 nach außen - VPN auf/mit Vodafone Station erstellen

    Ich war mir nicht sicher, in welches Unterforum die Frage passt, deswegen bin ich erstmal hier hin gegangen. Entschuldigung, wenn ich hier falsch bin!



    Mein TS-233 ist noch ganz neu. Und ich irgendwo zwischen Laie und Anfänger, mit grandiosem Problem mir Fachbegriffe zu merken. (Tut mir leid!) Ich sag jetzt schon mal Entschuldigung, falls ich Begriffe verwechsel, falsch verwende oder durch "dings" und "irgendwas" ersetze, um zu vermeiden das Wort falsch zu benutzen!

    Ich hab hier relativ schnell und eindrücklich gelesen, dass das NAS im Internet nichts zu suchen hat, wenn es nicht zusätzlich - also durch NICHT-Bordmittel - geschützt wird. Also habe ich a) schnell wieder alle Verbindungen getrennt (glaub ich) und b) angefangen nachzulesen wie ich ein VPN einrichten kann. Bei letzterem bin ich ehrlich gesagt noch nicht weit, habe aber erstmal zwei Fragen:


    1. Ich habe in der MyCloud App die Dienste "Smartlink" und "DDNS" wieder deaktiviert und das NAS in der QNAP ID entfernt. Reicht das? Muss ich noch etwas trennen, um das NAS "vom Netz" zu nehmen?

    2. VPN ist die Lösung, da scheint ihr euch hier alle einig zu sein :) Und am elegantesten direkt auf dem Router, wenn ichs richtig verstanden habe. ABER woher weiß ich denn, ob mein Router selber ein VPN einrichten kann? "VPN" als Begriff habe ich in den Einstellungen nirgendwo gefunden. In einem uralten Forenbeitrag (anderes Forum) hat eine Person gesagt, dass das nicht geht. Mehr Infos habe ich bisher nicht finden können. Dafür aber IPv6 Host Exposure, was von der Beschreibung ähnlich klingt... Ist es das? :/ Wir haben eine Vodafone Station CGA6444VF.


    Danke euch schon mal für die Antworten! :)

    Zitat von Sternex

    Reicht das? Muss ich noch etwas trennen, um das NAS "vom Netz" zu nehmen?

    Vor allem die Portfreigaben im Router müssen raus, falls vorhanden.

    Zitat von Sternex

    Dafür aber IPv6 Host Exposure, was von der Beschreibung ähnlich klingt... Ist es das?

    Nein! Das ist eine Portfreigabe für IPv6. Böse.

    Zitat von Sternex

    Vodafone Station CGA6444VF

    Die kann offensichtlich kein VPN.

    Demnach wäre die nächsteleganteste Lösung ein kleiner Server, zB Raspi, auf dem das VPN läuft.

    Zur Not kann man das VPN auch auf dem NAS erstellen, was im Grunde nichts anderes ist, als auf einem Raspi, nur eben mit dem bitteren Beigeschmack, dass QNAP Software anfällig und unzuverlässig ist, was aber nicht bedeutet dass es schlecht funktioniert oder wirklich ein großes Sicherheitsrisiko entsteht.

    In beiden Fällen werden dann wieder Portfreigaben erforderlich, was aber völlig in Ordnung geht... diese Portfreigaben sind dann nur für die VPN Verbindung.... und je sicherer der VPN Dienst/Server ist, desto geringer ist das Risiko dass da jemand sein Unwesen treibt.

    Dabei darf man nicht vergessen: Wenn das VPN auf dem vermeintlich sicheren Raspi läuft, so muss auch dieser stets gepflegt werden, damit kein Risiko entsteht!

    Ah genau! Die Portfreigaben im Router habe ich auch wieder entfernt! Danke für den Hinweis! :D


    Dass die VS kein VPN kann habe ich befürchtet... Warum auch einfach, wenn ich was lernen kann... Oder so :rolleyes:

    Lese ich das denn richtig, dass ein Raspi im Prinzip sicherer wäre, als das QNAP VPN auf dem NAS? Anleitungen zur Einrichtung und Portfreigaben würde ich mir eh wieder online suchen, das wäre bei beiden Möglichkeiten relativ gleich viel Aufwand, denk ich. Ein anderes VPN als das QNAP eigene auf einem TS-233 einzurichten ist vermutlich keine Option? Zumindest habe ich da bisher noch nichts von gelesen (außer in so aufwändig, dass ichs wahrscheinlich nicht fehlerfrei hinkriegen werde. Wobei aufwändig hier heißt: Meine Fähigkeiten übersteigend ^^ )

    Zitat von Sternex

    Lese ich das denn richtig, dass ein Raspi im Prinzip sicherer wäre, als das QNAP VPN auf dem NAS?

    Ja, weil

    Raspi = seitens Entwickler gut gepflegt und stabil

    QNAP = seitens Entwickler schlecht gepflegt und oft Fehler durch Updates


    Zitat von Sternex

    Ein anderes VPN als das QNAP eigene auf einem TS-233 einzurichten ist vermutlich keine Option?

    Was meinst Du damit?

    QNAP hat zwar ein "eigenes" VPN Protokoll (warum auch immer die Welt sowas braucht), die App beherrscht aber auch die üblichen Protokolle. Das Problem bei den "üblichen Protkollen" ist halt, dass QNAP hier oft viele Monate hinter der eigentlichen Version hinterher hinkt, also schlecht pflegt und unter Umständen wieder selbst versehentlich Risiken einbaut.

    Zitat von tiermutter

    Ja, weil

    Verstanden! :) Raspi = besser, QNAP intern = nur zur Not

    Zitat von tiermutter

    Was meinst Du damit?

    Von QNAP selbst gibt es ja die QVPN Service App. Und ich meinte, ob man statt dieser auch eine andere VPN Anwendung installieren kann. Also, ich weiß hier leider gerade nicht, ob 'Anwendung' da richtig ist. Stell mir das so vor, dass es wie für den Laptop verschiedene Clients gibt. So wie zb NordVPN, Mullvard, Proton, etc. Nur halt ohne die Verbindung zu deren Servern, nur die Nutzeroberfläche.


    ps.: Und meine güte antwortest du schnell ^^ Dankeschön!

    Zitat von Sternex

    Von QNAP selbst gibt es ja die QVPN Service App. Und ich meinte, ob man statt dieser auch eine andere VPN Anwendung installieren kann.

    Nicht, dass ich wüsste, und wenn dann sehr wahrscheinlich nicht "mit Boardmitteln".

    Eine ähnliche Lösung wäre ein VM auf dem NAS, die dann wie ein eigenes Gerät behandelt würde, aber das kann Dein Modell nicht.


    Zitat von Sternex

    verschiedene Clients gibt. So wie zb NordVPN, Mullvard, Proton, etc.

    Das ist übrigens was ganz anderes als das was Du brauchst... Auch die verwenden oft "die üblichen" Protokolle (haben aber auch eigene)... damit greift man aber nicht auf sein eigenes Netz zu. Aber natürlich gibt es dennoch mehrere Apps für PC und Smartphone... Für QNAP ist mir nur die eine bekannt.

    Okay, danke euch beiden! :)

    Und da bin ich schon wieder...


    Ich wollte jetzt übergangsweise ein VPN mit QVPN einrichten, bis wir entweder einen VPN-fähigen Router oder einen Raspi als VPN-Server haben. Dafür hab ich mich an tiermutters Anleitung und die Einrichtungshilfe von QNAP gehalten.

    Den Server zu erstellen war auch wirklich einfach. Selbst für mich! :D Allerdings hauptsächlich wegen tiermutters Erklärungen in der Anleitung. Jetzt hänge ich aber im zweiten Teil "Client/Peering" fest. Ich möchte ein VPN-Verbindungsprofil anlegen und hab alle Daten übertragen. Die IP ist voreingestellt gewesen und die gleiche wie für den Server (war auch vorgegeben). Der Server als als Subnetz 24, der Client 32. Ich kann die Erstellung aber nicht abschließen, wenn die IP identisch ist. Und innerhalb des Endzifferbereichs von 1 bis 254 (ich hab random Zahlen getestet) bleibt das Feld rot und ich kanns nicht abschließen. Wenn ich aber statt .7.1 am Ende .8.1 eintrage geht es. bzw. WÜRDE es gehen, aber heißt das nicht, dass der Client dann in einem ganzen anderen Subnetz liegt? Kann das so überhaupt funktionieren?
    Ich hab auch Screenshots, bin mir aber gerade unsicher ob die a) weiterhelfen und b) schlau sind zu teilen?

    Update:


    Ich habs geschafft. Lag daran, dass ich statt einen Peer versucht habe einen Client auf dem NAS einzurichten... :S

    • Wireguard Server auf dem NAS erstellt
    • Peer für Android eingerichtet: Verbindung funktioniert, Handshake ist da
    • Peer für Windows eingerichtet: Verbindung funktioniert, Handshake ist da, ABER nur, wenn im Wireguard Client "Blockiere Verkehr außerhalb des Tunnels" deaktiviert ist. Andernfalls verliert Windows die Verbindung zum NAS.


    Ist das okay? Oder ist irgendwo was falsch eingestellt, wenn es mit Blockiering von ungetunneltem Verkehr nicht funktioniert?

    2 Mal editiert, zuletzt von Sternex () aus folgendem Grund: Ein Beitrag von Sternex mit diesem Beitrag zusammengefügt.