Netzwerke verbinden - Zugriff von außen und evtl verbinden zweier NAS

[godlike]

Joa, im Rahmen meiner Selbständigkeit hab ich quasi expandiert und bin mit in ein Büro von Freunden, die halt das selbe Zeug machen wie ich ,"eingezogen". Dazu (als Backup und zum Datenaustausch) haben wir auch gleich ein kleines NAS gekauft (Synology DS416) die auch was Speichermenge angeht länger ausreichen sollte. Da ich das Teil gerade konfiguriere frage ich mich wie man am besten Daten der NAS auch von außen für alle bequem und sicher bereit stellen könnte. Sollte ich da den Weg über WebDAV gehen oder eher per VPN? Wie sieht es da mit der Sicherheit aus? Denke da ist VPN besser. Zugriff sollte man evtl eben auch bequem mal von Unterwegs (z.B. beim Kunden) übers Laptop/Tablet haben - sollte also evtl auch Linux kompatibel sein.

Ideen? Wie sollte ich das angehen?

Grüße

godlike

 

[The_Emperor]

Für jeden Benutzer getrennte OpenVPN Zugänge sind dafür das ideale Mittel. Entweder über eine OpenVPN fähige Firewall oder einen eigenen OpenVPN Server. Firewallmäßig schon irgendwas vorhanden?

 

[godlike]

Hmm Ok. Es gibt auf jeden Fall die Möglichkeit einen VPN-Server zu installieren auf dem NAS. Dieser unterstützt auch OpenVPN.

Firewallmäßig schon irgendwas vorhanden?

Auf den einzelnen Rechnern? Nur Windows ist da drauf bisher

 

[The_Emperor]

Meinte eine Hardwarefirewall. Die NAS hängt doch nicht direkt am Modem? Wenn das Büro quasi besetzt war sollte doch schon entsprechendes Equipment vorhanden sein.

 

[godlike]

Doch, die NAS hängt quasi direkt am Router (über einen Switch). Davor gab es kein NAS und die Rechner waren halt so im Internet. Das ich hier spezielle Sicherheitsmaßnahmen treffen muss wusste ich nicht. Wir sind da wohl alles Laien Dachte die normalen Sicherheitsvorkehrungen vom NAS (Starke Passwörter, nur wenige Dienste nutzen und unnötige nicht freischalten sowie aktiver Schutz gegen Cross-Site-Forgery Attaken sowie DoD-Schutz usw.) würde hier ausreichen Es sind momentan auch noch keine Ports nach außen weitergeleitet - das meiste wird eh nicht gebraucht.

Hab das Ganze jetzt mal per PPTP-VPN getestet aber kann mich nicht verbinden. Ganz normal eine Verbindung über Windows 10 eingerichtet bekomme ich die Fehlermeldung

Die Netzwerkverbindung zwischen ihrem Computer und dem VPN-Server wurde unterbrochen. Dies kann auf einen VPN-Übertragungsfehler zurückzuführen sein, der vermutlich durch eine Internetwartezeit oder einfach durch das Erreichen der maximalen VPN-Serverkapazität verursacht wurde. Wenn dieses Problem weiterhin besteht blah blah

Den Port 1723 habe ich getunnelt. Brauche ich da noch mehr?

Ok, scheint eh unsicher zu sein - versuche mich nun mal an IPSec mit Key

Aaaaah, und jetzt komme ich nicht mal auf die Fritzbox weil ich hier keine IPv6 Konnektivität habe

 

[godlike]

Ich bekomme ich es nicht hin! Habe nun alle Ports für IPSec weitergeleitet (im Netzwerk wo der NAS hängt, von der Fritzbox an die NAS). UDP 500, 1701, 4500 und ESP. VPN auf dem Rechner hier auf der Arbeit eingerichtet



(Angaben stimmen alle, habe statt der IP auch meine synology-dyndns versucht ohne Erfolg).

Bekomme stets nur das



Jemand noch irgend eine Idee was da schief laufen könnte?

Auch mit OpenVPN komme ich nicht drauf

Wed May 04 11:49:44 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on May 4 2016
Wed May 04 11:49:44 2016 Windows version 6.2 (Windows 8 or greater)
Wed May 04 11:49:44 2016 library versions: OpenSSL 1.0.1t 3 May 2016, LZO 2.09
Wed May 04 11:49:53 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed May 04 11:49:53 2016 UDPv4 link local (bound): [undef]
Wed May 04 11:49:53 2016 UDPv4 link remote: [AF_INET]*.*.*.78:1701
Wed May 04 11:50:53 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Wed May 04 11:50:53 2016 TLS Error: TLS handshake failed
Wed May 04 11:50:53 2016 SIGUSR1[soft,tls-error] received, process restarting
Wed May 04 11:50:55 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed May 04 11:50:55 2016 UDPv4 link local (bound): [undef]
Wed May 04 11:50:55 2016 UDPv4 link remote: [AF_INET]*.*.*.78:1701

Dyndns wird aber richtig aufgelöst...

 

[drfuture]

Die Frage ist was ihr für einen Internet-Anschluss habt, hast du eine "echte" ipv4 adresse?
Ich hab leider k.a wie man das an der Fritzbox feststellen kann, normal gibt es aber wenn du nach deinem Internet-Anbieter im Internet suchst infos darüber ob die DualStack anschlüsse anbieten oder nur ipv6 mit ds-lite / Litestack

 

[godlike]

Also laut NAS hab ich eine IPv6 Adresse (zu Hause - Unitimedia) und eine IPv4 Adresse im Büro (Telekom). Sprich ich komme nicht drauf wegen IPv6? Wird in keinem Tutorial erwähnt das es damit Probleme geben könnte. Andererseits wird im NAS aber auf eine "normale" Adresse unter meinname.synology.me verwiesen. Pinge ich meinname.synology.me an bekomme ich auch hier im Büro diese IP angezeigt welche auch in der NAS als WAN Adresse vermerkt ist.

Allerdings gehen alle 4 Pakete beim Ping verloren (schätze weil Port 80 nicht offen ist aber k.A.)

 

[drfuture]

Port 80 kannst nich pingen ^^ - ping läuft immer an port 9? oder sowas und ist ein ICMP Paket aber das ist erst mal egal.
Ja ipv4 und ipv6 ist durchaus ein größeres Ding (und das mit ipv6 kapiere ich auch noch nicht wirklich ;D)

Denn immer mehr anbieter (und unitimedia gehört meines wissens z.B. in jedem Fall dazu) liefern beim normalen dsl-anschluss eine unique ipv6 adresse und eine mit anderen kunden geteilte ipv4 bei der du dann aber auch portweiterleitungen machen kann wie du willst - du wirst keinen Erfolg haben da der Provider NAT auf seiter Seite einsetzt und dir deinen Port nicht weiterleitet.
Die Telekom macht das im übrigen in manchen Bereichen ebenso.

allgemein ist wohl zu sagen das du auf beiden geräten also Quelle und Ziel einen der 2 Zugänge ipv4 oder ipv6 nativ brauchst, und zwar auf beiden den gleichen.
Wenn du daheim nur ipv6 nativ hast und in der Firma nur ipv4 wirds auch nichts

Aber wie gesagt ipv6 bin ich selber noch nicht so richtig durchgestiegen - da kann dir evtl. jemand hier noch mehr sagen.

 

[godlike]

Hmm, das könnte irgendwie hin kommen. Bin früher auch per FTP von der Arbeit aus auf den FTP gekommen, jetzt keine Chance mehr. War wohl als die auf IPv6 umgestellt haben bei Unitymedia. Auf jeden Fall hab ich auch noch einen Menüpunkt wo ich was tunneln kann. Da kommt auch IPv6 vor.



Allerdings hab ich keine Ahnung was ich da so einstellen muss oder was das überhaupt bewirkt

 

[drfuture]

https://de.wikipedia.org/wiki/6to4 ist das, dazu brauchst du einen passenden tunnel-broker https://de.wikipedia.org/wiki/Liste_von_IPv6-Tunnelbrokern - nur ob das wirklich weiterhilft kann ich dir nicht sagen - nur das ich bedenken hätte den Traffic durch so einen Broker zu tunneln ;D

 

[godlike]

Herrjeh ist das kompliziert Ich mach jetzt auf jeden Fall erst mal ein Update vom Synology DSM. Evtl hat sich da ja was getan

 

[eraser]

Bei welchem Anbieter bist du denn? Ich bekam wegen ähnlicher Probleme echtes DualStack und wieder ein ipv4 Adresse.

 

[godlike]

Wie gesagt - bei Unitymedia. Von denen erhoffe ich mir aber wenig Hilfe. Beim letzten mal (HD+ Paket bestellt) hatte ich ein paar Tage kein Internet und musste in ~ 15 Telefonaten erklären wieso ich den Router, der ersten Schrott ist und den ich zweitens nicht bestellt hatte, wieder zurück geschickt habe. Dann hab ich lieber kein VPN

Was mich aber etwas wundert - wieso kann ich Daten ohne Probleme per Cloud-Station spiegeln, ganz ohne Probleme? Das Prinzip ist doch das Selbe?

 

[drfuture]

Nein, die DS funktionen bauen zum Synology-Server eine Verbindung auf, von innen nach draußen geht ja quasie immer, das gleiche macht der Client und die offene Sitzung wird dann direkt "verbunden" glaube über https. Du baust jedenfalls nicht direkt ohne zutun 3ter wie du es gerade versuchst die Verbindung auf.

 

[eraser]

Hatte das mit UM nicht gelesen. Die geben einem leider kein echtes DualStack. Ohne Zwischenstation wird es nicht klappen.

 

[drfuture]

Im Büro haben sie ja Telekom, die bieten das durchaus an, einfach mal anrufen und diskutiert was du aktuell hat und was du willst (du willst full dualstack)

 

[godlike]

Im Büro 1, wo ich gerade meinen Tag friste, bin ich über DSL 6000 froh - bezweifle von dem her das die da was drehen und bin andererseits auch nicht bereit deswegen mehr zu zahlen. So wichtig ist es mit dann auch nicht. Hauptsache ich bekomme von hier ein Backup per Cloudstation auf mein Heim-NAS. Im Büro 2 ist imho DSL mit IPv6 vorhanden, genau wie bei mir daheim. Sprich die beiden NAS bekomme ich ja in ein VPN-Netzwerk - und das wäre auch Sinnvoll bzw. wichtig da ich da oft Daten austausche. Das probier ich die Tage auch mal aus

 

[godlike]

Ok, ich komm auch so nicht per VPN auf das Heimnetzwerk. Obwohl Port weitergeleitet werden, die IP stimmt und beide IPv6 Internet haben. Sehr seltsam...

 

[drfuture]

auch für ipv6 die portweiterleitung eingerichtet? bzw. da beißt es nun auch bei mir aus - das Gerät / der VPN-Server hat je nach Konfiguration seine eigene IPv6 adresse die man über die Fritzbox vergeben kann. - Jedenfalls ist die standard-Portweiterleitung glaube ich nur für ipv4 eingetragen.