Van poort-forwarding naar VPN

[HenkGroen]

Mijn situatie is dat op mijn eigen locatie een DS412+ hebt, en op een 2e locatie een DS213+ (voor back-up doeleinden via HyperBackup & Sync van gedeelde mappen.

Mede hiervoor, maar ook voor aanloggen en o.a. Netdrive heb ik diversen poorten open staan op mijn router. Zie bijlage openpoorten-Netgear

Nu wil ik het 1 en ander veiliger gaan maken, dus wil ik af van de ‘Poort forwarding’. Hiervoor heb ik al poort 1194 open gezet, en OpenVPN op mijn Windows & Android telefoon devices geïnstalleerd.
(zie bijlage OpenVPN)

Omdat ik geen eigen DDNS hebt, heb ik in OpenVPN (VPNConfig.ovpn) settings de synology.me DDNS gebruikt van mijn DS412+. De basis werkt nu wel, maar ik heb even de volgende vragen. Om zo zeker te weten dat ik beter bezig ben dan nu.


1)
Omdat inloggen nu via OpenVPN loopt, kan ik dus op mijn router de poort for-warding stoppen van Netdrive (5006), en DSM (5011), omdat ik via OpenVPN voortaan ‘lijkt alsof ik thuis ben’.
Klopt dit ?

2)
Hoe ga ik ervoor zorgen dat mijn backup NAS op de 2e locatie nog wel mijn Primaire NAS kan blijven zien. Moet ik dit via QuickConnect gaan doen, of zijn er andere (betere) opties.
Hierdoor zou dus de poorten 8022 & 873 & 6281 in mijn printscreen ook gestopt kunnen worden)

3)
En de familie leden die ooit een willen inloggen voor PhotoStation, kunnen dit gewoon blijven doen via QuickConnect lijkt me. Of via een weblink die ik ze geef.

4)
Is het alsnog verstandig om mijn DSM firewall aan te zetten, met het feit dat alleen alles vanuit NL nog maar wordt toegelaten (voor de QuickConnect dingen), en de rest alleen mijn interne & VPN IP-reeks

5)
Hoe gaan de laptops van mijn kids (CloudStation Backup) backuppen naar huis (vanaf school) ?. Het beste lijkt dit te doen via QuickConnect, zodat zij geen OpenVPN hoeven te starten/gebruiken.

6)
Mijn camera ’s die buiten mijn Synology om nog naar buiten gaan via hun eigen DDNS hoeft ook niet meer, omdat ik ze via OpenVPN op mijn telefoon kan benaderen als interne CAM. Dit klopt toch ook ?  (hetzelfde geldt voor mijn internet Netgear router)

7)
Ik weet dat het wellicht nog beter kan, maar ik ben ook geen doorgewinterde Synolygy kenner, dus als er andere idee(n) zijn, die redelijk te doen zijn, dan hoor ik dat graag.
Maar, ik neem aan dat het beter is om de uitzonderingen via QC (QuickConnect) te laten verlopen, dan nu zelf via port-forwarding te doen op mijn router.

[Ben(V)]

Portforwarden is enkel niet veilig als er geen applicatie is die continue de data die op die poort binnenkomt afvangt.

Als je een VPN opzet dan heb je op de Nas een VPN server draaien en die zorgt ervoor dat alle data die op z'n poort binnenkomt ofwel verwerkt wordt als geautoriseerd VPN verkeer ofwel weggegooid wordt.
Hetzelfde geld voor een applicatie als hyperbackup.

Dus om voor die reden hyperbackup over een VPN te proberen te leiden heeft nauwelijks toegevoegde waarde.

Als je dat wel zou willen moet je een Site-to-Site VPN opzetten en dat kan in ieder geval niet met de OpenVpn implementatie van Synology.

[Birdy]

Site-to-site is VPN is wel mogelijk met VPN Plus maar daar heb je 2 Synology Routers voor nodig of 1 Synology Router en 1 FortiGate.

[Briolet]

Als het om backup gaat, kun je ook met de firewall werken omdat de backup meestal vanaf een vast IP adres komt. Laat alleen dat IP adres toe voor die poort.

Bij sommige routers kun je de forwarding afhankelijk maken van het bron adres. En anders forward alles voor die poort en limiteer het IP in de firewall op de nas.

[HenkGroen]

Alvast bedankt voor jullie reacties.
Ik had gehoopt dat ik met de huidige 7 opties / vragen al goed bezig was..

Ik lees nu alleen maar dat ik VPN site toe site moet nemen.

[Ben(V)]

Nee als je goed leest moet alleen maar voorzichtig zijn met portforwarden als daar niets of iets onveiligs op luistert.

Een smb port forwarden is bijvoorbeeld levensgevaarlijk, maar een VPN poort is volkomen veilig als je een VPN server hebt draaien op die poort.

[HenkGroen]

Dus,
Ik kan mijn 7 'stappen' doen, en ben dan beter beveiligd dan dat ik alles via Port-Forwarding zou doen ?
Of ben ik dan te kort door de bocht ?