VPN fritzbox of synology

[Kroonp]

Graag een advies over het volgende;
Ik wil een VPN installeren. Dit kan op mijn router (FRITZBOX) on op mij Synology.
Wat is beter meteen bij de voordeur (FRITZ)  of op mijn Synology een OpenVPN in te stellen?
Graag een advies;
Peter

[André PE1PQX]

Op de fritz is meer secure ten opzichte van je LAN, je zit n.l. nog voor aan je "internetvoordeur".
Op je NAS kan ook, maar dan zit je al achter je "interentevoordeur" in je woonkamer.

[Briolet]

Die voordeur maakt weinig uit. Als de nas het doet, loop het via een tunnel door de router en wordt de nas de voordeur.

[André PE1PQX]

@Briolet Ben het niet geheel met je eens. De modem/router is het eerste waar het verkeer door moet, en daar zou je de blokkade van ongewenste elementen willen hebben en houden.
Als je een VPN verder weg in je LAN hebt (in je NAS dus) ga je al door die modem/router heen, en het eerste verkeer is niet in een tunnel omdat die eerst nog opgebouwd moet worden.

Toegegeven, ik heb de VPN server ook in mijn NAS zitten omdat ik geen Fritz meer gebruik voor internettoegang maar een USG PRo 4.
Dus neem ik een risico op inbraak achter mijn gateway? Ja, dat zeker... Hoe groot is dat risico?? Ik hoop zo klein mogelijk (firewall en automagisch blokkeren)

[Babylonia]

VPN-server op een NAS kun je met de firewall van de NAS zeer sterk inregelen / beperken tot op regio niveau.
Vraag me af of een VPN-server op een Fritzbox diezelfde mate van instelmogelijkheden heeft als van een NAS?
Of met andere woorden wat is een ruimere toegang "bij de voordeur" waard, als je de firewall niet in die mate per regio kunt beperken?

[André PE1PQX]

Ik denk dat je zelf bepaald waar je de spreekwoordelijke voordeur neer legt. Ik leg hem bij voorkeur bij de modem/router neer.

[Babylonia]

Uiteraard bepaal je dat zelf. Maar jij bent wel degene die aangeeft het via een Fritzbox meer veilig te vinden.
Daar heb ik nu juist mijn bedenkingen op in de beperkingen van de firewall.  Vandaar een andere menig daarover.
Voor een meer afgewogen mening beter die verschillende opties erbij te betrekken. (Dat is namelijk de vraagstelling van de topic starter).

[sciurius]

Voor zover ik weet is de FRITZ VPN beveiligd met gebruikersnaam/wachtwoord.
Ik draai een eigen OpenVPN server die is beveiligd met x509 certificaten, dat is heel wat veiliger.
Hoe doet Synology het?

[André PE1PQX]

Hoe ik het heb geregeld: https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/

[Babylonia]

Voor zover ik weet is de FRITZ VPN beveiligd met gebruikersnaam/wachtwoord.

Dat is voor vergelijkbaar gebruikte VPN methoden verder hetzelfde. (En bij OpenVPN gebruik van een certificaat).
Verder kun je de veiligheid van de OpenVPN methode nog verder opvoeren volgens het hiervoor aangehaalde onderwerp.
(En de bitdiepte nog eens verhogen waarin alles versleuteld wordt).

Maar wat de instellingen van een Synology NAS (of router van Synology) uniek maakt is dat je met de firewall het gebied wat geldig is om een VPN te kunnen opbouwen kunt definiëren tot een zeer beperkte regio / land.  De rest van de wereld kun je buitensluiten.

Stel je dat in voor "Nederland" omdat je meestal alleen in Nederland vertoeft, en bijv. tijdens vakantie nog een land waar je naar toe gaat,
(of familie die misschien in Australië woont), beperk je de toegang alleen tot die regio's.  Geen toegang vanuit de rest van de wereld,
en daarmee al geen geen lieden aan de deur vanuit Azië of Rusland die het alleen al "proberen" om binnen te komen.

Daarnaast kun je nog een beperking op de inlog zetten dat na bijv. 5x verkeerde inlogpoging, het IP-adres wordt geblockt.

[Plerry]

De Fritz!Box (FB) VPN werkt met een user/password en/of PSK (pre-shared key).
Een klein voordeel van de FB VPN is dat je geen ports hoeft te forwarden;
deze worden direkt in de FB "afgevangen".

De FB VPN werkt (uitsluitend) met IPsec/L2TP en gebruikt de UDP poorten 500 en 4500.
Die poorten staan soms dicht wanneer je vanuit een bedrijfs of gasten netwerk naar
je FB thuis wil verbinden.

Synology kent drie "smaken" VPN: PPTP, OpenVPN en IPsec (zie hier), en gebruikt hier respectievelijk TCP port 1723, (default) UDP port 1194, en opnieuw UDP port 500 en 4500 (en kennelijk ook nog port 1701).
Wat betreft veiligheid van de verschillende protocollen: PPTP wordt afgeraden, IPsec wordt gezien als veilig en OpenVPN als nog net wat beter (bron).

[Babylonia]

....en opnieuw UDP port 500 en 4500 (en kennelijk ook nog port 1701).

Omdat het een combinatie betreft van zowel L2TP als IPSec.  Niet alleen het IPSec protocol.

1194 is standaard voor OpenVPN, maar daar zou je eventueel ook een andere poort voor kunnen gebruiken, en gebruik van bijv. TCP
in de plaats van UDP, mocht jezelf naar een land reizen met dictatoriale regiems met restricties op VPN verbindingen.
Heb je mogelijk betere kans dat je je eigen verbinding met thuis dan nog wel in stand zou kunnen houden.

[Plerry]

> ... mocht jezelf naar een land reizen met dictatoriale regiems met restricties op VPN verbindingen.
Als (pre-Corona) frequent reiziger naar China (PRC), is mijn ervaring dat alle encrypted verbindingen,
op welke poorten of gebruik makend van welke protocollen ook, bij wat uitgebreider data-verkeer
flink worden afgekenepen.
Even wat bankzaken regelen of een enkel, klein bestand oversturen gaat prima, maar een serie foto's
oversturen wordt binnen de kortste keren zo traag als dikke stroop.