VPN server router of NAS

[nico84]

Waar gaat jullie voorkeur naar uit?
VPN verbinding zal alleen gebruikt worden om de bestanden op mijn werk te kunnen benaderen.

VPN Server op mijn Draytek Vigor 2132, alleen dit is L2TP/IPSec.
VPN Server op mijn Synology, dan OpenVPN gebruiken.
openVPN is veiliger volgens alle berichten.

Als ik ik openVPN gebruik op mijn Synology, is het dan veiliger om 2 gebruikers aan te maken?
1 gebruiker om de VPN verbinding tot stand te brengen.
1 gebruiker om bij de bestanden te komen
Zo moet een eventuele hacker 2 x gebruikersnaam / wachtwoord combinatie correct hebben ipv 1x.

OF zie ik dit verkeerd?

Hoor graag jullie advies.

[Birdy]

Waar gaat jullie voorkeur naar uit?

Lees dit Topic eens: VPN op NAS of Router.

Als ik ik openVPN gebruik op mijn Synology, is het dan veiliger om 2 gebruikers aan te maken?

Prima, wel sterke wachtwoorden gebruiken.

[Pippin]

Als de bestanden uitsluitend op de werk-NAS staan en er geen verdere toegang tot het werk-LAN nodig is, dan OpenVPN op de NAS.
Dat is dan pure end-to-end encryptie.

Zo moet een eventuele hacker 2 x gebruikersnaam / wachtwoord combinatie correct hebben ipv 1x.
OF zie ik dit verkeerd?

Goed gezien, mits er slechts 1 of 2 gebruikers toegang moeten hebben.
1. Eén OpenVPN gebruiker met uitsluitend toegang tot OpenVPN
2. Eén of twee gebruikers zonder toegang tot OpenVPN maar wel tot andere service(s)

[Babylonia]

Waar gaat jullie voorkeur naar uit?
VPN verbinding zal alleen gebruikt worden om de bestanden op mijn werk te kunnen benaderen.

Het is voor mij nu niet duidelijk hoe de connectie "richting" ligt en wat die werksituatie inhoudt?
Ben je je eigen werkgever en log je bij jezelf in "van buiten" naar je NAS-server thuis als je onderweg bent?

Of ben je in dienst van een bedrijf (en nu "thuiswerker") en wil je een VPN-verbinding naar de werkbestanden bij je werkgever?
Dat zijn twee totaal verschillende situaties.

[nico84]

De werksituatie houd in.
Ik ben werkgever en heb 2 bedrijfslocaties.

Locatie A: staat een Draytek Vigor 2132 met een Synology NAS (DS118)
Locatie B: staat een Draytek Vigor 2133 met een Synology NAS (DS118)

Nu komt het regelmatig voor dat ik de administratie voor locatie A en B van uit huis doet.

[Babylonia]

En er hoeven geen andere werknemers die bestanden te bewerken op afstand?

Dan wat @Pippin al aangeeft, in dit geval dan voor beide locaties:
Als de bestanden uitsluitend op de werk-NAS staan en er geen verdere toegang tot het werk-LAN nodig is, dan OpenVPN op de NAS.
Dat is dan pure end-to-end encryptie.

[nico84]

Bedankt voor de reacties alvast.
Tot nu toe ben ik de enige gebruiker die op afstand de bestanden wil bewerken/bekijken op nas.

Uit nieuwsgierigheid, wat maakt het uit voor de situatie als het meer dan 2 gebruikers worden?

Ga er morgen mee aan de slag. Als ik nog vragen heb meld ik me eigen 

[Babylonia]

Wat het uitmaakt... (meer gebruikers) ?

Het maximaal aantal verbindingen onder VPN /  aantal VPN Clients (gebruikers)  wat zich überhaupt kan aanmelden.

Er kunnen mogelijk bijv. slechts 5 gebruikers tegelijkertijd als maximum zich laten aanmelden via VPN ?
Bij een bedrijf met meer dan 5 medewerkers met gebruikmaking van VPN, die bijv. thuiswerk doen,
heb je praktisch gezien dan een probleem !!

[Pippin]

Uit nieuwsgierigheid, wat maakt het uit voor de situatie als het meer dan 2 gebruikers worden?

Omdat de credentials voor OpenVPN voor alle gebruikers hetzelfde is.
Als je dus om welke reden dan ook voor één gebruiker de toegang tot OpenVPN wil intrekken, kan dat niet want dan verliezen alle gebruikers dat recht.

[Babylonia]

Nee, dat hoeft helemaal niet met wat je hier benoemd.
Je kunt individuele / "verschillende" gebruikers een VPN toegang geven.
Waarvan je de rechten ook weer individueel kunt intrekken.

[Pippin]

Lees het even door...

[Babylonia]

Dat zou je zelf eens kunnen doen.  Vraag en antwoord lijken me duidelijk?
Alleen kennelijk bij jou de mogelijkheden niet van OpenVPN - gebruikers en rechten om een VPN verbinding op te zetten?
Voor welke opties men kiest is dan een afweging die men daarin dan zelf maakt.

[Babylonia]

@Pippin   Citeren van wat ikzelf ook terug kan lezen heeft niet zoveel zin.
[EDIT:]    (Diens reactie nu kennelijk helemaal weg gehaald).

Je hoeft niet dezelfde credentials te gebruiken voor alleen een VPN-verbinding,
als het de bedoeling is voor elke gebruiker 2 aparte gebruiksnamen in te zetten, één voor de VPN-connectie,
de ander tot toegang van bestanden.  Ook voor alleen de eerste VPN  kun je verschillende credentials gebruiken.

Geef je gebruikers twee accounts. Een alleen voor de VPN-connectie, de ander voor toegang tot bestanden.
Maak je het op die wijze alleen wel erg omslachtig.  Lijkt me de keus voor een two factor authorisation meer efficiënt om ermee te werken.

[Pippin]

Mijn antwoord is specifiek gericht op nico84's specifieke vraag zoals geciteerd (inmiddels verwijderd).
Het is ook niet omslachtig als het alleen om zijn account gaat.

Ander voordeel is:
Geen evt. extra apparaat nodig voor 2 factor
Indien VPN account gecompromitteerd raakt kan men niet veel want geen toegang tot Apps


@Mod
Dat is wel heel rigoureus...

I'm out 

[Babylonia]

Het is ook niet omslachtig als het alleen om zijn account gaat.

Maar daar had hij nu juist wel een aanvullende vraag over indien wel meerdere gebruikers.  (Meerdere accounts).
En daar had je dan ook een antwoord op gegeven (niet verwijderd) dat hij dan spaak zou lopen lopen met die credentials.
Dat hoeft dus niet het geval te zijn zoals uitgelegd.