Veilige gelimiteerde verbinding vragen

[Tom3k]

Beste allen, ik ben me sinds kort aan het verdiepen in het veilig benaderen van bepaalde apps op mijn NAS. Ik heb veel gelezen, maar niet alles is mij duidelijk. Hopelijk kunnen jullie mij helpen met onderstaande vragen.

Ik wil enkel dat ik toegang heb tot een paar apps (DS Cam, DS Foto, mogelijk nog benaderen van 1 specifieke map met documenten), dus niet meteen mijn hele netwerk.

Om DS Cam te benaderen heb ik HTTPS ingesteld in DSM alsmede 2 step verification. Daarnaast had ik op mijn Asus router (bridgemodus met Ziggo modus) de betreffende poort open gezet en daarbij had ik als source IP het IP adres van mijn telefoon. Hierdoor werden alle andere IP adressen van buitenaf al bij de poort (router) tegengehouden. Ik testen en blij want het werkte perfect. Als ik een afwijkend IP in Source IP zette dan kon ik er met mijn 4G niet bij, maar bij correcte source IP wel. Dit toont meteen mijn onervarenheid, want toen ik een dag later vol trots mijn prestaties aan iemand op werk wilde tonen, kwam ik natuurlijk van een koude kermis thuis dankzij dynamische IP van Vodafone 4G abo.

Mijn wens is echter nog steeds een zo beperkt mogelijke toegang van buitenaf en dat enkel met een paar apparaten zoals eigen smartphone en misschien later nog tablet/laptop.

Nu denk ik over (Open?)VPN en bij voorkeur niet via 3de partij. Maar ik heb meerdere vragen.

Ik kan op mijn Asus router VPN server instellen, maar het kan ook met DSM. Stel je doet het enkel op DSM en ik zet de poort op router open. Houdt dit dan niet in dat in principe de connectie met DSM beveiligd is, maar andere eventuele apparaten die via die poort praten niet? Immers, VPN op DSM is niet VPN op router toch? Ik bedoel, ik lees dat je op router 1701, 500, en 4500 moet port forwarden, maar dan zijn andere apparaten die ook van die poorten gebruik maken toch zomaar benaderbaar via internet?

Ik lees dat je met VPN op DSM kunt instellen welke gebruikers ervan gebruik kunnen maken. Klopt het dat het dan sowieso veiliger is om daarvoor gebruikers te gebruiken zonder admin rechten?

Hoe kan ik mijn wens zo makkelijk mogelijk invullen? Ik heb topics over "OpenVPN #1: Beter beveiligen" gelezen, maar dat vind ik wel erg ingewikkeld en volgens mij ook overkill voor mijn behoefte, maar ik hoor het graag van jullie.

Alvast dank en groeten!
Tom

[Babylonia]

Beperken van toegang tot enkele apparaten is op basis van wisselende mobiele IP-adressen niet mogelijk zoals je hebt gemerkt.
Maar je kunt in de Firewall wel regels aanpassen die de toegang beperken tot enkele regio's. Bijvoorbeeld alleen vanuit Nederland. Ga je op vakantie neem je de toegang van die andere landen erbij. Als je dan ook alleen de toegang via VPN regelt, heb je een aardig strenge beveiliging.

Poorten 1701, 500, en 4500 worden alleen voor een VPN-server gebruikt (met L2TP/IPSec protocol).
Als je op andere apparaten geen VPN-servers instelt, worden die poorten dus niet door andere apparaten gebruikt.
Door bijv. gebruik te maken van de VPN-server mogelijkheden op de NAS, stuur je die poorten door naar de NAS.
Er is van buitenaf dan geen mogelijkheid om "rechtstreeks" via die poorten andere apparaten te bereiken dan alleen je NAS.
En dat ook alleen via het VPN protocol.

Wel is het mogelijk als eenmaal de VPN-verbinding tot stand is gekomen, andere apparaten in je thuis netwerk te benaderen.
(Daar ligt nu juist de kracht van VPN voor veel "thuisgebruikers"). Maar daar zijn naar wens ook wel weer beperkingen op in te stellen.

Je hebt geen betaalde 3e partij externe VPN-dienst nodig om van buitenaf je eigen geïnstalleerde VPN-server te benaderen.
Verder zou ik beslist andere gebruikers die je toegang wilt verlenen tot je NAS, geen adminrechten geven.

[Tom3k]

Dank voor je reactie. Het wordt mij al een stuk duidelijker.

Nog wel paar vragen naar aanleiding van je reactie:

"Wel is het mogelijk als eenmaal de VPN-verbinding tot stand is gekomen, andere apparaten in je thuis netwerk te benaderen." Dat volg ik niet helemaal. Ik begrijp dat als je VPN server op je NAS hebt ingesteld en je router die VPN poorten forward naar je NAS, dat je eigenlijk alleen met een VPN verbinding bij je NAS kunt komen en niet bij andere apparaten (bv IPCamera).

Hoe kun je als je eenmaal een VPN verbinding tot stand hebt gebracht met je NAS toch bij andere apparaten in je thuisnetwerk komen?

Je hebt het over L2TP/IPSec. Is dat secure genoeg? Ik lees geregeld dat OpenVPN veiliger is en sneller. Of is dat overkill?

Indien L2TP/IPSec: Mijn Galaxy S8 heeft VPN functie waar ik dat kan instellen, maar daar zie ik veel opties;

L2TP/IPSec PSK
L2TP/IPSec RSA
IPSec Hybrid RSA
IPSec Hybrid PSK
IPSec Xauth PSK
IPSec Xauth RSA
IPSec IKEv2 PSK
IPSec IKEv2 RSA

Wat moet ik dan kiezen?

Alvast dank!

[Birdy]

Ik begrijp dat als je VPN server op je NAS hebt ingesteld en je router die VPN poorten forward naar je NAS, dat je eigenlijk alleen met een VPN verbinding bij je NAS kunt komen

Die port forwarding is inderdaad nodig om bij de VPN Server op je NAS te komen.

en niet bij andere apparaten (bv IPCamera).

Dat is niet waar:

Hoe kun je als je eenmaal een VPN verbinding tot stand hebt gebracht met je NAS toch bij andere apparaten in je thuisnetwerk komen?

Daar zorgt VPN voor, je kunt alle apparaten gewoon benaderen alsof je thuis bent.
Op deze manier kunnen ook werknemers thuiswerken alsof ze op kantoor zitten.

Zou kiezen voor OpenVPN, is de meest veilige VPN verbinding!

[Babylonia]

@Tom3k
Bij een VPN-verbinding is het "alsof je thuis" bent. Normaal thuis kun je als voorbeeld een mediaspeler oproepen, een andere PC (als die in het netwerk hangt), of net wat er meer in je netwerk zit.

Zelf gebruik ik een VPN-verbinding bijvoorbeeld expliciet om het netwerkbeheer van een organisatie "op afstand" bij te houden.
Routers, managed switches, Access Points, Printers... Ik hoef er niet speciaal voor naar de organisatie te gaan om daar ter plekke instellingen te wijzigen. Een stuk handiger als er eens iets aan de hand is.

Je hebt het over L2TP/IPSec. Is dat secure genoeg? Ik lees geregeld dat OpenVPN veiliger is en sneller. Of is dat overkill?

Eerder heb je het specifiek over de poorten 500, 1701, 4500     Dat hoort bij L2TP/IPSec en niet bij OpenVPN.
Of je de ene methode gebruikt of de andere.  Beide methodes zijn prima in te zetten.  Als je PPTP maar beter nalaat.

Verder een ander advies dan @Birdy   
Omdat je nog helemaal van start moet gaan en geen ervaring hebt met VPN zou ik niet meteen met OpenVPN beginnen.
Daar zul je naar ik vermoed, net als de meeste "instap" gebruikers in het begin gegarandeerd wel ergens op vast lopen.
Start met L2TP/IPSec, en als je daar gedurende de tijd wat meer ervaring mee hebt, kun je alsnog naar OpenVPN overstappen.

In je smartphone bovenste in het rijtje   L2TP/IPSec PSK

[Pippin]

Die redenering kan ik niet goed volgen.
Men hoeft geen L2TP in te stellen om OpenVPN in te stellen
Nu of later maakt geen verschil, behalve dan dat men misschien bij L2TP blijft hangen omdat het werkt...

Gewoon met OpenVPN aan de slag gaan.
Vragen kunnen hier op het forum gesteld worden, antwoorden komen vanzelf.

[Birdy]

Mijn ervaring is, dat OpenVPN veel makkelijker te implementeren is dan L2TP/IPSec PSK maar goed, dat is dan mijn mening....
En wat @MMD (OpenVPN specialist) aangeeft, OpenVPN !
De basis, vind je hier.

[Babylonia]

Die redenering kan ik niet goed volgen.

Ik wel. De meeste vragen m.b.t. VPN gaan over OpenVPN omdat mensen erop vast lopen en dat vanuit "geen ervaring met VPN" te hoog is gegrepen. Begin gewoon eenvoudiger.  Dat geldt voor alles wat je doet.  Juist de OpenVPN specialist als @MMD zou dat moeten snappen.
(Of is misschien juist door een OpenVPN  "tunnelvisie" blind daarvoor  ).

[Briolet]

Mijn ervaring is dat "L2TP/IPSec" juist simpeler is dan OpenVPN omdat het native al aanwezig is op al mijn apparatuur.

Op mijn mac's is dat geïntegreerd in het OS terwijl je OpenVPN apart moet installeren en OpenVPN is ook niet zichtbaar in netwerkbeheer. Ook op mijn Android telefoon zit "L2TP/IPSec" er standaard op. Dat maakt het gebruik simpeler en updates van het OS zullen er voor zorgen dat het compatibel met het OS blijft. Geen externe programma's die bij een update van het OS plots weer kuren gaan vertonen.

[Pippin]

Blijf erbij dat het nergens voor nodig is een omweg te nemen naar het doel.
Een omweg die geen informatie verschaft m.b.t. het instellen van OpenVPN.
Men kan beter een "Networking 101" cursus volgen

OpenVPN is prima in te stellen in VPN Server.
Om het met "verstandige" instellingen te doen, gewoon zoeken en/of vragen stellen.

Als men geen third party software wil installeren, prima, kies dan ergens anders voor.

[Tom3k]

Allen alvast hartelijk dank voor de antwoorden. Ik lees dat zodra ik een VPN verbinding tot stand heb gebracht, je direct bij alle devices in het LAN netwerk kunt komen. Ik snap alleen niet waarom ik dan de port moet forwarden naar de NAS terwijl vervolgens toch alles bereikbaar is. Is dat simpelweg om correct bij de VPN server van de NAS te komen die er vervolgens voor zorgt dat je toegang hebt tot heel je netwerk?

Zo ja, is er ook een manier om die toegang toch te beperken tot enkel je NAS?

Als je ook op je Router een VPN server kunt aanmaken (wat kan met mijn Asus RT-AC68U router), is dat dan aan te bevelen boven de Synology NAS VPN server of niet (en waarom?)?

Moet ik nog iets doen met firewall settings op NAS, of niet?

Nogmaals dank!

 

[Babylonia]

Die port forwarding is nodig om bij de VPN-server van de NAS te kunnen komen.
Van daaruit heb je een VPN-verbinding en zit je "in je thuis netwerk".
Om de toegang te beperken tot alleen de NAS zou ik dat zelf eerst even moeten uitproberen met aanpassen firewall regels.
(Ik heb ze standaard juist zodanig staan dat ik in het netwerk kan komen).

M.b.t. een VPN-server op de Asus RT-AC68U router zou ik dat ook eerst moeten bestuderen welke opties daar voorhanden zijn.
Maar als het de bedoeling is alleen bij je NAS te komen, lijkt me de keus om de VPN-server op de NAS in te stellen logischer.

[Pippin]

Voor OpenVPN,

Als alleen de NAS bereikbaar moet zijn (en blijven) draai je daar de VPN.
Om enkel toegang tot de NAS te hebben vink je "Clients toegang geven de LAN-server" niet aan.

[Tom3k]

Het is mij zowaar gelukt om een OpenVPN verbinding tot stand te brengen en in te loggen op DS Cam enzo. Hiervoor heb ik OpenVPN Connect voor Android gebruikt. Ik had het VPNConfig bestand aangepast en geïmporteerd in de app. Toen vroeg hij nog om het CA bestandje, maar als ik dat gebruikte werkte het niet, maar toen ik het nog eens probeerde en die stap oversloeg, toen werkte het wel. Kan iemand mij dit uitleggen? Klopt het zoals ik het heb gedaan, of zou het CA bestandje toch correct geïmporteerd moeten worden en loop ik nu risico omdat ik dat niet heb gedaan?

Verder:"Om enkel toegang tot de NAS te hebben vink je "Clients toegang geven de LAN-server" niet aan." Ben ik heel blij mee en de zin zegt het inderdaad al Vind ik toch veiliger zo.

Ik las ergens dat je niet je admin account moet gebruiken voor VPN. Ik heb dat niet gedaan, maar waarom is dat?

Ik heb een nieuwe DSM account gemaakt speciaal voor VPN connectie. Geen rechten, enkel recht om op VPN in te loggen (en alle andere gebruikers dat recht weggenomen). Vervolgens als ik de verbinding tot stand heb gebracht, log ik in met mijn eigen account die wel adminrechten heeft. Is dat goed zo?

Als OpenVPN instellingen had ik trouwens niks veranderd aan Dynamisch IP, of max aantal verbindingen. Poort 1194 UDP, Codering AES-256-CBC, Verificatie SHA256, Compressie op de VPN koppeling ingeschakeld en Client toegang geven tot de LAN server uit en ook IP6 servermodus uit (wat is dat?). Zijn mijn instellingen zo ok?


Wederom dank!

Ps; ben nog steeds nieuw met deze materie, maar toch grappig als je ermee bezig bent en erover gaat nadenken. Geregeld valt er weer een kwartje en denk je; Ah ja, logisch eigenlijk

[Briolet]

Verder:"Om enkel toegang tot de NAS te hebben vink je "Clients toegang geven de LAN-server" niet aan."

Het enige domme daaraan is dat er een i-tje achter staat die je naar de helpfile verwijst voor verdere uitleg. Maar als je dat doet, staat er in de help maar één regel die de naam van de functie herhaalt. "Tik op 'Clients toegang geven tot de LAN-server' om clients toegang te geven tot de LAN-server." Je wordt er dus niets wijzer van dan de wat de naam ook al aangeeft. Dat hele i-tje en doorverwijzing naar de helpfile hadden ze beter weg kunnen laten.

Ik las ergens dat je niet je admin account moet gebruiken voor VPN. Ik heb dat niet gedaan, maar waarom is dat?

Om een inlog te brute-forcen heb je naam en wachtwoord nodig. Een expert kan vaak op afstand al zien dat het een Synology is en dat daar het standaard account "Admin" is. Als je dat account niet actief is, moet de aanvaller én accountnaam én wachtwoord raden.