OpenVPN - Unraid als client - Anfängerfrage(n)


Janne

Recommended Posts

Guten Morgen,

 

ich habe außerhalb meines Unraid-Server-Standortes ein Qnap-NAS zu stehen, auf welches der Unraid Server zugreifen können soll und es per SSH auch kann. Allerdings würde ich das Ganze gerne noch über einen VPN Tunnel zusätzlich absichern. Auf dem Qnap NAS läuft ein OVPN Server (die .ovpn Datei habe ich hier), Unraid soll sich also als Client mit diesem VPN-NAS-Server verbinden, dort ein Kommando ausführen und die VPN Verbindung wieder schließen. Ich habe nach einigem Googeln folgendes Script gefunden, welches (wenn's funktioniert) wohl macht, was ich möchte:

Quote

#!/bin/bash

sudo systemctl start openvpn@vpnname # (step 1)

# RUN THE TASK AFTER THE CONNECTION (step 2)

sudo systemctl stop openvpn@vpnname # (step 3)

 

Nun die Anfängerfrage: Wie bekomme ich es hin, Unraid als VPN-Client einzusetzen. Ich habe schon gesucht und gesucht und vieles dazu gefunden, wie man einen VPN-Server aufsetzt, aber genau das möchte ich ja nicht. Zunächst hab ich mal versucht, über den Terminal zu testen, wobei das Kommando openvpn meinem Unraid Server unbekannt ist (da fehlt also irgendwas und ich weiß nicht, wie ich es hinbekomme).

 

Vielen Dank im Voraus.

Link to comment

Mal was zur Sicherheit:

Warum sollte dass Öffnen eines weiteren Ports die Sicherheit erhöhen?

Warum ist es sicherer einen Tunnel aufzubauen, der beide Netze und damit Clients beider Seiten zusammen bringt?

Und warum ist die Verschlüsselung von SSH nicht ausreichend?

 

23 minutes ago, Janne said:

Zunächst hab ich mal versucht, über den Terminal zu testen, wobei das Kommando openvpn meinem Unraid Server unbekannt ist (da fehlt also irgendwas und ich weiß nicht, wie ich es hinbekomme).

Es gibt scheinbar ein Plugin dafür:

https://forums.unraid.net/topic/33783-openvpn-server-client-for-unraid-62-61-are-still-supported/

Link to comment

Vielen Dank für die Antwort, mgutt. Deine Fragen kann ich nicht beantworten, aber meine gänzlich laienhaften Überlegungen einbringen:

 

Auf der "QNap Seite" steht das NAS hinter einem Router, auf welchem zurzeit die Ports 22 (für SSH) und 443 (für die Qnap Benutzeroberfläche) an das NAS freigegeben sind. Meiner Vorstellung nach würde der Aufbau eines VPN-Tunnels es nur notwendig machen, den Port 1194 UDP für das QNAP-Nas am Router freizugeben. Über die VPN Verbindung könnte ich dann also nicht nur den Unraid-Server seins machen lassen (genauer gesagt läuft da jede Nacht ein rsync von Unraid auf Qnap), sondern auch von meinem Desktop PC/Laptop/Handy auf die Qnap Benutzeroberfläche zugreifen, ohne dass der Port 443 auf Qnap Seite wirklich offen sein müsste. Zudem verstehe ich es so, dass auch Port 22 am Qnap-Seiten-Router wieder geschlossen werden könnte, da alles über den VPN Tunnel über 1194 läuft. 

 

Daneben kommt hinzu, dass seit der Freigabe von Port 22 das Qnap-NAS Dutzende (erfolglose) SSH-Login-Versuche verzeichnet. In meiner Vorstellung wäre das bei Aufbau einer VPN-Verbindung (und Schließen des Ports 22) nicht mehr der Fall.

 

Wie gesagt und wahrscheinlich offensichtlich: Ich bin diesbezüglich Anfänger und bedanke mich daher umso mehr für jeden Tipp/Hinweis etc. Wenn Du/ihr meint, mit dieser SSH-Verbindung bin ich schon auf der ausreichend sicheren Seite, dann ignorier ich die Einlogversuche auch gerne.

 

edit: Das Plugin hatte ich schon gefunden, allerdings scheint es nicht mehr gepflegt zu werden. Installieren kann ich es zumindest nicht.

Edited by Janne
Link to comment
58 minutes ago, Janne said:

Ports 22 (für SSH)

Dahinter lauscht der Linux SSH Dienst. Dieser gilt soweit als sicher.

 

58 minutes ago, Janne said:

443 (für die Qnap Benutzeroberfläche)

Dahinter lauscht ein Webserver mit Anwendungen, die QNAP entwickelt hat. Das würde ich als unsicher bezeichnen. Besonders nach der Häufigkeit, in der in letzter Zeit Sicherheitslücken entdeckt wurden.

 

58 minutes ago, Janne said:

Daneben kommt hinzu, dass seit der Freigabe von Port 22 das Qnap-NAS Dutzende (erfolglose) SSH-Login-Versuche verzeichnet

Das wird bei Port 1194 nicht anders sein. Sobald du einen Port im Internet freigibst, wird dieser automatisch attackiert. Du solltest dich also nicht davon beeindrucken lassen, dass irgendwas in den Logs auftaucht. Was meinst du was ein Router den ganzen Tag für Anfragen von außen erhält. Der zeigt das nur nicht an.

 

Bei allen Ports gilt aber, dass es in Zukunft eine Sicherheitslücke geben könnte. Siehe zB Heartbleed wo der Dienst selbst die Lücke enthält.

 

Jedenfalls ist dein Wunsch sowohl 22 als auch 443 zu nutzen. Da kann das mit dem Tunnel schon sinnvoll sein, weil man die potentiellen Gefahrenquellen auf eine reduziert und 1194 bestimmt viel sicherer ist als der QNAP Webserver, der auf 443 lauscht. Trotzdem eine Frage zum Nachdenken: Ist es sicherer weniger Ports zu öffnen, um weniger Attacken von außen ausgesetzt zu sein oder ist es sicherer zwei Standorte nicht zu verbinden, damit ein gehackter Rechner nicht gleich in beiden Netzen Schaden anrichten kann?

 

Wie auch immer. Kannst du denn gewährleisten, dass beide Netze unterschiedliche IP-Adressräume verwenden? Weil zB 192.168.178.x kann nicht mit 192.168.178.x verbunden werden.

 

Eine Anleitung wie man das in Slackware (Linux, was Unraid nutzt) macht, findest du hier:

https://docs.slackware.com/howtos:network_services:openvpn

 

Nur mal als Beispiel, was ich damals bei eine externen Syno gemacht habe: Bei meinem lokalen Standort hat der Router eine DDNS aktuell gehalten. In der externen Syno habe ich die IP dieser Domain ausgelesen und per iptables nur diese IP erlaubt (plus das lokale Netz). Damit konnte also nur meine öffentliche IP-Adresse auf die Syno zugreifen. Alle anderen Anfragen aus dem Internet kamen zwar über die Portfreigabe durch, aber wurden dann von der iptables Regel blockiert. Der Dienst hinter dem Port kommt erst danach. Man müsste also erst mal eine Sicherheitslücke in der Linux Firewall finden. Das einzige was dann noch ging war per IP-Spoofing die Syno anzugreifen, wobei der Angreifer aber wissen muss was er angreift, weil er kein Feedback von der Syno bekommt (Antwortpakete gehen zu mir Hause). Wie du siehst ist auch das nicht 100%-tig sicher und es gibt auch keine absolute Sicherheit, aber ich handhabe das so wie in der alten Oasics Werbung 😅

 

 

Link to comment

Nochmals ganz großen Dank. Leider brauche ich den Port 443 wirklich. ich wünschte ich könnte darauf verzichten, aber das Qnap NAS macht es leider immer mal wieder notwendig, darauf über die Weboberfläche zuzugreifen. Ich finde allerdings Deine Idee mit der DDNS des lokalen Standortes und der Einschränkung der erlaubten IPs auf der QNAP per Whitelist sehr interessant. Mal schauen, ob QNAP es ausreichen lässt, wenn eine ddns in diese whitelist eingetragen wird.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.