Portfreigaben und -weiterleitungen für das VPN auf nem QNAP ist eine Sache, aber Dein QNAP steht ja mal so richtig nackig dar...
Alle Ports außer 1194 haben nichts mit dem VPN zu tun, Du solltest ganz dringend nochmal versuchen die anderen Ports zu schließen!
Moin,
die Daten können außerhalb des NAS gelesen werden, sämtliche Berechtigungen die Du für das System vergeben hast spielen dann keine Rolle mehr.
Für den Fall eines Diebstahls hilft Dir also nur die Verschlüsselung der Festplatte weiter.
ich werde die Tage mal testen ob auch wirklich ein alarm rausgeht.
... und genau das ist nicht geschehen.
Nachdem ich die Alarmschwelle auf 20°C gesetzt hatte wurden mir zwar vorbildlich Wanungen im Datenträger- und Systemstatus sowie im Ereignisspeicher angezeigt, das Benachrichtigungszentrum jedoch hielt es nicht für nötig mir eine Meldung (per Mail) zu senden, obwohl es entsprechend konfiguriert ist und die Übertragung ansonsten definitiv funktioniert (z.B. beim 2-wöchentlichen USV Test).
Also vorsorglich die wenigen definierten Ausschluss-Regeln überprüft, aber keinen Fehler erkannt.
Erst nachdem ich alle Regeln gelöscht und 1:1 wiederhergestellt habe gehen die Alarme korrekt raus.
Wer also glaubt, dass definitiv eine Alarmbenachrichtigung rausgeht, weil es ja die ganze Zeit funktioniert, sollte das an dieser Stelle besser einmal überprüfen und sich nicht blind drauf verlassen.
Falls ich am Wochenende Langeweile haben sollte werde ich auch alle anderen mir wichtig erscheinenden Alarme absetzen, sofern ich sie simulieren kann.
Das kommt natürlich sehr darauf an wie viel Aufwand (Zeit und Kosten/ Hardware) du auf dich nehmen willst...
Grundsätzlich könntest du mit einer pfsense ebenfalls ein eigenes Netz für dich und für alle oder jeden einzelnen Mitbewohner aufbauen. Für jeden einzelnen erhöht das natürlich den Aufwand für Konfiguration, außerdem brauchst du an der Firewall dann entsprechend viele Ethernet Schnittstellen. Eine geht für das Internet drauf, eine für dein LAN. Viele Geräte die in dem Bereich liegen, was man sich an Hardware zu Hause hinstellen würde, haben 3 oder 4 Schnittstellen, da wird es dann also schon eng... demnach würde ich nur ein LAN für dich und ein allgemeines für die Mitbewohner zusammen aufbauen. Dann könntest du immernoch ein eigenes Gästenetz für richtige Gäste aufbauen.
Jedes Netz braucht aber sicherlich auch ein eigenes WLAN, demnach auch einen eigenes Access Point. Einige Geräte haben zwar auch WLAN und pfsense kann ebenfalls damit umgehen, aber da ich das WLAN an dem Gerät nicht nutze habe ich keine Erfahrung wie SSIDS damit ausgestrahlt und wie viele eigene Netze damit aufgebaut werden können, evtl macht das zusätzliche APs überflüssig.
Die Fritzbox wäre dann nur noch das Modem.
Genau so gut könntest du dir aber auch dein Netz hinter der Firewall aufbauen, deine Mitbewohner nutzen WLAN und Ethernet direkt an der Fritte und Gäste könnten das GastWLAN verwenden. Dann bist du ebenfalls von allem abgeschottet, der Rest hat aber mit deiner FW nichts zu tun. Wäre die einfachste Lösung. Lediglich Du brauchst dann noch einen Access Point, was ggf. die Firewall selbst sein kann, so sie denn WLAN hat...
Verschlüsselt wird nur wenn du das explizit eingestellt hast... Auch das kannst nur du beantworten 
Ansonsten wird an dem dateisystem seitens qnap meines Wissens nichts modifiziert...
Vermutlich kommt dein Betriebssystem nicht mit dem dateisystem (ext4?) der Festplatte zurecht... Nun können wir aber nur raten wie die Platte tatsächlich formatiert ist... Für Windows gibt es Tools die z. B. mit ext4 umgehen können.
Das könntest du versuchen, mehr hilfreiche Ideen habe ich auf die schnelle nicht.
Hmm, scheinbar haben sich die wenigsten die Mühe gemacht meinen Blog-Artikel zu lesen, denn dort würden die Antworten stehen.
Den Part habe ich tatsächlich erst nachträglich nochmal "bewusst" gelesen 
ich werde die Tage mal testen ob auch wirklich ein alarm rausgeht.
Auf meinem privaten mit 2/4 HDD komme ich selten über 35 Grad (idle 28 und in Betrieb 32), das wird aber an der geringen Nutzung liegen, auf der Arbeit mit 3/4 HDD werden 40 Grad im Betrieb kaum unterschritten...
Das ist ja quasi regelmäßig Über eine Benachrichtigung habe ich auch gerade nachgedacht, worüber läuft das denn bei dir? Habe im Benachrichtigungszentrum nichts Eindeutiges gefunden, und irgendwo müssten ja auch Grenzwerte angegeben werden...
Von regelmäßig kann bei mir nicht die Rede sein, aber bei jedem Login werden Temperaturen sowie CPU/ RAM Auslastung auf Unregelmäßigkeiten überprüft, wie auch bei anderen Systemen. Die Überwachung entsprechender Systemparameter gehört für mich einfach zum Betrieb dazu, ich sollte es wohl nur mal regelmäßiger machen, danke für den Wink... 
Bei mir ist es zwar ein anderer Prozess seit den letzten beiden releases, aber dann werde ich mir das Update doch mal geben...
Ja wie schnell das gehen kann
Ist auch die einzige release note... Nur werde ich dafür nicht die ganze updateprozedur durchführen, da hätten die Entwickler sich besser vorher mal Gedanken machen sollen, aber das wird sicher nicht nochmal passieren... 
Wie sinnvoll ist so ein Gerät gegenüber einer FritzBox?
Die Software kann schon um einiges mehr, von IDS/IPS über DNScrypt bis hin zu ordentlich funktionierenden VPN Servern. Dass man hier wirklich eine Firewall hat, die man nach Herzenswünschen konfigurieren kann bzw. muss braucht kaum erwähnt werden, allerdings ist die Einrichtung und Pflege/ Überwachung etwas aufwändiger. Man kann viel Mist dabei bauen und irgendwann gestaltet sich das Ganze zu einer Lebensaufgabe, in Betrieb nehmen und ewig unangetastet stehen lassen klappt halt nicht, dazu muss man Bock haben oder die Features wirklich brauchen. Grundsätzlich würde ich auch behaupten, dass insbesondere Sicherheitsupdates häufiger rauskommen als bei einer Fritte, zumindest bei opnsense bekommt man mindestens monatlich Updates.
Die Vorteile muss jeder für sich selbst erkennen, also am besten mal forschen was mit opnsense/pfsense und der entsprechenden Hardware so geht und dann entscheiden ob das den "Mehraufwand" und das Geld wert ist. Ich würde z.B. niemals wieder auf eine Appliance verzichten wollen, die mir ordentlich ein LTE-failover bereitstellen kann...
Achja und nicht unerwähnt bleiben sollte natürlich das gehärtete Betriebssystem, welches Angriffen entsprechend besser standhalten sollte...
Moin,
mit QBELT habe ich noch nie gearbeitet, aber gibt es eventuell Logs die Aufschluss darüber geben können was passiert (server- und clientseitig)?
Grätscht Dir vielleicht die Windows Firewall dazwischen?
Dito.
Und wie zuvor schon beschrieben:
Ein NAS ist nicht dafür gemacht nackt dazustehen und Angriffe zu verteidigen.
Deine Fritte steht auch ohne laufenden VPN an vorderster Front, mit dem qnap als vpn server schaffst du lediglich einen weiteren Angriffspunkt... Mit dem von mir nur vermuteten Nachteil, dass der qnap etwaige Angriffe auf den vpn Dienst weniger gut verarbeiten kann. Demnach wäre nach dieser Sachlage für mich eindeutig die Fritte das Gerät welches den vpn server bereitstellen sollte.
Was mich hier massiv stört bzw. ein stück weit Unsicherheit walten lässt ist die uralte clientsoftware "shrewsoft", allerdings weiß ich nicht ob es eine alternative dazu gibt und wie unsicher die aus 2014(?) stammende client Software sein kann.
Aus technischer Sicht vermag ich auch nicht zu sagen wer hier besser aufgestellt ist oder mehr Schwachstellen hat, ich vermute einfach dass avm das besser kann...
Nachdem ich einst auch solche Überlegungen angestellt habe, qnap als vpn server sowieso raus war und ich das vpn der Fritte nicht haben wollte läuft bei mir (@home) unterm Strich auch eine Firewall appliance die mir den vpn Server zur Verfügung stellt. Wenn das nicht in Frage kommt würde ich die Fritte nehmen...
Ja aber die anderen Standorte haben ja unabhängig vom Provider auch ein LAN, diese Adressen dürfen nicht 192.168.178.x sein, sprich nicht im gleichen IP Adressbereich liegen!
Bein Betrieb eines VPN Servers sollte dieser immer in einem Netz sein, welches nicht Standard bei den gängigen Routern ist, da es sonst zu Störungen kommt.
Am besten wählst du für das LAN des qnap ein Netz wie 192.168.174.x.
Dann wäre das Problem schonmal gelöst. Dann schreiben wir entsprechende routen in die Client configs und dann sollte alles laufen. Eventuell wie schonmal erwähnt noch ein bissl was an der Firewall, falls die dann noch was blockt, aber das wird ja in den logs stehen...
Kurios ist, dass es ja scheinbar auf dem anderen System vorher lief, wenn ich das richtig verstanden habe und nur der qnap ausgetauscht wurde...
Was mich dennoch etwas skeptisch macht: du hast den qnap in dem Netz 192.168.178.0/24, also ein Standard Netz der gängigen Router, die anderen Netze/ Standorte dürfen nicht das gleiche Netz verwenden, ist das entsprechend so umgesetzt?
Hat es denn einen bestimmten Grund dass du das Gerät unter der VPN IP erreichen willst? Wenn QVPN die routen nicht pushen kann, kannst du die routen in der Client config eintragen und solltest dann keine Probleme haben das Gerät unter der LAN IP zu erreichen...
Ja daran habe ich mich seinerzeit als ich das mal versucht habe auch langgehangelt, warum es angeblich funktioniert hat bzw überhaupt funktionieren konnte, konnte ich mir nie erklären, denn zu dem Zeitpunkt des posts war ipv6 bei t-mobile gerade erst in der testphase und (vermutlich) noch nicht für jedermann zugänglich... Demnach hätte es über LTE gar nicht klappen können, andere Provider werden wohl noch gar nicht an ipv6 gedacht haben...
Natürlich will ich hier niemanden als Lügner darstellen, vielleicht rede ich es mir auch nur ein weil das der einzig gemeldete erfolg ist den ich kenne
Da gibt es sicher auch eine Lösung die Telefonie da durch oder drum herum zu bekommen...
Wenn Du einen da hast wäre es doch nen Versuch wert... Zu alt für ipv6 wird er nicht sein, ist ja Sache von openwrt... Wenn überhaupt packt die Firewall den Durchsatz von der DG nicht, aber zum testen doch erstmal egal...
Ja aber wie man auf den Bildern von der VPN Servereinrichtung sieht, kann man dort explizit IPv6 aktivieren, sprich den Server explizit auf IPv6 erstellen.
Genau das wäre der Haken den QVPN braucht, bzw. einfach die Auswahl tcp6.
Wie gesagt, ich gehe davon aus dass er es einfach nicht kann!
Btw:
So wie es bei dem syno gemacht wird müsste es beim qnap übrigens auch laufen: er muss auch wissen auf welcher ipv6 Adresse der Socket erstellt werden soll (das muss ja die global sein, auf der link local zb. würde es gar nicht gehen), im nächsten step müsste man dem qnap also auch noch das beibringen...
Grundsätzlich ist es überhaupt kein Problem VPN an einem CGNAT Anschluss zu betreiben, der Server muss einfach nur auf Ipv6 erstellt werden, der myfritzdienst übernimmt dabei lediglich die Rolle des dynDNS...
Bevor du dir ein zweites NAS als VPN Server zulegst und wieder Ports öffnen musst um das zu erreichen würde ich lieber über einen zweiten Router nachdenken der IPv6 VPN erstellen kann. Die Asus router können grundsätzlich OVPN, weiß aber nicht ob die das schon auf v6 können... Ich bin vor einiger Zeit umgestiegen, weil sie es da noch nicht konnten....
Mit openwrt geht es scheinbar , das kannste problemlos auf nen asus router ziehen, hier eine Anleitung dazu:
