Beiträge von G_dot_com

Danke, danke. Aber kurz zur Richtigstellung. Ich nutze kein VPN für den Fernzugang. Ist so in QVPN nicht eingerichtet.

Lediglich den ausgehenden Verkehr leite ich über OpenVPN an ProtonVPN weiter. Dafür habe ich das Abo. Dachte damit die Sicherheit vom NAS zu erhöhen. ist ein reines Client VPN.

Auch nutze ich auf jedem Gerät einen eigenen VPN Client. Nutze das NAS nicht als Gateway für andere Geräte im Netzwerk.

Aber ich habe das grundlegende verstanden.

VPN Client SUB Netz -> Netzwerkanschluss Host -> Router -> VPN Server -> Internet

- Tunnel ist verschlüsselt

- Client horcht auf Port x intern

- Server sendet Paket an Router

- Router leitet an Netzwerkkarte weiter

- diese reicht ins VPN Subnetz weiter

WAN ist dann für den Host Die Server Adresse vom VPN Anbieter.

Der Server reicht nichts an mich weiter, was nicht für mich bestimmt ist.

Ob das jetzt für die Updates der App und Virendefinitionen notwendig ist…muss ich entscheiden.

Die Sicherheit meines Netzes gefährtet es nicht.

Eigentlich wird ja nur der DNS Server und der WAN Knotenpunkt vom ISP an den VPN Provider umgestellt. Da ich aber ja keinen Port in der Fritzbox freigegeben habe und der VPN Client auf dem PC das auch nicht kann sollte da kein Risiko bestehen.

MarGol Danke für deine Erläuterung. Hatte ich so irgendwie vermutet. Heisst aber ja auch, dass die Fritte dann immer noch mein internes Netz brwacht. Die Daten aus dem Internet kommen immer noch dadurch.

Wenn einer also den VPN Server scannt werden die Portanfragen an mich nicht weitergeleitet, weil diese nicht für mich angefordert wurden. Und wenn ich das provoziere z.B. mit Portscanner(.)de aus dem eigenen Subnetz kommt es zwar an, aber die Fritzbox weist es als nicht angefordertes Paket ab?

Ich müsste das für mich einfach mal soweit verstehen, dass ich ein gutes Gefühl dabei habe. Ja, VPN war/ist per OpenVPN als Standard Gateway eingerichtet. Nur hatte ich Angst, damit das Scheunentor an der Fritzbox aufgemacht zu haben.

Bitte, wenn jemand da Links zum tieferen Einlesen hat…bitte her damit. Ich möchte es gerne besser verstehen. Und habe ja auch fast ein schlechtes Gewissen Euch ein Loch in den Bauch zu fragen.

Ich halte aber fest. Ich kann guten Gewissens mein NAS über VPN Standard Gateway verbinden und gehe damit kein Risiko für mein internes Netzwerk ein.

Anders gefragt, was gewinne ich?

MarGol Danke für die Erklärung, so habe ich das in etwa verstanden.

Aber wozu erstellt das VPN Tool dan einen Virtuellen NIC mit eigenem Subnetz?

Sendet er dann das Signal an meine Ethernet Ports im Nas, die dass dann an die Fritzbox sendet und sagt sende Paket X über Port Y an Server Z und die Fritzbox handelt weiter das WAN? Dass das Paket verschlüsselt ist und erst am VPN Endpunkt entschlüsselt wird, habe ich verstanden.

In deinem Beispiel ginge ja meine Anfrage über das lange Kabel zum Server und von da aus ins Internet.

Genau in der Funktionsweise habe ich mein Wissensloch.

Crazyhorse Ergo, VPN aus, Box hinter dem Router lassen. Klingt dann sicherer. Zumindest unter meiner Kontrolle.

Vielen Dank für deine Erklärung!

Letzte Frage:

Wenn im Router keine Portfreigabe existiert, kein uPNP aktiviert ist und keine QNap Clouddienste aktiviert sind, sollte das NAS von aussen nicht erreichbar sein. Man müsste dazu ja erst einmal in mein Heimnetz. Richtig?

Qnatsch Danke auch Dir gür das Lesen. Naja. Klar wäre eine dedizierte Firwall sinnvoll. Man kann es aber als reiner Privatmensch aiuch übertreiben. Am Ende ist es immer ein Kompromiss im Leben zwischen Aufwand und Ertrag. Ich wurde noch nie gehackt oder anderweitig erfolgreich angegriffen. Insofern und für Surfen oder Streamen reicht die Sicherheit von der Fritzbox durchaus für Heimanwender. Zumindest Stand heute.

Crazyhorse Klar, solange keine Ports explizit nach aussen freigegeben werden, reagiert die Box nicht auf Anfragen aus dem WAN. Frage war aber ja, wie genau das noch gegeben ist, wenn ich im virtuellen Netz des VPN hänge. Dann werden meine Anfragen ja nicht mehr über das Gateway (Fritzbox) im Heimnetz sondern über den VPN Server geleitet. Dann kommen die Anfragen aus der WAN Seite doch durch den Tunnel direkt auf das Endgerät oder ist die Fritzbox immer noch involviert?

Anders. Das virtuelle NIC auf dem Hostgerät muss ja immer noch über den dedizierten Netzwerkanschluss vom Host. Dieser baut ja die Verbindung zur Fritzbox auf und die hängt im WAN. Somit läuft der Datenverkehr ja immer noch über den Router. Aber alle Anfragen vom Host werden dann an das VPN und von dort ins Netz gestellt. Die Fritzbox sieht dann ja nur den verschlüsselten Datenverkehr über OpenVPN Port 1194. Habe ich das soweit verstanden?

dolbyman Danke dass Du meinen Beitrag gelesen hast. Leider kann ich Dir nicht ganz folgen. habe einen lokalen Admin und schalte, wenn nötig den globalen Admin an. War bisher einmal notwendig. VPN am Router ist klar besser, warum ich es nicht mache steht ja oben.

Crazyhorse Auch Dir Danke. Ich nutze ProtonVPN mit Payservice, Schweizer Recht.

Ich frage dann mal anders. wie schaffe ich es, dass der Qnap zwar Updates ziehen kann, aber ansonsten hinter der FRITZ!Box „sicher“ ist. Reichen da meine von Euch vorgeschlagenen und umgesetzten Schritte?

Und die eigentliche Frage war ja, sieht mein Router noch den Datenverkehr und bleibt NAT erhalten? Der Tunnel ist ja zwischen Client und VPN Server.

VPN war halt die Idee über die Serverstruktur vom Anbieter höhere Sicherheit zu erhalten, da das NAS ja so kaum direkt ansprechbar ist.

Moin,

ich möchte mich hier mal als stiller Leser outen. Tolles Forum und viele nützliche Tips.

Mit Eurer Hilfe habe ich mein NAS eigentlich gut umgesetzt. In erster Linie als erhöhte Ausfallsicherheit, und dann als Kodi Datenbank mit den entsprechenden Medien. Extern möchte ich gar nicht darauf zugreifen, reine Verwendung im internen Netz.

Bisher habe ich eigentlich versucht alles nach Euren Vorgaben einzurichten und soweit abzusichern: >>

- keine unnötigen Dienste aktiviert (einzig MariaDB, Webserver und phpMyAdmin nur bei Bedarf kurzfristig)

- alle unbenötigten Apps entfernt, alle nicht dauerhaft benötigten gestoppt.

- Auto Updates für Apps und System zugelassen

- QNapCloud nicht eingerichtet (Fernzugang damit dicht)

- Sichere Passwörter

- zweistufige Anmeldung für mein Admin Konto

- Standard Admin deaktiviert (und starkes PW)

- Zugriffsschutz eingerichtet

- Berechtigungen erstellt

- nur sichere Verbindungen erlauben

- Hohe Sicherheitsprotokolle für Https und SMB (cipher aktiviert)

- uPNP deaktiviert

- Firewall für alle Verbindungen ausserhalb meines internen Netzwerkes gesperrt

- Malware Remover und Antivirus eingerichtet (ja, ich weiß keine Echtzeitsuche)

- Security Counselour abgearbeitet (bis auf die QNapCloud Meldung wegen Internetzugang)

- uPNP im Router nicht eingeschalltet

- keine Ports im Router freigegeben

- Backup der Datein auf dem HauptPC.

- FOLGT: Backup auf externen HDD auswärts gelagert.

Joa, ich glaube soweit war es das. Bitte gerne noch Vorschläge unterbreiten, sollte ich etwas vergessen haben.

Jetzt kam ich auf die Idee, doch per QVPN meinen VPN Anbieter (Proton) über OpenVPN als Standard Gateway einzurichten.

Und hier kommen meine Fragen auf - mir fehlt schlicht die genaue Kenntnis.

Was ich glaube verstanden zu haben.:

- VPN Client erstellt einen NIC

- Verbindung vom NIC zum VPN Server

- es wird dann für die Kommunikation ein Schlüssel erstellt, den nur Server und Client kennen

- Alle Anfragen werden dann über den neuen VPN DNS gesendet

- Datenverkehr zwischen mir und dem VPN Server ist sicher verschlüsselt

- VPN Server gibt keine Anfragen oder Paket an mich weiter, die nicht explizit von ihm für mich angefragt wurden

- Anfragen auf seine IP lehnt er ab, da diese ohne den Schlüssel kommen und er somit gar nicht weiß an welchen der möglichen zahlreichen Clients er es senden soll

Hoffe ich habe das in meiner laienhaften Weise richtig dargestellt.

Jetzt geht aber der Traffic ja komplett an meinem Router (Fritze) vorbei, das NAT kann den Verkehr nicht mehr scannen.

Auch würden ja die geschlossenen Ports des Routers ignoriert, da die Verbindung ja daran vorbeigeht (über den offenen OpenVPN Port).

Es wird zwar die Internetverbindung vom Router genutzt, aber ich bin ja Teil des internen Netzwerkes vom VPN Server.

Das führt zur Fragestellung No. 1:

Ich sehe das Problem, daß Anfragen ungehindert durch die Fritzbox zum NAS kommen, so denn der VPN Server sie nicht ablehnt.

Und, über meinen Router wäre der Port, den OpenVPN nutzt offen. Oder habe ich da was nicht verstanden?

Das führt zu Fragestellung No. 2:

Erhöhe ich jetzt damit die Sicherheit, Anonymität and so on and so on....

ODER erhöhe ich damit das Risiko?

Wie ihr seht, ich habe hier nur Halbwissen zur Funktionsweise von VPN´s und würde mich mega freuen von Euch etwas an die Hand genommen zu werden. ICh habe viel gegooglet, konnte mir meine offenen Fragen aber einfach nicht genau beantworten. Scheint sich bisher wenig mit in den Foren der Welt aufgetan zu haben. Vielleicht ja auch, weil mein Problem gar keines ist. Entschuldigt, sollte meine Frage zu theoretisch oder doof sein, ich möchte es halt gerne verstehen.

Die Frage ist in sofern mega relevant, da ich alle Geräte, auch die Kodi Clients (Shield, FireTV Cube, Windoof und Mac Kisten) alle über das VPN lenke.

Mein Mutmaßung:

Ich wünsche/glaube/hoffe ja, das der Traffic von ProtonVPN durch ein engmaschiges Sicherheitsnetz flutscht und ein Portscan immer ins Leere läuft, da ja die Anfragen nicht an einen spezifischen Rechner im internen Netz des Servers weitergeleitet werden können. Aber...Fritzes NAT und andere Sicherheit würde dann ja versagen. Man käme rein theoretisch doch direkt auf mein NAS, wenn man am VPN Server vorbei käme.

>> Ich habe mit portchecker.de geprüft und alle relevanten Ports gelten als geschlossen. Hinter VPN und auch ohne an der Fritze.

Schluss endlich folgende Einschränkung:

Zentral am Router einrichten, ist keine Alternative, da ich hier nur sehr unkomfortabel um-/ausstellen kann, wenn nötig. Vor allem für die Familie ist das relevant, wenn Netflix oder Prime gerade zickt, weil der Server von Proton blacklistet ist. Und nein, mein Interesse ist nicht Geoblocking zu umgehen, sondern schlicht Sicherheit und Anonymität zu erhöhen. Was bei einem Bezahldienst mir User Login nicht klappt, ist kla. Aber zumindest die Anfragen von Kodi und einige andere Dinge.

Danke für das Lesen meines recht umfangreichen Problems und weiterhin schöne Weihnachten.

Gruß

G.com