Karl Heinz: VPN-Tunnel versus DynDNS für LAN Zugriff - was ist besser?

Hallo,

angenommen ich möchte von einem auswärtigen Standort auf eine Freigabe des NAS zugreifen. Die NAS liegt meinem LAN liegt.

In der Theorie gibt es hierzu meines Erachtens zwei Möglichkeiten:

Möglichkeit 1:

Ich baue einen VPN-Tunnel auf. Damit habe ich Zugriff auf das LAN und damit auch auf die Freigabe auf dem NAS.

Möglichkeit 2:

Ich arbeitete ohne VPN Tunnel und arbeitete stattdessen mit DynDNS sprich ich richtige DynDNS auf meiner Fritzbox ein und habe somit, ohne die Einrichtung eines VPN Tunnels, Zugriff auf das LAN und damit Zugriff auf die Freigaben der NAS.

Hierzu zwei Fragen:

  1. Würden beide oben genannten Lösungswege in der Praxis funktionieren?
  2. Welche der beiden Lösungswege ist auf welchem Grund der bessere Weg?
  1. Hallo und guten Morgen,

    angenommen ich möchte von einem auswärtigen Standort auf eine Freigabe des NAS zugreifen. Die NAS liegt meinem LAN liegt.

    In der Theorie gibt es hierzu meines Erachtens zwei Möglichkeiten:

    Möglichkeit 1:

    Ich baue einen VPN-Tunnel auf. Damit habe ich Zugriff auf das LAN und damit auch auf die Freigabe auf dem NAS.

    Möglichkeit 2:

    Ich arbeitete ohne VPN Tunnel und arbeitete stattdessen mit DynDNS sprich ich richtige DynDNS auf meiner Fritzbox ein und habe somit, ohne die Einrichtung eines VPN Tunnels, Zugriff auf das LAN und damit Zugriff auf die Freigaben der NAS.

    Hierzu zwei Fragen:

    1. Würden beide oben genannten Lösungswege in der Praxis funktionieren?
    2. Welche der beiden Lösungswege ist auf welchem Grund der bessere Weg?

    Da bringst Du jetzt aber zwei Dinge durcheinander. DNS hat nichts mit Datentransport zu tun, sondern nur mit Ermittlung des Routing-Partners. Und den musst Du immer erst ermitteln, wenn keine feste IP vergeben und bekannt ist, auch für einen VPN-Tunnel.

    Für den Transport solltest Du auf jeden Fall eine verschlüsselte Übertragung wählen. Über welches sichere Protokoll Du das machst, ist unerheblich, solange es Dir die gewünschten Methoden zugänglich macht.

    Grüße
    TS

    --
    es wachse der Freifunk
    http://freifunk-oberharz.de
  2. Tach!

    Ich baue einen VPN-Tunnel auf. Damit habe ich Zugriff auf das LAN und damit auch auf die Freigabe auf dem NAS.

    Ein VPN-Tunnel versetzt deinen Rechner sozusagen in das Netz. In der Regel passiert das so, dass du gar nichts weiter machen kannst als andere Rechner in diesem Netz zu erreichen, insbesondere nicht an deinem aktuellen Standort auf die dortigen Ressourcen zugreifen. Auch der Internet-Zugriff wird üblicherweise erst ins VPN getunnelt und geht von dort aus in den öffentlichen Teil.

    Ich arbeitete ohne VPN Tunnel und arbeitete stattdessen mit DynDNS sprich ich richtige DynDNS auf meiner Fritzbox ein und habe somit, ohne die Einrichtung eines VPN Tunnels, Zugriff auf das LAN und damit Zugriff auf die Freigaben der NAS.

    DynDNS hingegen braucht man nicht wirklich. Das ist nur ein DNS-Eintrag, damit du dir nicht die aktuelle IP merken musst. Aber ansonsten kann man damit noch gar nichts machen. Dann du musst den Router noch so einrichten, dass er den Zugriff auf die Zielgeräte weiterleitet. Üblicherweise geht das mit Port-Forwarding. Spezielle einzeln benannte Ports (oder Bereiche) werden auf konkrete Rechner und dessen Port(s) weitergeleitet. Wenn du zwei Webserver laufen hast, müssen da auch unterschiedliche Ports weitergeleitet werden, denn jeder Port auf dem Router kann logischerweise nur auf ein Ziel geleitet werden.

    1. Würden beide oben genannten Lösungswege in der Praxis funktionieren?

    Ja. Prinzipiell.

    1. Welche der beiden Lösungswege ist auf welchem Grund der bessere Weg?

    Besser oder nicht muss anhand des gewünschten Ziels bewerten und ob man die Eigenschaften der Lösung als positiv oder negativ ansieht. Ein absolutes besser oder schlechter gibt es nicht. Port-Forwarding kann man nehmen, wenn man sowieso die Ports öffentlich zugänglich haben möchte. Einen SSH-Server, der nur mit Keys erreichbar ist, kann man öffentlich zugänglich machen. Muss man sogar, sonst kommt man ja selbst nicht rein. Eine Netzwerkfreigabe oder einen internen Webserver mit heiklen Daten darauf würde man wohl eher nicht ins Internet stellen.

    Beim VPN hat man nur den einen Port für den Tunnel offen und der Rest spielt sich verschlüsselt ab.

    dedlfix.

  3. Hallo und guten Morgen,

    noch ein kleiner Nachtrag zu DynDNS.

    Ich arbeitete ohne VPN Tunnel und arbeitete stattdessen mit DynDNS sprich ich richtige DynDNS auf meiner Fritzbox ein und habe somit, ohne die Einrichtung eines VPN Tunnels, Zugriff auf das LAN und damit Zugriff auf die Freigaben der NAS.

    Wenn Du eine Fritz-Box hast, brauchst Du eigentlich kein DynDNS. Die jeweils aktuelle IP kannst Du dir von der Fritzbox automatisch an deinen Mail-Account senden lassen. Das finde ich persönlich sehr praktisch.

    Grüße
    TS

    --
    es wachse der Freifunk
    http://freifunk-oberharz.de
    1. Moin,

      Wenn Du eine Fritz-Box hast, brauchst Du eigentlich kein DynDNS. Die jeweils aktuelle IP kannst Du dir von der Fritzbox automatisch an deinen Mail-Account senden lassen. Das finde ich persönlich sehr praktisch.

      dies finde ich aber eher unpraktisch, vor allem wenn man sich Links abspeichert. Von AVM gibt es einen eigenen Dyn DNS via myfritz.net. Dort bekommt man so etwas kryptisches:
      https://xxxxxxxxxxxxxxxx.myfritz.net/
      kann man sich zwar auch nicht merken, aber prima als bookmark speichern.

      Fred

      1. Hallo und guten Morgen,

        Wenn Du eine Fritz-Box hast, brauchst Du eigentlich kein DynDNS. Die jeweils aktuelle IP kannst Du dir von der Fritzbox automatisch an deinen Mail-Account senden lassen. Das finde ich persönlich sehr praktisch.

        dies finde ich aber eher unpraktisch, vor allem wenn man sich Links abspeichert. Von AVM gibt es einen eigenen Dyn DNS via myfritz.net. Dort bekommt man so etwas kryptisches:
        https://xxxxxxxxxxxxxxxx.myfritz.net/
        kann man sich zwar auch nicht merken, aber prima als bookmark speichern.

        Das geht auch. Aber da hat dann auch jemand Fremdes die IP, der weiß, was er damit anfangen kann (z. B. den Nutzernamen schon kennt). Finde ich persönlich nicht so gut.

        Grüße
        TS

        --
        es wachse der Freifunk
        http://freifunk-oberharz.de
        1. Tach!

          Aber da hat dann auch jemand Fremdes die IP, der weiß, was er damit anfangen kann (z. B. den Nutzernamen schon kennt).

          Mit einem SSH-Server, der nur Key-Anmeldung zulässt wäre das: nicht viel.

          Für andere Anwendungsfälle sieht die Sache schon wieder anders aus.

          dedlfix.

          1. Hallo und guten Morgen,

            Aber da hat dann auch jemand Fremdes die IP, der weiß, was er damit anfangen kann (z. B. den Nutzernamen schon kennt).

            Mit einem SSH-Server, der nur Key-Anmeldung zulässt wäre das: nicht viel.

            Für andere Anwendungsfälle sieht die Sache schon wieder anders aus.

            Es geht auch um den Schutz der Fritz-Box. In der Praxis sieht es doch meistens so aus, dass man, wenn man hinter der Fritz-Box ein Gerät zugänglich macht, die Fritzbox auch fernadministrierbar macht, um dann ggf. aus der Ferne den Zugang ins LAN abschalten oder ändern zu können. Da finde ich es dann immer ganz hilfreich, wenn sowohl Benutzername (für die Administration), als auch Passwort geheim bleiben. Die Fritzbox stellt zwar ein self-signed Cert zur Verfügung, aber der Moment der Übergabe des Keys bleibt eben kritisch. Ich habe allerdings noch nicht ausprobiert, wie das mit fremdzertifizierten Public Keys ist. Die kann man ja unter Fritz!Box-Dienste in die Box hochladen.

            Die VPN-Einrichtung mit der Box finde ich allerdings ganz prima. Da kann ich dann auch aus der Ferne über die Fritz-Fon-App telefonieren mit Routing über meinen "Festnetzanschluss".

            Insofern würde ich Karl Heinz doch eher zum VPN-Tunnel bis zur Box, also bis zum LAN, raten. Das würde aber bedeuten, dass er innerhalb seines LANs den Leuten vertraut, wenn da die Daten vom NAS bis zur VPN-Schnittstelle dann unverschlüsselt durchs Netz flitzen.

            Grüße
            TS

            --
            es wachse der Freifunk
            http://freifunk-oberharz.de
            1. Tach!

              Es geht auch um den Schutz der Fritz-Box. In der Praxis sieht es doch meistens so aus, dass man, wenn man hinter der Fritz-Box ein Gerät zugänglich macht, die Fritzbox auch fernadministrierbar macht,

              Also, wenn ich ein Portforwarding mache, dann ist damit die Fritzbox selbst noch nicht offen. Ich muss dazu erst auf das Ziel-Gerät kommen, um dort einen Browser oder ähnliches zu starten, um damit auf die Fritzbox selbst zu kommen. Man muss jedenfalls für Portforwarding nicht die Fernwartung von außen freigeben.

              Da finde ich es dann immer ganz hilfreich, wenn sowohl Benutzername (für die Administration), als auch Passwort geheim bleiben. Die Fritzbox stellt zwar ein self-signed Cert zur Verfügung, aber der Moment der Übergabe des Keys bleibt eben kritisch. Ich habe allerdings noch nicht ausprobiert, wie das mit fremdzertifizierten Public Keys ist. Die kann man ja unter Fritz!Box-Dienste in die Box hochladen.

              Ist für Portforwarding nicht relevant. Für VPN, das mit der Fritzbox als Ziel aufbaut wird, kann ich aber mangels Wissen/Erfahrung keine Aussage treffen.

              dedlfix.

        2. Mahlzeit,

          Das geht auch. Aber da hat dann auch jemand Fremdes die IP, der weiß, was er damit anfangen kann (z. B. den Nutzernamen schon kennt). Finde ich persönlich nicht so gut.

          also standardmäßig ist der Account bei myfritz.net der gleiche, der auch von extern auf die Fritzbox zugreifen darf. Das ist natürlich das erste was ich geändert habe, anderer User, anderes Passwort.

          Fred

    2. Hallo und guten Morgen,

      noch ein kleiner Nachtrag zu DynDNS.

      Ich arbeitete ohne VPN Tunnel und arbeitete stattdessen mit DynDNS sprich ich richtige DynDNS auf meiner Fritzbox ein und habe somit, ohne die Einrichtung eines VPN Tunnels, Zugriff auf das LAN und damit Zugriff auf die Freigaben der NAS.

      Wenn Du eine Fritz-Box hast, brauchst Du eigentlich kein DynDNS. Die jeweils aktuelle IP kannst Du dir von der Fritzbox automatisch an deinen Mail-Account senden lassen. Das finde ich persönlich sehr praktisch.

      Meine Lösung: Mein Router sendet die IP zu meinem Server (dessen Name mir bekannt ist). Auf meinem Server ist die IP somit hinterlegt und kann mit der Funktion remote_addr() abgefragt werden.

      MfGs