Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: rimybro op 07 december 2017, 19:40:57
-
Mijn doel is om een “veilige” connectie naar mijn Synology NAS te kunnen opzetten terwijl de NAS gelijktijdig ook een “private” verbinding met het internet heeft. Nu begrijp ik dat “Veilig” en “prive” erg subjectief is dus vandaar mijn toelichting:
- Mijn doel is om mijn NAS zo goed als mogelijk te beveiligen voor toegang van derden terwijl de NAS toch toegang tot het internet heeft. Daarnaast moeten de bestanden extern benaderd kunnen worden (niet via diskstation manager).
Voor beide verbindingen moet privacy hoog in het vaandel staan maar dit mag nooit ten koste gaan van de beveiliging van de NAS of inzage tot zijn bestanden.
Ik heb al veel gelezen maar niet een goede oplossing kunnen vinden (zie ook hieronder).
Please help mij :geek:
-
Mijn gedachtes/problemen:
(A.u.b. corrigeer mij als ik het verkeerd heb)
Beste toepassing voor bovenstaand doel lijkt mij om beide verbindingen via OpenVPN te laten verlopen. Helaas is het bij Synology niet mogelijk om de NAS gelijktijdig als OpenVPN Server en als Client te laten werken. Synology geeft dan namelijk de melding: “Connection failed. Please go to “Main menu” > “VPN Server” to disable OpenVPN server and then try again”
Vanwege bovenstaand probleem zou ik voor de verbinding met de VPN server (NAS als client) een ander protocol kunnen kiezen dan OpenVPN. Dan kan de NAS nog functioneren als OpenVPN server. Dit werkt maar ik zie daar nog geen goede oplossing:
- NAS als cliënt via PTTP verbinden
Ik vraag mij dan af hoeveel privacy ik heb en maak mij voornamelijk zorgen dat derden deze verbinding kunnen kraken en daardoor toegang kunnen krijgen tot mijn NAS. PPTP valt af? - NAS als cliënt via L2TP/IPsec
Geen veilige optie omdat de provider een preshared key hanteert van 3 karakters die voor iedereen gelijk is (dit doen overigens veel meer VPN providers). Valt ook af? - NAS als server o.b.v. L2TP/IPsec
Vind ik ook geen optie omdat er dan vanaf de meeste netwerken geen verbinding opgesteld kan worden omdat daar de benodigde poorten dicht staat.
-
Denk ook aan de toegang beperken in de firewall. b.v. alleen specifieke IP adressen toegang geven tot bepaalde poorten.
-
Gebruik van 2 staps verificatie, waarbij je naast je inlognaam en wachtwoord via een smartphone nog een extra random code wordt toegestuurd om connectie te kunnen leggen.
-
Bedankt voor de reacties.
Naar beide heb ik gekeken en toegepast (zelf gebruik ik de Authenticator app).
Uiteraard zijn nog veel meer mogelijkheden om de NAS beter te beschermen en hierover is ook al veel geschreven.
Maar voor deze post gaat het (mij) specifiek om de twee beschreven verbindingen.
En toch wel de beperking dat de Synology NAS niet gelijktijdig als OpenVPN server en client kan functioneren
-
En toch wel de beperking dat de Synology NAS niet gelijktijdig als OpenVPN server en client kan functioneren
Dat zit hem in de aard van de VPN-verbindingen. Als je besluit om al het uitgaande verkeer van de NAS als Client via een VPN verbinding te laten lopen, kun je niet besluiten die tunnel open te breken voor benadering op andere wijze.
-
@Babylonia, deze "aard" begrijp ik dus niet, ongetwijfeld door mij ontoereikende kennis van protocollen/netwerken.
Maar wat ik mij dan ga afvragen is waarom bijv. L2TP/IPsec als client verbinding gelijktijdig een OpenVPN server draaien wel mogelijk is maar beide via OpenVPN niet?
-
Is geen OpenVPN limitering maar omdat Synology dat niet geïmplementeerd heeft.
-
Met L2TP gaat dat ook niet hoor.
Zou je het wel willen implementeren kom je aan verdergaande "router"-functies. Een NAS is geen router.
-
Iemand nog een goede oplossing?
Ik zou verwachten dat veel meer Synology NAS gebruikers willen wat ik beschrijf.
-
De oplossing is heel simpel.
Koop een router die VPN server kan zijn en gebruik dat om vanaf het internet je lan te kunnen gebruiken.
Je NAS kan nu eenmaal niet zowel VPN server als VPN client zijn.
Het is overigens ook een veel nettere oplossing om de bescherming direct bij de router te hebben en niet eerst het lan op naar je NAS.
-
Nu heb ik braaf een router met VPN server functionaliteit geregeld. ::)
Blijkt dat deze router, voor zijn OpenVPN server, niet de mogelijkheid biedt om toegang van clients te beveiligen met gebruikersnaam en/of wachtwoord.
Kortom; zodra de OpenVPN server aan staat kan iedereen met het certificaat moeiteloos op mijn LAN komen.
Hoe veilig is dit?
-
Veiliger. In het andere geval kan ook al iedereen met de naam en wachtwoord op je Lan komen.
Een slecht gekozen wachtwoord kun je nog brute forcen, maar een certificaat heeft toch een te lange sleutel om te ontrafelen.