NAS / Portforwarding bei DSLite

H

hardmod

Guest
Hi zusammen,

ich verwende eine Synology NAS und bin wegen meiner DSLite Leitung bei Unitymedia auf den Synology Relay Service angewiesen.

Nun habe ich bemerkt, dass entgegen einigen Behauptungen in diversen Synology Blogbeiträgen definitiv keine End2End Encryption über den Relay Server stattfindet.
Damit ist dieser Dienst für mich sicherheitstechnisch schlichtweg nicht tragbar.

Ich bin nun am Überlegen, wie ich ohne diesen Relayserver von außen an meine NAS kommen könnte.

Ich habe hier noch einen Raspi rumliegen, außerdem habe ich auch einen vServer.

Nun war meine Überlegung so weit: Ich könnte vom Raspi aus ja problemlos eine openVPN Verbindung zum vServer herstellen. Damit hätte ich schonmal die Brücke vom LAN ins Internet.

Nur bin ich mir hier jetzt unschlüssig: Könnte ich diese "Brücke" dann auch wirklich effektiv nutzen? Ich denke hier im groben an NAT.

Hat hier jemand schon Erfahrungen mit sowas in der Richtung? Ich weiß irgendwie nicht so recht, wo ich anfangen soll :(

Danke & viele Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Vergiss das Thema lieber gleich... Ohne den Relay Service kommst du nicht weit. OpenVPN / SSL-VPN funktioniert bei CGN nicht vernünftig.
Im Regelfall bricht dir die Verbindung nach ca. 6 Minuten weg und du musst das Kabelmodem neu starten.

Rücksprache dazu mit dem Unitymedia Kundendienst: "Ist halt so, wenn Sie VPN nutzen möchte buchen Sie bitte einen Business Tarif"

Ziemlich bekloppt aber leider aktuell Tatsache da UM wohl etwas zu viele Kunden hat und die /8 IP Blöcke wohl schon alle weg waren...
 
Hi,
danke für die Rückmeldung.

Ich bin mir nicht ganz sicher was du meinst. Meinst du, dass ssl vpn unter dslite grundsätzlich Schwierigkeiten macht?
Das kann ich soweit, zumindest bei mir, erstmal nicht bestätigen. Ich bin SysAdmin und arbeite regelmäßig von zu Hause. Habe weder per sslvpn, noch per ipsec irgendwelche Probleme.

Viele Grüße
 
Ich bin ebenfalls SysAdmin ;)

Ausgehend alles prima, nur eingehend floppts hier mit VPN und DSLite. Warum genau konnte mir die 2nd Level Technik bei UM aber auch nicht erklären...
 
l0n schrieb:
Vergiss das Thema lieber gleich... Ohne den Relay Service kommst du nicht weit. OpenVPN / SSL-VPN funktioniert bei CGN nicht vernünftig.
Zum Vergrößern anklicken....
Funktioniert problemlos via v6.
Aber ganz ehrlich ich verstehe nicht wofür man solche Krüppellösungen überhaupt braucht, AAAA Record auf die IPv6 vom NAS, die Firewall TCP port 80 und 443 für die IP öffnen und schon läuft das ganze auch ohne irgendwelche Tunnel.
 
Zuletzt bearbeitet:
Soweit ich informiert bin, kann ich DSlite v6 Adressen von v4 Anschlüssen aus nicht erreichen. Wollte ich mal mit meiner Fritzbox machen und konnte diese dann vom Mobilnetz und von der Arbeit aus (beides v4) nicht erreichen, von v6 Anschlüssen aus ging es. Hier wüsste ich auch nicht, wie ein DNS Record helfen sollte? Dazu kommt auch, dass im DSlite die v6 Adressen AFAIK dynamisch sind, wird also so oder so schwierig.
Liege ich damit falsch? Ich hoffe ^^
 
T-Mobile oder Reseller Kunde sein deckt Mobilfunk ab (Vodafone und O2 leben noch hinterm Mond wie es scheint). Wenn der Arbeitgeber kein IPv6 hat, Pech, sollte aber eigentlich bei den Größeren nicht mehr der Fall sein. Ich fahre seit 2015 v6 only und hab keine Probleme meinen Server zu erreichen.
Bei Unitymedia behalte ich mein v6 Prefix durchschnittlich für ein halbes Jahr, wenn dir das zu dynamisch ist kannst du ja einen Dyndns Dienst nutzen. Und den AAAA Record eigentlich nur wegen Kompatibilitätsgründen, die Proxys bei vielen Firmen lassen den Zugriff auf eine IP direkt nicht zu, auf eine Domain wiederum schon.
 
Nur leider bin ich bei Vodafone und will daran auch nix ändern - da ich dafür nichts bezahle, weil Firmengerät ;)
Bisher hatte keine Firma in der ich gearbeitet habe ipv6... Und auch keiner meiner bekannten, bei denen ich im Wifi bin (eben mit Ausnahme weniger mit Unitymedia Anschluss). Vielleicht Ticken die Uhren im Süden ja auch langsamer.

Ob "Pech" oder nicht spielt hier eigentlich auch gar keine Rolle. Das bringt mich zurück zur Anfangsfrage die ich eigentlich hatte, anstatt über meinen Arbeitgeber oder Handyvertrag zu diskutieren: Hat jemand best practises für meine Gegebenheiten?
 
Zuletzt bearbeitet:
Aber wo ist denn nun "das" Problem?
Ende zu Ende Verschlüsslung heist vom Client den kompletten Weg zum Server und zurück. Doch aber nicht vom Relay zum Server.

Was die da bei Synology machen kann dir fast egal sein, denn DU bist für die Dienste auf der Serverseite zuständig und hast es damit in der Hand Dritten durch Verschlüsselung Zugriff auf Realdaten zu verwähren. Zumal das Internet perse nicht "sicher" ist. An jeder Ecke kann wer potentiell mitsniffern und du bekommst das effektiv nur gesteuert, ausschließlich verschlüsselt zu übertragen... Die Verschlüsslung gehört dabei auf den Server und die Keys vor Zugriffen Dritter geschützt. Wenn dir Übertragung über unbekannte Strecken zu unsicher sind, ist das Internet auch der falsche Ort für dein Vorhaben :wink:
 
Das Problem ist, dass Synology auf dem Relay die Verschlüsselung terminieren lässt und das Zertifikat durch ihr eigenes ersetzt. Damit wären sie potentiell in der Lage alle meine Daten zu lesen, die ich übertrage und in diesem Konstrukt gibt es nichts, was man dagegen tun kann. Hat mir der support inzwischen sogar per E-Mail bestätigt, dass genau das passiert. Entgegen ihrer Aussage in diversen Blogs, sie würden die Pakete so wie sie sind einfach nur durchreichen. DANN wäre ich allein dafür verantwortlich was passiert.

"Wenn dir Übertragung über unbekannte Strecken zu unsicher sind, ist das Internet auch der falsche Ort für dein Vorhaben"
Naja, oder ich versuche stattdessen einfach eine bekannte Strecke durchs Internet zu nehmen und die Verbindung tatsächlich end2end zu verschlüsseln, so wie es sich schlichtweg gehört.

"An jeder Ecke kann wer potentiell mitsniffern und du bekommst das effektiv nur gesteuert, ausschließlich verschlüsselt zu übertragen"
Ja, und genau das möchte ich mit meinen Daten nun mal tun. Eben weil ich auch mit meinen Steuerunterlagen usw. arbeite.


Ich habe mich hier im Forum angemeldet, weil ich es einfach mal angenehmer fand auf Deutsch zu schreiben.
Nur geht es hier leider null um eine technische Lösung, für das das Forum meinem Eindruck nach eigentlich da war.
Stattdessen werde ich mit Aussagen konfrontiert, mein Ansatz sei eine "Krüppellösung", ich muss mich für meinen Arbeitsplatz und meinen Handyvertrag rechtfertigen - und am Ende wird sogar in Frage gestellt, wie ich denn überhaupt auf die Idee komme, meine privaten Daten verschlüsseln zu wollen.
Das Forum war einen Versuch Wert, für mich gehts nun aber zurück zu stackexchange und reddit. Dort versucht man nämlich technische Antworten zu geben, anstatt sinnlose Diskussionen loszutreten, wenn man technisch keinen Beitrag leisten kann. Echt trauriger Umgang hier.
 
Zuletzt bearbeitet:
hardmod schrieb:
Ich habe mich hier im Forum angemeldet, weil ich es einfach mal angenehmer fand auf Deutsch zu schreiben.
Nur geht es hier leider null um eine technische Lösung, für das das Forum meinem Eindruck nach eigentlich da war.
Stattdessen werde ich mit Aussagen konfrontiert, mein Ansatz sei eine "Krüppellösung", ich muss mich für meinen Arbeitsplatz und meinen Handyvertrag rechtfertigen - und am Ende wird sogar in Frage gestellt, wie ich denn überhaupt auf die Idee komme, meine privaten Daten verschlüsseln zu wollen.
Das Forum war einen Versuch Wert, für mich gehts nun aber zurück zu stackexchange und reddit. Dort versucht man nämlich technische Antworten zu geben, anstatt sinnlose Diskussionen loszutreten, wenn man technisch keinen Beitrag leisten kann. Echt trauriger Umgang hier.
Zum Vergrößern anklicken....
Das liegt nicht am Forum. Der Deutsche ist so. Regt mich einerseits genauso auf wie Dich, andererseits kann ich nicht abstreiten, manchmal genauso zu handeln. Entweder mit leben oder gehen...
 
Naja er schreibt hier groß und breit er ist Sysadmin - in ner gewissen Weise erwarte Ich dann auch, dass man sich mit dem Thema auch selbst auseinander setzen kann oder genug KnowHow mitbringt es selbst zu lösen...
 
Hexcode schrieb:
Naja er schreibt hier groß und breit er ist Sysadmin - in ner gewissen Weise erwarte Ich dann auch, dass man sich mit dem Thema auch selbst auseinander setzen kann oder genug KnowHow mitbringt es selbst zu lösen...
Zum Vergrößern anklicken....

Dieser Analogie folgend würde auf der Welt kein Techforum, Computerclub oder Kongress/Convention existieren. Du wälzt also ausschließlich Manuals und technische Beschreibungen um dich fortzubilden? Und Rückfragen hast du nie?
Im Übrigen wollte ich damit verdeutlichen, dass ich zu Hause eine VPN Verbindung umfassender und regelmäßiger verwende, als er der Durchschnitt vermutlich tut. Um damit zu sagen "Ich habe Probleme damit zu glauben, dass eine solche Verbindung im Grundsatz nicht möglich sein soll", wie es ein Post vorher behauptet wurde. Kontext kennst du?

Finds schon witzig, dass die Moderatoren hier mit Abstand die höchsten Töne anschlagen.

Eurem Board hier fehlt übrigens die Konto löschen Funktion. Ihr könnt meinen Account liebend gerne dicht machen.
 
Naja es ging mir bei meiner Aussage primär darum, dass du viele Dinge die du bisher erfragt oder nur angenommen hast, auch hättest in 30 Sekunden ergoogeln können.

Zum Thema: Wie wäre es mit einem vServer im Web der Relay spielt?
Du verbindest dich von intern auf diesen vServer (z.B. mit nem Raspberry vor Ort und OpenVPN als Software, du sagtest ja von intern wäre kein Problem) und von extern nutzt du dann die IP des Servers und routest die Anfragen die du daran richtest selbst durch zu dir. Fertig ist deine eigenen Relay-Node. Den Pi müsste man dann so einstellen, dass er sobald der Tunnel (warum auch immer) zusammen bricht sofort wieder neu aufgebaut wird.
Im Idealfall hat dann dein vServer sowohl IPv6 und IPv4 und ne Domain - dann kannst du von außen direkt auf die Domain zugreifen.

Lässt sich für 99 cent im Monat und bisschen Konfiguration so umsetzen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh