Zugriff über Internet und Sicherheit

Dass Portmapper Adresse rein muss, ist schon klar, aber muss ich eine Portmapper Adresse auf den Router.myfitz.net oder auf das NAS.myfritz.net machen?

Beim IPv6.opvn kommt zusätzlich zu proto IPV6 noch der MyFritz-Name der Synology bei remote rein (statt dem gemappten IPv4).

Ich habe jetzt mal den Portmapper aufs NAS gemacht, VPN Server geändert und Fritzbox.
Bekomme dann am Handy Zertifikat Fehler, der sich mit continue übergehen lässt aber dann timeout.

Kann das an einemschlechten Empfang liegen (nur Edge)?

Falls ich doch Tomaten auf den Augen habe mach ich mal Screenshots von allem und häng sie hier rein...

hier die Screenshots, vor allem bei der Freigabe in der Fritzbox war ich unsicher,
hier muss man sich ja zwischen MyFritz und Portfreigabe entscheiden.
Ich hab die Portfreigabe gewählt obwohl ich bei feste-ip den MyFritz-Name angegeben habe.

feste-ip.pngVPN Server.png
FB1.pngFB2.pngFB3.png
opvn.png

Heureka!

Ich habs selbst noch gefunden:
Beim Portmapper muss ich natürlich meinen port 1199 angeben.
Erst dann gibt es zu meine feste-ip-Adresse auch einen (anderen) Port.
Den noch bei remote in opvn rein und es läuft!

Zumindest übers Handy, Tablet muss ich mal aus einem fremden WLAN testen...

VIELEN DANK!

Wenn es über das Handy klappt, dann sollte es mit der gleichen config auch bei jedem anderen Gerät klappen.

Portmapper direkt aufs NAS.xxx.myfritz.net. Du willst ja aufs NAS und nicht auf die FritzBox zugreifen.

Du musst mindestens 1 MyFritz-Freigabe für dein NAS auf der FritzBox haben, weil es sonst die Freigabe NAS.xxx.myfritz.net gar nicht gibt. Dann ist es aber m.W. egal, ob MyFritz-Freigabe oder Portfreigabe.

HILFE!

Ich habe heute den ganzen Tag nichts an der Fritzbox geändert, dann bekam ich 2 identische Mails (eines um 18:52 und eines um 19:05):
Mai.png

Eine Kontrolle auf der Fritzbox ergab keine exposed Hosts in den Freigaben.
Im log ist aber zu sehen, dass die DSL-Verbindung erneuert wurde:
FRITZ!Box 7530.png

Kann die Meilvon einer meiner Änderungen von gestern stammen?
Und was bedeutet die oberste Zeile im Log? Ich hab doch kein IPv4 am DS-light? Oder kommt das von feste-ip Portmapping?

mike1304 schrieb:

Eine Kontrolle auf der Fritzbox ergab keine exposed Hosts in den Freigaben

Das sehe ich anders.
Ändere mal schnell dein Kennwort der Fritzbox und entferne den "Exposed Host" Eintrag

vpn.jpg

aber dann müßte doch einer der beiden exposed Host angeschaltet sein:
2019-12-27 19_59_04-FRITZ!Box 7530.png

password hab ich geändert

schon wieder eine Mail,
scheint immer zu kommen, wenn die DSL-Verbindung neu aufgebaut wird bzw. ein neuer Präfix vergeben wird

mike1304 schrieb:

aber dann müßte doch einer der beiden exposed Host angeschaltet sein:

Ich glaube du verwechselst hier IPV4 mit IPV6. Lies dich da mal ein wenig mehr ein.
Das ist bei IPV6 generell so. Deswegen musst du zwingend die Firewallrichtlinien deiner über Prefix freigegeben Geräte im Auge behalten.
Ich frage mich derzeit immer noch, wie jemand Änderungen auf deiner Fritzbox durchführen konnte, wenn du das nicht gewesen bist.
Perspektivisch sehe ich daher bei den VU's erhebliche Sicherheitsprobleme auf uns zukommen. Meine VU würde ich daher derzeit NIE über IPV6 direkt über das Internet erreichbar machen.

Wenn du das über deine Syno mit VPN machst ist das o.k. (Ich hoffe, du hast dort auch die Firewall aktiviert) Wenn nicht, solltest du das jetzt ganz schnell nachholen !
Siehe Systemsteuerung --> Sicherheit --> Firewall

ich hab unter Diagnose/Sicherheit folgendes gefunden:
DiagSich.png

Verstehe ich Dich richtig:
Es ist normal für IPv6, wenn ich eine Port freigeben werden alle Port freigegeben
und ich muss auf der Synology die firewall aktivieren und auf 5001 und 1199 einschränken?

ich habe jetzt mal vorsichtshalber/testweise alle Freigaben entfernt.
Unter Diagnose/Sicherheit steht immer noch die letzte Zeile mit IPv6 DS214play.
Wie geht das denn?

Bei IPV6 gibt es kein NAT, o.ä mehr. Alle Geräte werden direkt aus dem Internet über das Präfix angesprochen.
Die Frage ist lediglich, welche Ports du an dem Gerät offen hast oder welche Ports bei den Geräten zwischen deinem Client und dem Internet offen sind.

In deinem Fall hast du alle Ports freigegeben und deine Syno steht demzufolge mit allen Ports über dein Prefix im Internet zum Zugriff bereit.
Entweder sperrt du an der Fritzbox alle Ports, die da nicht hingehören oder machst das über die Syno Firewall.

Das entfernen.

EDIT
Ping6,IPV6 würde ich auch entfernen

Hab die FB mal neu gestartet, dann war der Eintrag mit "alle IPv6 DS214play" weg.
Dann die Freigaben wieder eingerichtet und der Eintrag mit "alle IPv6 DS214play" blieb weg!
=> Damit sollte auch die Warn-Mail bei Neuverbindung unterbleiben
(ich glaube mittlerweile nicht mehr, dass jemand auf der FB ändert, sondern dass es nur eine Warn-Mail ist und der Text irreführend ist)

Den Ping-Eintrag hab ich so gemacht, weil er in Thomas Schäfers Beschreibung so stand.
=> Trotzdem raus?

Wenn jetzt die Zeile "alle IPv6 DS214play" weg ist,
=> muss ich trotzdem die Firewall auf der Synology zwingend einrichten?
=> Oder nur vorsichtshalber?
(ich muss da noch nach einer Anleitung suchen, die Begriffe aus der Synology-Hilfe dazu verstehe ich nicht)

ups, 9 Minuten nach dem Einrichten der Freigabe kommt wieder das Mail mit exposed Host
und in der Fritzbox in Diagnose/Sicherheit steht die Zeile "alle IPV66..."

Also doch Firewall auf der Synology...

Dass die Fritzbox eine irreführende Mail versendet bezweifle ich. Der Mailinhalt hat ja auch mit der Freigabeanzeige überein gestimmt.

Ping würde ich raus nehmen. Es muss aus dem Internet niemand wissen, ob dein NAS an oder aus ist.
Zu Testzwecken kannst das einschalten, ist für OpenVPN nicht relevant.

Meine Meinung...
Bei IPV6 ist eine Firewall auf den Endgeräten zwingend erforderlich. Darüber lässt sich aber sicherlich streiten.
Musst nach Aktivierung der Syno Firewall nur mit deinem Handy testen, ob OpenVPN noch funktioniert.

Was verstehst an der Syno Firewall nicht?

Mail muss ich später klären...

Ping hab ich raus.

Firewall auf Synology:
Ich hab eine Regel definiert für
- Netzwerkschnittstelle VPN
- port TCP benutzerdefiniert 1199
- Aktion zulassen
-Wenn keine Regel zutrifft: Zugriff erlauben

Etwas später hab ich nochmal nachgedacht und "Wenn keine Regel zutrifft: Zugriff verweigern" ausgewählt

Daraufhin bekam ich die Meldung, dass ich mich selbst ausgesperrt habe und die Regel nicht geändert wird.
(evtl. war ich im Hintergrund noch im VPN)

Trotzdem kam ich dann über die lokale IP nicht mehr auf die Synology. (Hinweis Zugang gesperrt oder so)
SCHOCK!!!

Bin dann über VPN reingekommen und hab eine Regel definiert:
- Netzwerkschnittstelle alle Schnittstellen
- Verwaltungsprogrammoberfläche (TCP port 5001)
- Aktion zulassen
unten steht da, wo bei der anderen Regel "Wenn keine Regel zutrifft: " steht,
jetzt: Wenn keine Regeln in "alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst
Den Satz verstehe ich nicht.

Weitere Fragen:
1. Sollte ich 5001 in Netzwerkschnittstelle LAN definieren und in "alle Schnittstellen" rausnehmen?
2. Muss 5001 in Netzwerkstelle VPN zusätzlich rein?
3. Kann ich das "Wenn keine Regel zutrifft: Zugriff verweigern" nur im Warning-mode laufen lassen (ich hab Angst mich auszusperren)
4. Die Zugriffe auf die gespeicherten Daten funktionieren (noch), muss ich da auch eine Regel dafür einrichten?
(über CIFS von der VU, über Windows-Explorer vom Laptop)

muss ich auch "alle" eingebauten Anwendungen freigeben?
im LAN und/oder im VPN ?

Wenn du in der Firewall alles abschaltest außer VPN ist es kein Wunder, dass du nur noch per VPN und nicht mehr per LAN drauf kommst.

Bezüglich der Portfreigaben hast du nicht zufällig in der Fritzbox aktiviert, dass die Syno selbständig Freigaben erstellen darf?

Ja, mir fehlt es am Grundverständnis für die Firewall.

Muss ich alles, was ich über VPN nutzen will unter Netzwerkschnittstelle VPN freigeben, auch VPN selbst
Muss ich alles, was ich lokal im LAN/WLAN nutzen will unter Netzwerkschnittstelle LAN freigeben, auch VPN?

Auf der Fritzbox ist selbständige Portfreigaben nicht eingeschaltet, ist das OK ?

Während der Einrichtung würde ich die selbständige Portfreigabe für das Gerät erlauben. Wenn du fertig ist, dann wieder rausnehmen.

Bezüglich Firewall Einrichtung hast du ja mit deinen Versuchen bereits selbst gemerkt, was da passiert,
VPN Interface brauchst du für VPN
LAN Interface im internen Netzwerk.

Musst halt definieren, welche Ports an welcher Schnittstelle mit welcher IP-Adresse verfügbar bleiben sollen.
In diesem Zusammenhang musst du überlegen mit welchem Port+Protokoll du über welche Schnittstelle auf das NAS zugreifst, Damit das Web-Interface im LAN erreichbar bleibt, musst du am LAN-Interface den TCP Port 80 (optional) und auf jeden Fall den TCP-Port 5000 zulassen.
Bei VPN eben den eingestellten VPN-Port. Auch hier überlegen ob UDP oder TCP

Für eine vernünftige Firewall-Einrichtung muss man sich vorher Gedanken machen. Das ist nicht einfach mal über Try-Error zu lösen.
In diesem Zusammenhang noch ein Tip. Bearbeite nicht das default Profil sondern erstelle Dir ein Eigenes zum Bearbeiten.

Bei deiner Haustür nimmst du ja auch nicht irgend ein Schlüsselbund zur Hand, machst die Tür zu und probierst danach, welche Schüssel da passen könnten.
Kann man machen, muss man nicht

Habs jetzt mal riskiert und "alle Schnittstellen" gelöscht,
unter VPN freigegeben, was ich meine über VPN zu nutzen, + VPN
unter LAN freigegeben, was ich meine über LAN/WLAN zu nutzen, +VPN
und wenn keine Regel zutrifft: nicht zulassen.

https 443 musste ich noch nachbessern


scheint noch alles zu funktionieren