Neue Hardware für eine schlaue Lösung

MarkusAT

Member
Hi zusammen,

das Thema passt nirgends zu 100% da es um das beste Zusammenspiel von mehreren Komponenten geht, aber ich packs mal hier rein.

Aktuell habe ich folgendes in meinem Heimnetz:
  • Vodafone Station (4 LAN Anschlüsse mit je 1 GBit)
    • Mit Kabel verbunden:
      • NAS (könnte 2.5 GBit)
      • Stand PC (könnte 2.5 GBit)
      • 1 TV Gerät (glaube könnte auch 1GBit)
      • Homeatic IP Access Point (kann 100 MBit)
    • per WLAN verbunden (mit MAC-Adressen Filter):
      • Smart Home Geräte
      • Handy's
      • Laptops's
      • Drucker
Eigentlich soweit alles okay. Nun, das NAS muss immer mit einem anderen NAS synchronisiert werden ==> ich brauche eine VPN Verbindung.
Bis jetzt hoste ich am NAS einen VPN-Server und gebe diesen einen Port in der Vodafone Station frei und leite die Verbindung direkt an die (statische) IP-Adresse des NAS weiter.
So weit so gut, funktioniert auch alles.
Aber wie ich schon bei euch lernen durfte, ist es nicht so cool, den VPN-Server am NAS selbst zu hosten.

Daher soll neue oder zusätzliche HW angeschafft werden.
Hier mal die Frage an euch, was würdet ihr empfehlen oder habt ihr sogar konkrete Tipps?

Option 1: zwischen NAS und Router einen Raspberry schalten, der den VPN Host macht. (wie funktioniert das eigl? Stecke ich den Raspb. per LAN an den Router und dann das NAS per LAN an den Raspb? Dann muss ich am Router ja auch einen Port öffnen. Oder schalte ich den Rasp. noch vor den Router

Option 2: Ein neuer Router wird angeschafft, der auch direkt den VPN Host übernehmen kann. Der sollte dann im besten Fall 1 bis 2 LAN Anschlüsse mehr haben, dann auch gleich bitte aber mit 2.5 GBit :D. Ein extra Netzwerk für Gäste wäre auch praktisch, aber das kann doch eh schon so gut wie jeder Route (glaube ich halt).

Als VPN Protokoll kommen stand jetzt OpenVPN oder Wireguard in Frage (aktuell lauft OVPN).

Danke euch schonmal und Liebe Grüße,
Markus
 

the other

Well-known member
Moinsen,
gerade auf dem Sprung, daher heute nur kurz und hoffentlich zweckdienlich:
- als günstige Option wäre ein Raspi mit PiVPN ok. Sicher musst du auch da einen Port im Router an den VPN Server weiterleiten (so wie jetzt auch). Allerdigns befindet sich dann das Raspi bzw. der darauf befindliche VPN Server mit einem Bein im Internet und nicht dein NAS mit allen Daten. Sollte diese Option dein Ding sein, dann nimm den Raspi4, denn der hat GB LAN (zumindest einmal).

- als teurere Variante nimmst du einen neuen Router: hier entweder ein gutes Gerät wie zB die DInger von Draytek (sollen gut sein, mit VPN, mit VLAN). Ob du wirklich 2,5 GB LAN brauchst...naja, da gehen die Meinungen auseinander (haben denn die überwiegenden Geräte im Heimnetz auch 2,5 GB Anschlüsse?)

- als alternative Lösung zum Router (s.o.) nimmst du ein zB APU Board für ca. 170 Euro, packst da dann pfsense oder opensense drauf und hast eigentlich alles, was so nötig wird (VPN, VLANs, DNS Resolver, DHCP, Firewall...usw) auf einem Gerät. Dazu benötigst du dann entweder weiter die Vodafon Station als Router/Modem Kombi oder du besorgst dir extra ein Modem VOR die *sense.

Ich persönlich rate zu der alternativen Lösung. Ist aber am Ende natürlich eine subjektive Entscheidung...
Bei weiteren Fragen, wie immer: Hier.
;)
 

tiermutter

Well-known member
Aber wie ich schon bei euch lernen durfte, ist es nicht so cool, den VPN-Server am NAS selbst zu hosten.
Das kommt immer darauf an wie der VPN Dienst implementiert ist... bei QNAP ist es mit OpenVPN zB ein Desaster. Ansonsten spricht eigentlich nichts dagegen finde ich.
Persönlich möchte ich das aber dediziert, am besten auf einer Firewall haben.
Stecke ich den Raspb. per LAN an den Router und dann das NAS per LAN an den Raspb?
Nein, beides an den Switch/ Router.
Dann muss ich am Router ja auch einen Port öffnen
Genau. Auch wenn der Server auf der Firewall läuft muss ein Port geöffnet werden, in dem Fall halt für die Firewall selbst.
Wichtig ist, dass die VPN-Software aktuell gehalten wird.
Ein neuer Router wird angeschafft, der auch direkt den VPN Host übernehmen kann. Der sollte dann im besten Fall 1 bis 2 LAN Anschlüsse mehr haben, dann auch gleich bitte aber mit 2.5 GBit
Das wäre mein Favorit, allerdings sehe ich da eher eine Appliance mit max. Gbit und einen Switch der dann 2,5 macht...
 

MarkusAT

Member
Danke, ihr seid ja schneller mit dem Schreiben als ich am Überlegen :D

Ob du wirklich 2,5 GB LAN brauchst...naja, da gehen die Meinungen auseinander (haben denn die überwiegenden Geräte im Heimnetz auch 2,5 GB Anschlüsse?)
Überwiegend nein, aber NAS und PC ja :)

- als alternative Lösung zum Router (s.o.) nimmst du ein zB APU Board für ca. 170 Euro, packst da dann pfsense oder opensense drauf und hast eigentlich alles, was so nötig wird (VPN, VLANs, DNS Resolver, DHCP, Firewall...usw) auf einem Gerät. Dazu benötigst du dann entweder weiter die Vodafon Station als Router/Modem Kombi oder du besorgst dir extra ein Modem VOR die *sense.
Danke für den Tipp, da muss ich mich direkt mal schlau machen, was das überhaupt ist (APU Board, VLAN, etc.)

Das kommt immer darauf an wie der VPN Dienst implementiert ist... bei QNAP ist es mit OpenVPN zB ein Desaster. Ansonsten spricht eigentlich nichts dagegen finde ich.
Persönlich möchte ich das aber dediziert, am besten auf einer Firewall haben.
Sicherheitstechnisch? Weil die Funktion ist für mich Ausreichend :D

Das wäre mein Favorit, allerdings sehe ich da eher eine Appliance mit max. Gbit und einen Switch der dann 2,5 macht...
Gut, das wäre ja kein Problem, die 2.5 GBit sind dann vor allem eh nur für die Verbindung NAS/PC, alles andere kann (aktuell) eh keine 2.5 GBit bei mir.

Generell ist zu sagen, dass ich mit der Vodafone Station eh nicht sooooooo Happy bin. Vor allem was die Reichweite/Geschwindigkeit 2 Räume weiter betrifft.
Vielleicht auch nicht ganz unwichtig: Internet läuft über Kabel.
Wenn ich mir die diversen Draytek Geräte ansehen, haben die meisten keinen Kabel Anschluss. Heißt dass dann aber auch, ich brauch die Vodafone Station trotzdem (im Bridgemode).
 

blurrrr

Well-known member
Eine richtige Firewall bringt aber auch einiges an Wartungsaufwand und Einarbeitungszeit mit sich, da muss man schon einiges an Zeit investieren. Fehlkonfigurationen machen die Geschichte dann auch nicht grade besser. Die 2,5Gbit wird es eh nur intern geben, entweder direkt verbinden, oder über einen 2,5Gbit-fähigen Switch - alles was das Netz verlässt, ist sowieso auf die verfügbare Internetbandbreite beschränkt.
 

-jody-

Active member
Hallo Markus,

anhand Deiner Beschreibung unterstelle ich mal einen eher "rudimentäre" Kenntnisse in Sachen Netzwerk/VPN/etc. (bitte nicht böse sein, falls ich mich irren sollte!)
Meine Empfehlung für Dich daher auf einen VPN-fähige Router zurückzugreifen!
Das Thema Netzwerksicherheit ist nicht trivial und gewinnt zusehends an Bedeutung (auch für Privatanwender!)
Der zu betreibende Aufwand zur Pflege, Überwachung und für regelmäßige Updates ist nicht zu unterschätzen. Zudem kann das Ausprobieren von Verbindungseinstellungen, Portweiterleitungen etc. schnell zum eigentlichen Sicherheitsproblem werden, wenn man nicht 100%ig weiß, was man dort tut.
Mittlerweile gibt es auch Router die OpenVPN und/oder Wireguard unterstützen und für Deine Zwecke wahrscheinlich die bessere Wahl sind, als Bastellösungen* mit Raspberry und Co.

Grüße
Jody

*Bastellösungen: Sofern man genau weiß was man tut, sind Opensense und Co sicherlich die optimalsten Lösungen, da man sie sich für den tatsächlichen Sicherheitsbedarf optimal abstimmen kann! Für den "Unwissenden" oder nur (halbwegs) ambitionierten Heimanwender aber, können sie die schlimmsten erdenklichen Folgen haben!
 

MarkusAT

Member
anhand Deiner Beschreibung unterstelle ich mal einen eher "rudimentäre" Kenntnisse in Sachen Netzwerk/VPN/etc. (bitte nicht böse sein, falls ich mich irren sollte!)
Meine Empfehlung für Dich daher auf einen VPN-fähige Router zurückzugreifen!
Hi Jody,

Du irrst überhaupt nicht.
Ich kann zwar gut PC's bauen, aber mit Netzwerken selbst habe ich tatsächlich (zu) wenig Erfahrungen.
Ich bin ja überhaupt nur auf die Idee gekommen was zu ändern, weil mir wegen dem NAS dazu geraten wurde :D

Liebe Grüße,
Markus
 

-jody-

Active member
Hallo Markus,

sofern Du die Möglichkeit hast, besorge für beide "Tunnelendpunkte" den gleichen Router ;)
Zum einen reduzierst Du damit Deinen persönlich (Lern-)Aufwand (einheitliche GUI, Softwareaktualisierungen etc.) und zum anderen kannst Du Dich besser auf das "Kernproblem", die VPN-Verbindung zwischen den zu replizierenden NASen kümmern ;)
Je nach ausgewählten Router, kannst Du dann auch besser von dem Herstellersupport profitieren.

Grüße
Jody
 

the other

Well-known member
Moinsen nochmals,
also, in Anbetracht deiner Selbsteinschätzung rate ich ebenfalls dann doch eher zu einer vorgefertigten Routerlösung.
PF/opensense sind zwar kein Hexenwerk (ich selber hab mich da ja auch reingefuchst), aber Tatsache ist: es dauert dann eben seine Zeit und hat eine doch eher steile Lernkurve.
Wenn also BALD was FUNKTIONIERENDES am Start sein soll, dann haben die werten Mitforisten Recht:
hol dir einen guten Router. Die Firma, die ich bereits nannte, ist da eigentlich (so wird getratscht) ganz gut, soll auch (heutzutage eher die Ausnahme) einen guten Support haben.
:)
 

tiermutter

Well-known member
Wenn die Fritten jetzt Wireguard können und das auch ordentlich funktioniert (evtl. sogar IPv6 Support hat, wovon auszugehen ist), dann ist das schon ne prima Sache denke ich...
 

MarkusAT

Member
sofern Du die Möglichkeit hast, besorge für beide "Tunnelendpunkte" den gleichen Router
Da fängts schon an, ich darf nur auf VPN Server Seite ändern, auf Clientseite "muss alles bleiben wie es ist". Das ist bei meinen Eltern und dort stellt alles immer der Provider ein. Da ich einige 100km entfernt wohne, will ich mir die Maintenance von dem System nicht an den Schuh binden. Die Konfiguration dort ist auch seltsam:

Internet kommt über LTE (Kabelanschluss gibt's in der Gegend nicht und die maximale DSL Leitung hat dort weniger als 10 MBit). Telefon läuft über den Internetanbieter, aber die Nummer wird (ist anscheinend so in AT) trotzdem von der Post vergeben. Heißt es gibt neben der LTE Box noch eine zweite Box, die ein Kabel zum Telefon, ein Kabel zum Telefonanschluss der Post und ein Kabel zum LTE Router hat, damit das Telefon läuft wie es soll.
Da das NAS dort aber eh immer nur Client sein soll, und auch kein Zugriff von außen auf dieses NAS nötig ist, sollte das eher kein Problem sein. Es beschränkt halt den VPN Server auf Clients die von QNAP unterstützt werden.
NAS Wartung dort erledige ich über Teamviewer mit einem dort lokalen Laptop (der einfach eingeschalten wird, wenn ich was machen muss).

anderen kannst Du Dich besser auf das "Kernproblem", die VPN-Verbindung zwischen den zu replizierenden NASen kümmern ;)
Die dürfte (hoffe ich doch) kein Problem sein, da die ja sogar so schon funktioniert :)

Moinsen nochmals,
also, in Anbetracht deiner Selbsteinschätzung rate ich ebenfalls dann doch eher zu einer vorgefertigten Routerlösung.
Okay, ich glaube die Lösung dürfte (fast) eindeutig sein in dem Fall :D
Wobei ich der Raspb. Lösung auch noch nicht ganz abgeneigt bin.

die ich bereits nannte, ist da eigentlich (so wird getratscht) ganz gut, soll auch (heutzutage eher die Ausnahme) einen guten Support haben.
Die Lösung wäre vermutlich trotzdem die beste, jedoch wäre ein Router gut, der auch gleichzeitg Kabelmodem ist (dan spare ich mir ein Gerät). Da fällt Draytek anscheinend raus (die raten auf ihrer Seite, wenn man Kabel hat, selber dazu, den originalen Router von Anbieter zu behalten und im Bridgmodus zu betreiben).

Wenn die Fritten jetzt Wireguard können und das auch ordentlich funktioniert (evtl. sogar IPv6 Support hat, wovon auszugehen ist), dann ist das schon ne prima Sache denke ich...
IPv6 bräuchte ich (so glaube ich zumindest mit meinem Leienwissen) gar nicht, da ich bei VF auf eine öffetnliche IPv4 umstellen hab lassen :D
Aber die wären vermutlich sehr einfach zu handhaben.
 

-jody-

Active member
...die maximale DSL Leitung hat dort weniger als 10 MBit
Bist Du sicher, dass Du unter den Voraussetzungen ein komplettes NAS replizieren willst?
NAS Wartung dort erledige ich über Teamviewer mit einem dort lokalen Laptop (der einfach eingeschalten wird, wenn ich was machen muss).
Wenn Du ohnehin einen VPN hast, wofür dann noch den Teamviewer? Du kommst über VPN direkt auf die Oberfläche vom NAS und ggf. auch via SSH auf die Konsole vom NAS....
Wobei ich der Raspb. Lösung auch noch nicht ganz abgeneigt bin.
...aus o.a. Gründen würde ich Dir dennoch davon abraten!

Was IPv6 betrifft, sollte der Router für den Du Dich entscheidest das Protokoll trotzdem beherrschen (aber wahrscheinlich gibt es auch keine Router mehr, die das nicht können ;) )

Die Fritte gibt es auch als Kabelrouter und dort lässt sich das VPN zumindest einfach einrichten und nutzen, sofern man sich ein entsprechendes MyFritz!-Konto anlegt.
 

MarkusAT

Member
Bist Du sicher, dass Du unter den Voraussetzungen ein komplettes NAS replizieren willst?
Ja, ich hab den ersten großen Schwung (5TB) über die Feiertage erledigt. Ich war ja vor Ort, beide NAS waren neu und ich hab beide aufgesetzt und mit den Daten bespielt :D
Und die schwache Leitung ist ja die DSL Leitung, daher steht dort diese seltsame Konstruktion mit LTE Verbindung und über eine Extra Box nochmals Telefon ...

Mit LTE kommen wir auf ca 25 bis 80 im Download und ca 30 im Upload. Ich hier über kabel hab 100/10, somit passt das schon ganz gut. Mehr als 10 bis 15 GB sollten nicht zustande kommen und das geht über Nacht durch (die letzten Tage schon erfolgreich getestet :D :D :D, ein Erfolg für einen Anfänger )
Wenn Du ohnehin einen VPN hast, wofür dann noch den Teamviewer? Du kommst über VPN direkt auf die Oberfläche vom NAS und ggf. auch via SSH auf die Konsole vom NAS....
Später ja, aber jetzt ja noch nicht oder?
Aktuell ist ja NAS mit NAS verbunden über VPN direkt verbunden, da kann ich über meinen Browser nicht auf das andere NAS (oder doch? muss ich später probieren :D)
Aber die letzten 2 Tage hat sich die VPN Verbindung über Nacht immer getrennt (und nicht automatisch wiederverbunden, obwohl hacken gesetzt). Die ersten 3-4 Tage gabs eine dauerhafte Verbindung. Da ist Teamviewer (oder AnyDesk, jenachdem was grad besser läuft) ganz praktisch :D
Und Laptop einschalten schaffen auch meine Eltern :D
Aber klar, wenn der VPN (stabil) über den Router läuft, sollte das dann hinfällig sein.

...aus o.a. Gründen würde ich Dir dennoch davon abraten!
Wird wohl wriklich schlauer sein :D

Die Fritte gibt es auch als Kabelrouter und dort lässt sich das VPN zumindest einfach einrichten und nutzen, sofern man sich ein entsprechendes MyFritz!-Konto anlegt.
Und noch ein Konto mehr ^^

Da ja alles läuft, muss es ja nicht von jetzt auf heute sein, aber ich werde mich mal schlau machen, was es da so für Möglichkeiten gibt. Fritte ist halt (glaube ich) relativ beschränkt von den Optionen (die ich aktuell vermutlich eh nicht brauche). Aber mir ist es lieber ich arbeite mich etwas länger ein und habe am Ende was vernünftiges als ich kaufe das einfachste und ärgere mich danach, weil ich X will und das einfache Gerät aber nur Y kann.
 

MarkusAT

Member
Du kommst über VPN direkt auf die Oberfläche vom NAS und ggf. auch via SSH auf die Konsole vom NAS....
So, nochmals probiert, ich komme von hier (VPN NAS zu NAS erfolgreich verbunden) nicht auf das Webinterface vom anderen NAS (was mich auch ganz beruhigt, da das Client NAS ja gar nicht von außen erreichbar sein muss/soll).
 

MarkusAT

Member
Hab hier nochmals eine andere Frage zum dem VPN:

Wenn ich den VPN NAS zu NAS habe, kann ich ja von außen, durch den VPN, "nur" aufs NAS. Sprich sollte wer (wie auch immer) durch den VPN kommen, kann er auf das NAS. Wenn er nicht durch den VPN kommt, aber nicht.
Wenn ich den VPN auf einer Firewall davor habe, hängt da ja mein gesammtes Netzwer dran. Ich kann also auch auf das NAS und zusätzlich aber auch auf den Router oder sonst wo hin. Wenn er hier nicht durch kommt, erreicht er auch nichts. Wenn er durch kommt, aber mehr.

Warum ist also der VPN außen sicherer?
Oder gibt es beim VPN am NAS irgendeine Möglichkeit, dass dieser VPN umgangen werden kann, während das bei einem VPN auf eine HW FW nicht der Fall ist?
Wenn ja, wäre das ja eine verdammt "besch***" Sicherheitslücke der NAS Geräte.

Oder hab ich hier immer noch was falsch verstanden :)

Achja, und die VPN Verbindung soll ja NUR für den NAS Verkehr sein, das INet soll auf beiden Seiten natürlich laufen wie gehabt.
Weiß jemand, ob das mit einer Fritte (vermutlich dann mit Wireguard, das Fritzbox eigene System kann ja ich glaube mit dem QNAP nicht) geht/gehen wird? OpenVPN kann die ja auch nicht.
 
Zuletzt bearbeitet:

blurrrr

Well-known member
VPN ist auch kein "Allheilmittel" (s. z.B. PPTP, welches schon lange als "geknackt" gilt). Allerdings muss man dazu auch sagen, dass VPN auch einfach "Standard" ist (bei Firmen, bei Konzernen, bei Bund und Ländern), also kann es "so" schlecht ja auch nicht sein. Davon ab, wird i.d.R. (ausser bei Fritzboxen) ein eigenes Netz für die VPN-Clients erstellt (ggf. auch je nach User), so dass Du dort auch flexible Zuteilungen vornehmen kannst, wer wohin über welches Protokoll darf. Bei einem Site2Site-VPN besteht die Unterteilung nach "Usern" nicht direkt, aber auch dort kannst Du z.B. angeben, dass a) das eine NAS auf das andere nur via z.B. RTRR zugreifen darf und nur Dein Rechner ("IP") zusätzlich noch auf das Verwaltungsinterface des remote-QNAP-Gerätes darf.

Streich vielleicht auch erstmal das "wenn wir ins VPN kommt", wenn jemand durch den Tunnel auf etwas zugreift, wird das eher von einem der beiden Standorte passieren 😉
 

MarkusAT

Member
Streich vielleicht auch erstmal das "wenn wir ins VPN kommt", wenn jemand durch den Tunnel auf etwas zugreift, wird das eher von einem der beiden Standorte passieren 😉
Naja, da beide Standorte zu 100% Privat sind (Standort A ich mit Partnerin, Standort B ein Haus in dem nur meine Eltern wohnen), erwarte ich von den beiden Standorten keinen unberechtigten Zugriff. Auf das Webinterface selbst hab sowiso nur ich Zugriff, auf bestimmte Ordner am NAS auch.

Ich probiere für mich gerade nur die Vorteile (und eventuell Nachteile) raus zu finden, welche ein VPN hat, der nicht am NAS läuft.
Wenn das NAS so auch zu 100% sicher ist (gut, nicht 100%, aber gleich sicher als wenn der VPN schon davor auf einer FW liegt) ist, sehe ich noch keinen Vorteil.
Aber ich fühle mich auch nicht in der Lage, den Unterschied (in der Sicherheit) zu beurteilen. Wenn man außen am VPN eh nicht vorbei kommt, machts für mich (als Laien) keinen offensichtlichen Unterschied.
 

tiermutter

Well-known member
Außerdem:
Vorteile (und eventuell Nachteile) raus zu finden, welche ein VPN hat, der nicht am NAS läuft.
Vorteil:
- Du bist nicht abhängig davon, wie der Entwickler des NAS die VPN Software implementiert (zB ist bei QNAP die OVPN Implementierung fürn XXX).
- Der VPN Zugriff wird ebenfalls durch die Firewall geregelt und geht nicht spurlos an ihr vorbei. Läuft der VPN Server nämlich auf dem NAS, ist durchaus der Zugriff auf alle anderen Geräte im LAN möglich, nur bekommt es die Firewall nicht mit, da der Tunnel "an ihr vorbeigeht".
- Du musst nicht erst einen Port zum NAS weiterleiten.
- Ein (QNAP-) NAS ist fehleranfälliger als ein ordentlicher Router. Ist jetzt nicht nur auf QNAP bezogen, aber auf einem NAS tummeln sich etliche Dienste und es steckt einiges an Hardware drin, eine Firewall/ Router ist da deutlich schlanker und robuster.

Nachteil:
- Du brauchst halt extra Hardware die extra Geld kostet.
 

-jody-

Active member
Hallo Markus,

bildlich gesprochen sind die Wände des Tunnels nur so stark wie Dein Passwort bzw. die Verschlüsselungsparameter ;)
Also je besser der Verschlüsselungsalgorithmus und je stärker das Passwort, desto sicherer ist der Tunnel vorm Einsturz (also den Zugriff durch unberechtigte) geschützt!

Wenn Du als Tunnelendpunkte jeweils das NAS nimmst, wirst Du (zumindest ohne weitere Konfigurationen) nur das entfernte NAS erreichen (also für Dein Szenario die eigentliche Lösung) Nutzt Du jedoch die Router als Tunnelendpunkte, kannst Du bspw. von Deinem PC auf die GUI vom NAS und auf die Laufwerksfreigaben zugreifen und z.B. Dateien direkt vom PC dorthin kopieren.
Streng genommen befinden sich dann alle Geräte beider Netze in einem (virtuellen) Netz mit allen Funktionen (Du könntest also Porto sparen und den Brief an Deine Eltern direkt auf deren Drucker ausdrucken :) )
Die lokalen Netzwerkfunktionen werden dadurch nur gering beeinflusst (je nach Konfiguration), so dass der normale Internetzugang (außer ggf. einer gewissen Bandbreiteneinschränkung) nicht beeinflusst wird.
Der Vorteil der letzten Variante ist, dass Du ggf. auf alle Geräte im entfernten Netz zugreifen kannst (entsprechende Berechtigungen vorausgesetzt) und keinen Umweg mehr über Teamviewer machen musst (hilf auch, wenn man mal Support bei den Eltern machen muss ;)

Für welche Variante Du Dich entscheidest, liegt also nur daran, welche Nutzung bzw. welchen Zugriff Du brauchst/möchtest!

Wichtig ist in beiden Fällen, starke Verschlüsselungsparameter und strake Passwörter zu verwenden!
 

blurrrr

Well-known member
erwarte ich von den beiden Standorten keinen unberechtigten Zugriff
Böser Fehler, genau so läuft es dann in den großen Konzernen auch und .... schwupps.... ;)

Vorteil eines VPN, welches nicht am NAS läuft: 1) Weniger Belastung für das NAS (und es bleibt "sauberer"), 2) NAS nicht "direkt" aus dem Internet ansprechbar, 3) Zugriffe von Clients auf die Remote-Netze granular steuerbar, und so weiter... Kommt also schon etwas zusammen. Wenn nur NAS A auf NAS B zugreifen soll, wäre es ggf. dann vllt doch eine Option, das VPN einfach NAS zu NAS laufen lassen, aber für eine vollumfänglichere Konfiguration wäre schon eher anzuraten, auf beiden Seiten (oder zumindestens einer) eine entsprechende Firewall-Lösung hinzustellen. NAS mit VPN-Dienst im Internet... "naja", wird auch immer vieles heisser gekocht, als gegessen (muss man ja auch mal sagen). Fakt ist allerdings, dass es durchaus auch Sicherheitslücken in VPN-Diensten geben kann (wie weitreichend und schwerwiegend hängt natürlich immer von der jeweiligen Lücke ab). Im Falle einer Komprimitierung des Dienstes, kann mitunter ein Zugriff auf die Daten auf dem NAS erfolgen (muss aber auch nicht). Schlussendlich ist es eine Risiko-Abwägung, welche Du - ganz allein für Dich - treffen musst. Da aber etliche Leute die VPN-Dienste auf ihrem NAS nutzen (k.a. wie es bei der QNAP-Fraktion "generell" aussieht (anwesende QNAPler ausgeschlossen, da kenn ich die Antworten schon, auch wenn wir uns noch nicht so lange kennen 🤪), kann es wohl "so" verkehrt nicht sein. Auf der anderne Seite stimmt mich die offizielle QNAP-Meldung von wegen "Alles dicht machen!" doch etwas nachdenklich und "on top" kommt halt noch, dass man mit einem NAS dann doch wieder weniger Möglichkeiten hat, als mit einer richtigen Firewall (z.B. Thema Smarthome, Gästenetze, usw.). Ich bin da aber sicherlich nicht repräsentativ, da ich sowas auch beruflich mache und von daher sowieso schon eine ganz andere Einstellung dazu habe, als normale Privatpersonen. Kurzum: Ein bisschen mehr Risiko, oder ein bisschen weniger - falls es Dich beruhigt: Das Einfallstor wird sicherlich nicht ausserhalb, sondern eher innerhalb liegen (wenn nur der VPN-Dienst von aussen erreichbar ist), so ist es zumindestens in über 90% aller Fälle 😉
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
565
Beiträge
8.272
Mitglieder
193
Neuestes Mitglied
cekap
Oben