NAS-Zugriff von außerhalb nur durch VPN zulassen

Mat

Aktives Mitglied
Ja moin,

ich bin grad am überlegen, wie ich folgendes Szenario am besten lösen könnte:

  • Synology-NAS im Heimnetzwerk
  • Zugriff von außen auf die NAS (Handy und Laptop per VPN)
  • diverse NAS-Services, die auf unterschiedlichen Ports laufen
    • sollen mit den gleichen Geräten in unterschiedlichen Situationen erreichbar sein
    • sollen immer an der gleichen Adresse erreichbar sein (kein ständiger Wechsel von IPs oder Ports in den Konfigurationen)
    • im LAN und von Unterwegs über VPN
    • zB wenn der Laptop zu Hause ist, soll der Traffic im LAN bleiben, von unterwegs aber über den VPN-Server laufen
  • Services wie
    • Synology Drive (Synchronisationsclient) und Backups
    • Mediaserver für Musik
    • der ein oder andere Docker-Container, der nur für ein paar Tage läuft
    • vielleicht auch einen TarPit als Fliegenfalle für SSH-Bots :p
  • kein Zugriff von Außen auf das restliche Heimnetzwerk (auch nicht mit VPN)
    • also ein Bisschen wie eine VPN-geschützte DMZ in der NAS-Services laufen (falls der Vergleich passt)

Verfügbare Werkzeuge​

  • FritzBox
  • Synology NAS
  • Internetverbindung mit IPv6-Support
  • eigener, externer VPN Server (Hetzner-Cloud)
    • erweiterbar, ersetzbar
  • externer DDNS-Service von Synology
  • RaspberryPi

So sieht es derzeit aus​

  • VPN-Server (für Internetzugriff mit unsicherem WLAN)
    • wenn Handy oder Laptop außerhalb sind, wählen sie sich in VPN ein
  • NAS spricht mit DDNS-Service
    • für statische Adresse mit TLS-Zertifikat
  • NAS wird aus dem Internet erreicht
    • durch Portweiterleitung auf FritzBox
  • FW-Regeln auf dem NAS mit Whitelist
    • nur LAN + die IP-Adresse des VPN-Servers sind erlaubt
    • mir gefällt nicht, dass hier erstmal alle durch den Router durchgewunken werden
  • im LAN muss man allerdings direkt per IP auf das NAS verbinden
    • weil die statische Webadresse erst nach draußen routet, bevor sie zurück in mein Netz kommt
    • auf meinem PC könnte ich das noch mit einem Eintrag in HOSTS regeln
    • auf dem Laptop müsste ich zu Hause auch ins VPN und den Traffic übers Internet senden, obwohl ich im LAN bin

1634232154768.png


Diagramm-Link:

Was kann ich da machen?​

Kann ich diese Infrastruktur mit minimalen Änderungen weiterverwenden oder soll ich stattdessen einen VPN-Server auf der Fritzbox laufen lassen? Dann bleibt noch das Problem mit dem TLS-Zertifikat. Man kann einfach mehr machen, wenn man eine Domain hat.
 
Mal anders gefragt

Gibt es eine Art dynamischen und transparenten Routing-Server, der mich je nach meiner Client-IP an unterschiedliche Adressen weiterleitet?

Also:
  • RoutingServer muss online angefragt werden
  • wenn Client gleiches Netzwerk wie NAS, dann lokal routen
  • wenn Client mit VPN-IP, dann durchtunneln an meinen Router
  • alles andere Gesocks ignorieren
Wenn es transparent für die Clients sein soll, muss ich das dann als DNS-Server verpacken?
 
Zurück
Oben Unten