NAS hinter Fritzbox und OPNsense per Wireguard auf Photos-App zugreifen.

[KeinPlan]

Hallo, durch den netten User @the other hat es mich nun hier in euer Forum verschlagen^^
Habe ein Problem und hoffe das ihr Helfen könnt
Habe eine Fritzbox 6660 Cable und dahinter einen Mini PC mit OPN Sense (was das angeht ist das noch komplett Neuland für mich).
Hinter der Sense ist ein Managed Switch der derzeit aber Alles frei durch lässt, auch keine VLAS etc. bisher.
Aktuell Bin ich dabei das Ganze System erstmal zum Laufen zu bringen, bevor ich anfange die Regeln enger zu Knüpfen.

Mein Problem:
Per Wireguard auf der Sense, habe ich eine Verbindung mit der ich ins Heimnetz komme.
Sobald die Verbindung steht, kann ich auch wenn ich die entsprechenden IPs in den Browser eintippe auf die Oberfläche der Sense zugreifen oder auch auf die DSM Oberfläche der Synology NAS.
Was ich leider noch nicht hinbekomme ist der Zugriff auf die Synology Photos App als App selbst.Bisher lief das Alles über DynDNS aber jetzt mit der OPNsense ist da natürlich der Weg erstmal zu.
Klar könnte ich das Ganze jetzt mit einfachen Portfreigaben und Portweiterleitung wieder auf machen, aber das wäre ja nicht der Sinn einer Firewall sie ungeschützt zu umgehen.

Deshalb meine Frage, wie stelle ich es an, das sich die Photos App direkt im eigenen Netzwerk verbindet wenn ich auf den Button auf dem Smartphone drücke und nicht versucht den Weg über DynDNS zu gehen?

MfG
Kein Plan^^

 

[blurrrr]

Hi,

Per Wireguard auf der Sense, habe ich eine Verbindung mit der ich ins Heimnetz komme.

ist ja soweit schon mal gut

Sobald die Verbindung steht, kann ich auch wenn ich die entsprechenden IPs in den Browser eintippe auf die Oberfläche der Sense zugreifen oder auch auf die DSM Oberfläche der Synology NAS.

Sieht ja erstmal so aus, als wäre da alles funktionstüchtig.

Was ich leider noch nicht hinbekomme ist der Zugriff auf die Synology Photos App als App selbst.Bisher lief das Alles über DynDNS aber jetzt mit der OPNsense ist da natürlich der Weg erstmal zu.
Klar könnte ich das Ganze jetzt mit einfachen Portfreigaben und Portweiterleitung wieder auf machen, aber das wäre ja nicht der Sinn einer Firewall sie ungeschützt zu umgehen.

Portfreigaben/-weiterleitungen, wozu?

Deshalb meine Frage, wie stelle ich es an, das sich die Photos App direkt im eigenen Netzwerk verbindet wenn ich auf den Button auf dem Smartphone drücke und nicht versucht den Weg über DynDNS zu gehen?

So wie Du es zuvor via Web auch schon gemacht hast - Photo-App öffnen, dort die interne IP des Syno-NAS eintragen.

Einzige Ausnahme wäre natürlich, wenn auch anderweitige Personen darauf zugreifen können sollen, welche keinen VPN-Zugriff auf Dein Netzwerk haben. Geht es Dir ggf. um sowas?

 

[the other]

Moinsen und willkommen hier,
schön, dass du den Weg gefunden hast.
Wenn die VPN Verbindung insgesamt funktioniert, du auch bis ans NAS kommst...dann ist das "Problem" ggf. einfach die Konfig der Photos App.
Ich habe hier das ganze auch laufen...
Meld dich mal von der Photos App ab. Dann erscheint erst die Anmeldemaske und du kannst die Adresse des NAS so anpassen, wie du willst. Da du ja nun immer die gleiche Adresse nutzen kannst (weil ja VPN wie im LAN ist), kannst du hier also entweder die IP im internen LAN angeben ODER (falls vergeben) die KOmbi aus Hostname.Domainname.
Bei mir funktioniert es daher sowohl via IP (interne LAN IP) oder auch per ds01.abc.internal...

 

[the other]

Moinsen,
nochmal generell: wenn du per VPN von außen auf dein Heimnetz zugreifst, dann braucht es in der Fritzbox nur eine einzige Portweiterleitung: im Standard Port UDP 1194 für dein openVPN auf der sense...sonst keine. Sagt @blurrrr ja auch schon. Das ist ja das Tolle an VPN...die Firewall bleibt (wie du ja auch sagtest) weitestgehend ZU.
Du hast vermutlich vorher anders von außen zugegriffen (ggf. mit quickconnect von Synology oder eben per Portweiterleitung).
Noch zu checken wäre, ob dich die Synology NAS Firewall auch durchlässt...?

 

[KeinPlan]

Moinsen und willkommen hier,
schön, dass du den Weg gefunden hast.
Wenn die VPN Verbindung insgesamt funktioniert, du auch bis ans NAS kommst...dann ist das "Problem" ggf. einfach die Konfig der Photos App.
Ich habe hier das ganze auch laufen...
Meld dich mal von der Photos App ab. Dann erscheint erst die Anmeldemaske und du kannst die Adresse des NAS so anpassen, wie du willst. Da du ja nun immer die gleiche Adresse nutzen kannst (weil ja VPN wie im LAN ist), kannst du hier also entweder die IP im internen LAN angeben ODER (falls vergeben) die KOmbi aus Hostname.Domainname.
Bei mir funktioniert es daher sowohl via IP (interne LAN IP) oder auch per ds01.abc.internal...

Manchmal kann es so einfach sein
Ich danke dir vielmals, nun läuft es
Jetzt kann ich die restlichen Clients einbinden und dann anfangen die Regeln enger zu stricken

Auch da werde ich sicher noch einige Fragen haben xD

 

[KeinPlan]

Hi,

ist ja soweit schon mal gut


Sieht ja erstmal so aus, als wäre da alles funktionstüchtig.


Portfreigaben/-weiterleitungen, wozu?


So wie Du es zuvor via Web auch schon gemacht hast - Photo-App öffnen, dort die interne IP des Syno-NAS eintragen.

Einzige Ausnahme wäre natürlich, wenn auch anderweitige Personen darauf zugreifen können sollen, welche keinen VPN-Zugriff auf Dein Netzwerk haben. Geht es Dir ggf. um sowas?

Tatsächlich gibt es noch Personen, oder eine Person, die lediglich Zugriff auf die Photosapp bekommen soll, nicht aber auf das restliche Netzwerk.
Das wird dann eine der nächsten Herausforderungen.
Möchte aber die NAS nicht in eine DMZ setzen, die soll schon hinter der Firewall bleiben^^

 

[the other]

Moinsen,
sehr schön, dass es läuft.
Und ja, gerne bei Fragen melden.
Das Forum richtet sich speziell an Menschen, die das eben nicht jeden Tag beruflich machen. Auch ein Grund, warum hier eine gewisse Nettiquette gepflegt wird, der Ton soll auch passen.
Also: gibt hier viel unterschiedliche Erfahrungswerte, unterschiedlich erfahrene Menschen und diverse Themen, die mehr oder weniger mit dem Heimnetzwerk zu tun haben...meld dich also. Und bis dahin: viel Erfolg!

PS: Es gibt hier auch eine Ecke mit Anleitungen zu diversen Themen: https://www.heimnetz.de/anleitungen/
Lohnt der Blick auch immer mal rein...gerade für basics.

PPS: das mit der anderen Person könntest du ggf mit passenden Firewallregeln auf der *sense abfrühstücken... Plus passende Regeln auf dem NAS...das sollte es dann schon gewesen sein, aber mal schauen...ein Schritt nach dem anderen...

 

[KeinPlan]

Das freut mich sehr, und nochmal DANKE für die Einladung und die Hilfe bisher
Mache selbst auch PC Support auf nem Discord Server von nem deutschen PC Youtuber und bin da hauptsächlich für komplizierte RGB Anliegen zuständig^^
Daher kenne ich es nur zu gut wenn man Leute die quasi 0,0 Ahnung von der Materie haben, komplexe Dinge erklären muss.
Deshalb bin ich auch sehr dankbar für jeden der Nachsichtig mit mir ist, wie auch ich es bin mit vielen anderen auf unserem Discord^^
Man sagt mir einen sehr langen Geduldsfaden nach

 

[the other]

Moinsen,
na dann...
BTW: hier ist es gerne gesehen, Dinge zu beschreiben und zu erklären...wo du gerade youtube sagst: das wiederholte und ausschließliche Posten von video-erklärbär-links ist nicht gern gesehen...der Ansatz ist, nicht schnell Dinge nach-zu-klicken, sondern zu verstehen, was da warum wie geht /nicht geht, um es dann mit Verstand ändern zu können (und nicht einfach wie ein Papagei nachzubauen...bis es dann nicht mehr geht).
Daher: sehr schön, das mit

Man sagt mir einen sehr langen Geduldsfaden nach

Dann mal loslegen...

 

[KeinPlan]

Jetzt lege ich erstmal mit der Nachtschicht los xD
Und ab Morgen überlege ich mir dann wie ich nem einzelnen Client sagen kann das er per VPN nur bis zur Photos APP und sonst nirgendwohin kommt, bzw. bis zur NAS, das da weiter kein Zugriff per DSM möglich ist oder nur sehr eingeschränkt, das kann ich ja auf per DSM selbst regeln
Die Frage ist, ein extra VPN Tunnel oder den einzelnen Client umdefinieren?^^

Bis dahin erstmal eine erholsame Nacht an Alle, ich geh dann mal Arbeiten xD

 

[the other]

Moinsen,
dann ne ruhige Schicht...(ich hab Nachtdienst immer gehasst).
Da ich die opnsense nicht so wirklich kenn...das wird sich schon finden. Hier gibt es einige Menschen, die da echt firm drin sind.

 

[blurrrr]

Möchte aber die NAS nicht in eine DMZ setzen, die soll schon hinter der Firewall bleiben^^

Eine DMZ sitzt ebenso hinter einer Firewall:

1-stufig: <Internet>---<Firewall>---<LAN>
                           |
                         <DMZ>
                      
2-stufig: <Internet>---<Firewall 1>---<DMZ>---<Firewall 2>---<LAN>

Wenn Du "hinter der Firewall" durch "im LAN" ersetzt, dann passt es schon eher

Und ab Morgen überlege ich mir dann wie ich nem einzelnen Client sagen kann das er per VPN nur bis zur Photos APP und sonst nirgendwohin

Da könntest Du ggf. über die Anwendungen gehen (Syno-Systemsteuerung), dem Photo-Ding einen eigenen Port verpassen und dem VPN-Netz dann den Zugriff auf die Syno nur über diesen einen besagten Port erlauben - nur mal so als Beispiel. Wie man dann wo was und wie regelt, dann ist dann eher Geschmackssache.

 

[the other]

Moinsen,
hab da mal was vorbereitet...
Du kannst auch durch passende Angaben in der openVPN config alles so regeln, dass die VPN clients eine "feste" IP erhalten, damit ist es dann via NAS Firewall möglich, dass zb IP X diverse Dienste nutzt (du), dagegen aber IP Y ausschließlich einige wenige (oder eben nur für die Photos" App) Dienste.
Ebenso kannst du dann natürlich auch innerhalb der *sense mit diesen IPs Regeln für dein openVPN Interface anlegen...
Aber: erstmal ausschlafen!

 

[KeinPlan]

Moinsen,
hab da mal was vorbereitet...
Du kannst auch durch passende Angaben in der openVPN config alles so regeln, dass die VPN clients eine "feste" IP erhalten, damit ist es dann via NAS Firewall möglich, dass zb IP X diverse Dienste nutzt (du), dagegen aber IP Y ausschließlich einige wenige (oder eben nur für die Photos" App) Dienste.
Ebenso kannst du dann natürlich auch innerhalb der *sense mit diesen IPs Regeln für dein openVPN Interface anlegen...
Aber: erstmal ausschlafen!

Hab ich vor 5 Minuten genau so gelöst bekommen^^
Habe den Clients feste IPs gegeben und dann in den Firewallregeln der Sense unter der WireguardGroup für jedes Gerät ne Regel angelegt wohin es darf und wohin nicht
So langsam baue ich etwas Verständnis auf^^
Aber bisher sage ich nur einem Gerät du darfst überall hin und dem anderen du darfst nur zur festen IP der NAS, also nix Wildes, aber es funktioniert

Danke nochmal das du dir weiterhin Gedanken gemacht hast

Edit: nächster Step und der wird deutlich komplexer, ist Alles etwas enger zu Schnüren ohne dabei an Funktionalität einzubüßen^^
Derzeit ist nämlich aus dem LAN Netzwerk nach außen noch Alles auf Any Any Any^^

 

[KeinPlan]

Eine DMZ sitzt ebenso hinter einer Firewall:

1-stufig: <Internet>---<Firewall>---<LAN>
                           |
                         <DMZ>
                     
2-stufig: <Internet>---<Firewall 1>---<DMZ>---<Firewall 2>---<LAN>

Wenn Du "hinter der Firewall" durch "im LAN" ersetzt, dann passt es schon eher


Da könntest Du ggf. über die Anwendungen gehen (Syno-Systemsteuerung), dem Photo-Ding einen eigenen Port verpassen und dem VPN-Netz dann den Zugriff auf die Syno nur über diesen einen besagten Port erlauben - nur mal so als Beispiel. Wie man dann wo was und wie regelt, dann ist dann eher Geschmackssache.

Siehst du da habe ich wohl das Thema DMZ falsch verstanden, muss ich mich nochmal rein lesen^^
Danke dir

 

[blurrrr]

Alles gut, eine DMZ ist typischerweise von 2 Seiten (Internet + LAN) erreichbar, kann aber nicht eigenständig ins LAN. Die Firewall davor sichert dann die nicht-öffentlichen Dinge der DMZ-Hosts nochmal ab

 

[the other]

Moinsen,

Hab ich vor 5 Minuten genau so gelöst bekommen^^
Habe den Clients feste IPs gegeben

jau, mit client overrides gestern nach deinem Post das erste Mal gespielt...darüber geht es ja ganz flott...ist das hier auch mal gemacht, Dank dir für den Motivationsschub.

ps: dabei dann auch endlich mal ein eigenes VPN Interface angelegt, weg von der Interface Group für den allgemeinen openVPN Teil. Lag auch schon länger rum...

 

[KeinPlan]

Moinsen,

jau, mit client overrides gestern nach deinem Post das erste Mal gespielt...darüber geht es ja ganz flott...ist das hier auch mal gemacht, Dank dir für den Motivationsschub.

ps: dabei dann auch endlich mal ein eigenes VPN Interface angelegt, weg von der Interface Group für den allgemeinen openVPN Teil. Lag auch schon länger rum...

Freut mich das durch meine Fragerunde auch für dich etwas Positives bei raus kam xD

Ja ich definiere erstmal für jeden Client unter der Group, solange das funktioniert, reicht mir das xD

 

[the other]

Moinsen,
lief hier ja auch jahrelang unter dem reinen openVPN Group Tab ohne Probleme. Es ist auch nur ein openVPN Server vorhanden, daher eh egal..."sauberer" ist ein eigenen Interface dem Server zu zuweisen. Aber ich bin hier keine Firma, reiner Hobbykelleradmin...dafür ist es eh alles Ovekill.
Wichtig wird es imho erst dann wirklich, wenn diverse Wireguard / openVPN / andere VPN Instanzen vorhanden.

Und klar, durch Fragen anderer komme ich selber immer wieder auf neue Ideen bzw. werde motiviert, da noch mal nachzusehen und umzustellen. Nicht immer, aber doch öfters mal...von daher: immer raus mit neuen Fragen!

 

[KeinPlan]

Und klar, durch Fragen anderer komme ich selber immer wieder auf neue Ideen bzw. werde motiviert, da noch mal nachzusehen und umzustellen. Nicht immer, aber doch öfters mal...von daher: immer raus mit neuen Fragen!

Hier vielleicht noch eine Anregung^^
Habe jetzt ein paar Regeln definiert, mein Problem war, das ich wollte das die anderen User zwar auf die NAS zugreifen können und mit aktiviertem Wireguard auch vom Handy aus "hinter der Firewall" surfen können, aber nicht ins restliche LAN Netzwerk können.
Nach vielen Versuchen das richtig zu definieren, ging es am Ende doch recht einfach.
In der Wireguard Group habe ich für jeden User nun 2 Regeln, Regel A besagt du darfst überall hin, nur nicht ins Lan- Netzwerk.
Regel B sagt, aber du darfst zur NAS über IP xy.z.....
Dachte zuerst weil die NAS ja in dem LAN Netzwerk ist, gibt das Konflikte und ich kann es vergessen, aber nein, es funktioniert^^


Ich kann jetzt von meinem Handy überall ins Lan und ins Internet und zur NAS etc über den Wireguard Tunnel und Frau und Tochter können über ihren Wireguardtunnel ins Internet und auf die NAS aber nirgendwohin sonst ins Lan Netzwerk.
Sobald man Wireguard nutzt hat man immer die IP der heimischen Fritzbox, was mich vermuten ließ das ich nun tatsächlich hinter der Firewall surfe und auch den entsprechenden "Schutz" genieße, aber Pustekuchen^^

Meine neue Herausforderung:
Sobald ich den Wireguardtunnel nutze um über das Mobilgerät ins Internet zu gehen, geht es zwar durch meine Fritzbox (weil gleiche IP) aber die Firewall und der Adguard greifen null.
Wie definiere ich das so um das das Surfen vom Handy mit mobilen Daten auch erstmal den Traffic durch die Firewall zieht, so das ich auch unterwegs einen gewissen Schutz genieße

Edit mein Aufbau:

Internet > Fritzbox 6660 Cable > Firewall auf Mini PC > Mikrotik managed Switch > Fritzbox 7590 AX (der WLAN AP) > Fritz Repeater 6000 (Meshed mit der 7590AX)

Die 6660 Cable macht nur noch ein Gast WLAN und so Sachen wie Saugrobotor etc. , alles Andere läuft über die 7590 AX und das "interne" WLAN.