DDNS - myfritz oder doch einen anderen Anbieter?

Ich möchte zum Thema Sicherheit noch was loswerden.
Wenn es wirklich nur um Emby geht, sehe ich das eher nicht so wild, denn in Emby selber kann man einstellen, wie viele Loginversuche man machen darf. Und wenn das immer noch nicht reichen sollte, werfe ich mal den Begriff "fail2ban" in den Raum. Eigentlich sollte das ausreichend genug sein.

nur, weil ich grade drüber gestolpert bin ... vielleicht kanns ja wer brauchen:

SoftEther VPN Project - SoftEther VPN Project
von irgend 'ner japsen-uni, ebenfalls opensource und wohl eh auf openvpn basierend.

größter unterschied: ne windoof klicki-bunti-oberfläche für dumme und faule leute wie mich

Zitat von the ratman

wie aktuell muss den die fritte sein? auf meiner 7590 (alles original) find ich nicht wirklich was zu 'nem openvpn-server in der fritten-hilfe, wäre aber sehr interessiert.

Fritte 7590 samt Beta und sehe auch kein vpn....

Nutze aber selbst ddnss.de und habe keine Probleme mehr.....

Nutze jellyfin und mittels letsencrypt.....per ssl Verbindung.....

Nur ich kenne ja die Adresse......zur Not wenn einer draufkommt muss er sich ja einloggen......

Zitat von agarnele

Fritte 7590 samt Beta

Die neuen Beta-Firmwares hätten dann auch die Möglichkeit Wireguard-VPN zu nutzen.
Das sollte dann zumindest deutlich performanter sein als das bisherige Fritz-VPN.

@psychofaktory

Zitat von psychofaktory

Die neuen Beta-Firmwares hätten dann auch die Möglichkeit Wireguard-VPN zu nutzen.
Das sollte dann zumindest deutlich performanter sein als das bisherige Fritz-VPN.

welche fitzbox ab welcher version und wo in den einstellungen?

Zitat von the ratman

@psychofaktory

welche fitzbox ab welcher version und wo in den einstellungen?

Die Funktion und Einrichtung ist hier beschrieben:
https://avm.de/fritz-labor/fr…n-verbindungen/

Die Funktion sollte bei allen Fritzbox-Modelle für die aktuell eine Labor-Version angeboten wird vorhanden sein:
https://avm.de/fritz-labor/

na dann hoff ich mal, dass das bald in gold kommt und spar mir einstweilen eigene spielchen mit openvpn usw.
brauch's eh erst wieder im frühling 2023 *g*

thx mal für die infos

Mahlzeit,

an einem VPN sollte kein Weg vorbeigehen.
Das IKEv1 VPN der Fritte ist sicher. Allerdings ist es bei vielen älteren Fritten nicht wirklich performant. Das liegt an den billigen Chips in den Fritz-Boxen.
Ob und wieviel performanter Wireguard-VPN in Fritzboxen ist, kann ich nicht beurteilen.
Das ist allerdings nicht auf allen Fritten nutzbar, ähnlich wie OpenVPN.

Allen, die hier einen Emby-Server ohne ausreichenden Schutz von außen erreichbar machen (über simple Portweiterleitung vom Router), möchte ich folgendes sagen:

Ihr spielt Russisch Roulette mit euren Daten.
Wenn ein Eindringling erstmal Zugriff auf ein Gerät (hier: den Emby-Server) in einem LAN hat, wird er versuchen, auch auf andere Geräte zu kommen.
Das sind dann bspw. Windows-PCs oder -Server sowie NAS. Anschließend werden alle Daten verschlüsselt und Lösegeld verlangt.

Zitat von agarnele

Nur ich kenne ja die Adresse......zur Not wenn einer draufkommt muss er sich ja einloggen......

Deine Dyn-DNS-Adresse ist nicht relevant. Deine öffentliche IP-Adresse wird bei Scans nach offenen Ports auch gefunden.
Dann werden Sicherheitslücken ausgenutzt, so welche existieren. Ein Login wird dadurch nicht benötigt.

Zitat von goscho

an einem VPN sollte kein Weg vorbeigehen.

Ein VPN Zugang kann aber ebenso geknackt werden. Sicher nicht so einfach und so schnell. Aber für einen richtigen Hacker, kein Scriptkiddie, sicher auch keine gro0e Hürde.

Zitat von Publish3r

Ein VPN Zugang kann aber ebenso geknackt werden. Sicher nicht so einfach und so schnell. Aber für einen richtigen Hacker, kein Scriptkiddie, sicher auch keine gro0e Hürde.

Das ist absoluter Unsinn und zeugt davon, dass du davon recht wenig bis gar nix weißt.

Wenn du mit einer Fritzbox ein IKEv1 VPN einrichtest und einen sicheren PSK (Prey Shared Key, mindestens 14 Stellen) verwendest, ist es bis dato nicht knackbar.
Knackbar heißt, dass jemand den Datenverkehr mitschneidet und sich darüber Zugriff verschafft.
Ebenso sieht es mit OpenVPN und Wireguard aus.

Zitat von goscho

Das ist absoluter Unsinn und zeugt davon, dass du davon recht wenig bis gar nix weißt.

Das ist so sogar gar nicht sooo falsch. Dennoch habe ich sicher mehr Ahnung als viele andere hier.
Auch des Lesens bin ich mächtig. Und würde mir sogar die Mühe machen, dir entsprechende Textstellen und URLs im Internet raussuchen, die dir aufzeigen werden, dass du aber auch nicht so ganz richtig liegst.

Und ob du es glauben willst oder nicht. Kein Schutz ist zu 100% sicher. Und wer was auf den Kasten hat, kommt auch an die Daten ran, die er haben will.
Ich behaupte jetzt einfach mal, da gibt es sehr sehr viele Firmen, die tausende von Euro für ihre Sicherheitsstruktur pro Monat ausgeben und trotzdem gehackt werden.
Wenn so ein simpler Fritzbox VPN das Wundermittel wäre, dann würden sicher keine Firmen so viel Geld ausgeben und dennoch gehackt werden.

Zitat von Publish3r

Das ist so sogar gar nicht sooo falsch. Dennoch habe ich sicher mehr Ahnung als viele andere hier.

Nö, du hast von diesem Thema keine Ahnung und weniger geht nicht. Sorry, is aber so.

Zitat von Publish3r

Auch des Lesens bin ich mächtig. Und würde mir sogar die Mühe machen, dir entsprechende Textstellen und URLs im Internet raussuchen, die dir aufzeigen werden, dass du aber auch nicht so ganz richtig liegst.

Das ist nicht nötig. Ich beschäftige mich damit beruflich.
VPNs (zumeist zu Lancom Routern) richte ich bei meinen Kunden fast jede Woche ein und erkläre ihnen auch den Sinn eines solchen.

Zitat von Piblish3r

Und ob du es glauben willst oder nicht. Kein Schutz ist zu 100% sicher. Und wer was auf den Kasten hat, kommt auch an die Daten ran, die er haben will.

Ist ja wieder mal eine glorreiche Aussage, die aber auch so gar nix mit derm Thema zu tun hat.

Nix ist sicher (außer die Rente - so Nobby Blüm vor 25 Jahren).

Zitat von Publish3r

Ich behaupte jetzt einfach mal, da gibt es sehr sehr viele Firmen, die tausende von Euro für ihre Sicherheitsstruktur pro Monat ausgeben und trotzdem gehackt werden.

Aber nicht, weil das VPN nix taugt, sondern weil irgendwelche Schwachstellen ausgenutzt werden.
Thema verfehlt!

Zitat von Publish3r

Wenn so ein simpler Fritzbox VPN das Wundermittel wäre, dann würden sicher keine Firmen so viel Geld ausgeben und dennoch gehackt werden.

Fritzboxen sind sehr gute Router für Heimanwender. Die meisten meiner Freunde und Verwandten haben eine Fritzbox als Router.

Für Firmen sind sie aber eigentlich nicht wirklich geeignet.
Sie können keine VLANs, die Firewall ist nicht konfigurierbar, VPN-Möglichkeiten sind sehr eingeschränkt, etc.

Und nochmal zum Mitschreiben nur für dich:

Die Firmen werden nicht gehackt, weil jemand das VPN geknackt hat, sondern weil es andere Einfallstore gab.
Wenn du die Technik verstehen würdest, wüsstest du das auch.

Zum besseren Verständnis:

Hier ist ein Link zu einem Dokument des BSI zum Thema VPN.
Ist aber für Laien schwere Kost.
Beim PPTP-Protokoll (4.4, Seite 55) gehe ich sogar weiter und sage, dass es nicht mehr eingesetzt werden darf, da es unsicher ist.
Hier steht es genauer beschrieben (Der Artikel ist bereits 10 Jahre alt)

Zum Schluss:

Mein Anliegen war eigentlich nur zu erklären, dass es keine gute Idee ist, irgendwelche Server ungeschützt per Portweiterleitung ins Internet zu stellen, damit man selbst von außen darauf zugreifen kann.
Das können dann nämlich auch andere.

Es gibt aber andere Möglichkeiten, wie man den Zugriff von außen realisieren kann, welche sicherer sind.
Da wäre z.B. ein Reverse Proxy eine Möglichkeit. Hier wird das recht gut erklärt.

Das VPN ist eine andere Sicherheitslösung.
Mit einem VPN verbindet man entweder 2 getrennte Netzwerke über das Internet miteinander (LAN-LAN-VPN) oder ermöglicht Clients den Zugriff auf das eigene Netzwerk (Client-VPN, Einwahl-VPN).
Wenn man dabei die ein paar Sicherheitsvorgaben berücksichtigt, ist so ein VPN sicher und aktuell sind diese VPN-Varianten (IPSEC-VPN, L2TP-over IPSEC, SSL-VPN, Open-VPN, Wireguard-VPN) in den empfohlenen Konfigurationen nicht knackbar. Das wird sich zukünftig natürlich ändern, siehe PPTP.

Da Fritten schon VPN-Möglichkeiten mitbringen, bietet sich es sich hier an, auch auf den eigenen Emby-Server nur über ein VPN zuzugreifen.

da haben ma geballtes wissen, x meinungen und - zumindest wenn's ihr 2 so weiter machts - wenig hilfe für die noobs unter uns.

und so aus sicht des 15% wissenden, der das nicht beruflich macht:

ihr streitets weit an der praxis vorbei.
ich gehe nämlich frech davon aus, dass lieschen modermöse weniger angst vor hackern haben muss, weil die wenig interesse an ihren 2 stk. 150kg nacktbildern haben werden und sicher auch schon alle 20 pornofilmchen selber irgendwo gesaugt haben werden.
mehr angst sollte unser lieschen vor bösen links in emails haben, die ihr der freundliche prinz aus zamunda zukommen lässt.
vpn für alle wäre geil. dann aber bitte einfach, damit sich unser geneigtes lieschen auch selbst ein wenig helfen kann ... weil der onkel ratti hat vor einem angst: dem frei laufenden scriptkiddy. weil wenn der mit seinem 0,5% wissen und dem bösen baukasten auf den rechner kommt, dann bleibt kein stein auf dem anderen.
will in dem fall heißen: schon mal probiert mit windoof auf das originale vpn der fritte zuzugreifen. also ich will das niemanden erklären müssen. das tool, dass du dafür brauchst wird nicht seit jahren schon nicht weiter entwickelt, weils so gut is, sondern weils keiner mehr verwenden will ... außer der onkel fritz ...

Zitat von the ratman

ich gehe nämlich frech davon aus, dass lieschen modermöse weniger angst vor hackern haben muss, weil die wenig interesse an ihren 2 stk. 150kg nacktbildern haben werden und sicher auch schon alle 20 pornofilmchen selber irgendwo gesaugt haben werden.

Du darfst nicht von dir auf andere schließen.

Ene verschlüsselte Dissertation / Meisterarbeit + gelöschtes Backup (da auf dem NAS, welches die Hacker gleich mit formatiert haben, sind kein Pappenstiel und manchen 4-stellige Beträge wert.
Auch suchen Hacker gezielt nach Zugangsdaten auf den Geräten der Opfer.
Kannst du gern Kleinreden.

Zitat von the ratman

will in dem fall heißen: schon mal probiert mit windoof auf das originale vpn der fritte zuzugreifen

Mit Windows konnte man noch nie ohne Fremdsoftware ein VPN zu einer Fritzbox aufbauen, da der native VPN-Client von Windows kein IKEv1 VPN unterstützt.
Als VPN-Clienten kommen viele in Betracht. Da wären der Fritz Fernzugang und der Shrew-Soft-VPN-Client als kostenlose Lösungen. Es gibt aber auch teure Lösungen, die eher für das Business vorgesehen sind.
In Linux, Android oder ios kannst du nativ via IKEv1 ein VPN zu einer Gegenstelle aufbauen, benötigst also keinen extra Client.

Es gibt aber auch viele andere Lösungen, bspw. Open-VPN oder Wireguard, etc.

Zitat von the ratman

das tool, dass du dafür brauchst wird nicht seit jahren schon nicht weiter entwickelt, weils so gut is, sondern weils keiner mehr verwenden will ... außer der onkel fritz ...

Das der Shrew-Client nicht weiter entwickelt wird, hat nicht zu bedeuten, dass er unsicher ist oder dass ihn keiner mehr nutzt.
Das IKEv1-Protokoll wird auch nicht weiterentwickelt.
Du kannst mit diesem Client auch heute noch sichere VPN-Verbindungen zu sehr vielen VPN-Gegenstellen aufbauen.
Ich habe schon unzählige VPNs von Shrew zu anderen Gegenstellen eingerichtet.

Zitat von taker-`

Zum Verständnis...Ich müsste einen VPN-Server auf dem NAS aufsetzen. Wenn dieser eingerichtet ist, stellt der praktisch meinen "Zugang" da? So weit, so gut. Aber ich hab es immer noch nicht kapiert, wie ich dann z.B. mit einem FireTV Stick dann von außerhalb über VPN da dann verbinden kann. Oder von jedem beliebigen Gerät. Da brauche ich dann trotzdem immer eine Client-Software auf dem Gerät, oder nicht? Egal ob FireTV, PC, Laptop, Chromebook, Handy, Tablet usw.?

Ja, genau so wäre die Vorgehensweise.
Du leitest die für die jeweilige VPN-Lösung benötigten Ports von der Fritzbox auf deine Synology weiter wo du dann einen VPN-Server installierst.
Das macht aus u.a. schon Performancegründen gegenüber der in der Fritzbox integrierten VPN-Funktion Sinn.

Du brauchst dann eine VPN-Anbindung von jedem Endgerät von dem du von extern dann auf dein Netz zugreifen willst. Entweder über eine evtl. nativ ins jeweilige OS eingebaute Funktion, oder einen entsprechenden VPN-Client.

Wenn das für dein Szenario zu umständlich, oder einfach nicht praktikabel ist, wäre die empfohlene Alternative die Variante mit dem Reverse-Proxy.

Moin

Zitat von psychofaktory

Ja, genau so wäre die Vorgehensweise.
Du leitest die für die jeweilige VPN-Lösung benötigten Ports von der Fritzbox auf deine Synology weiter wo du dann einen VPN-Server installierst.
Das macht aus u.a. schon Performancegründen gegenüber der in der Fritzbox integrierten VPN-Funktion Sinn.

Ports auf ein NAS weiterzuleiten, um dieses ins Internet zustellen, macht sicherheitstechnischh keinen richtigen Sinn.
Gerade, weil es in den letzten Jahren Unmengen an Sicherheitslücken bei QNAP bzw. Synology gab, sollte man darauf doch eher verzichten.
Es ist immer ratsam, den Endpunkt (hier deinen Router) als VPN-Server zu nutzen. Vor allem, wenn dieser wie deine Fritzbox das auch noch untertützt.

Zitat von taker-`

Ich habe eine Fritz.Box 6591 Cable (Vodafone Kabel Deutschland 1Gbit Ineternet).

Du hast einen Kabelanschluss bei Vodafone KDG. Hier solltest du zuerst mal schauen, ob es sich um einen DS Lite Anschluss handelt. Dieser macht es nämlich unmöglich, sich von außen auf dein Netzwerk einzuwählen, weil du keine öffentliche IP-Adresse bekommst sondern via Carrier Grade NAT im Internet surfst.
Sollte das der Fall sein, musst du dich an Vodafone wenden und sie bitten, dir einen DUAL-Stack Anschluss zu geben.
Wenn du einen Business-Vertrag hast (so wie ich), dann kannst du die Option feste IP-Adresse dazubuchen und dann kannst du dir DynDNS sogar schenken.

Zitat von taker-`

Oder von jedem beliebigen Gerät. Da brauche ich dann trotzdem immer eine Client-Software auf dem Gerät, oder nicht? Egal ob FireTV, PC, Laptop, Chromebook, Handy, Tablet usw.?

Du brauchst nicht auf jedem Client ein VPN-Software.
Manche bringen diese von Haus aus mit, wie bspw. Android oder ios.
VPN zur FRITZ!Box unter Android einrichten
Windows eigentlich auch, jedoch nicht mit IKEv1, was deine Fritte macht. Hier nimmt man entweder den Fritz Fernzugang oder besser noch, den auch kostenlosen Shrew Soft VPN-Client.
VPN zur FRITZ!Box mit Shrew Soft VPN Client einrichten
Beim FireTV kann ich (noch) nicht helfen. Gibt es aber sicher auch Lösungen für.
Vielleicht teste ich das in naher Zukunft mal.

Du kannst auch 2 Netzwerke verbinden (LAN-LAN). Das wäre z.B. sinnvoll, wenn du eine Ferienwohnung mit festem Internetanschluss hast oder dich mit einem Freund/Verwandten verbinden willst.

Zitat von goscho

Ports auf ein NAS weiterzuleiten, um dieses ins Internet zustellen, macht sicherheitstechnischh keinen richtigen Sinn.

Ich sprach ausschließlich von den VPN-Ports.
Der Angriffsvektor ist hier nicht größer als bei der im Router integrierten VPN-Lösung. Sicherlich jedoch die Performance.

Sicherheitslücken gab wohl schon bei so ziemlich allen Herstellern. Auch AVM. Da ist dann wohl eher die Frage wie schnell ein Hersteller reagiert und wie viel Vertrauen einem Hersteller persönlich geschenkt wird.

NordVPN ist ein Anbieter um dein Internet über andere Server laufen zu lassen bzgl. Anonymität etc. Das willst du ja nicht.
In deinem Fall wirst du mit deinem VPN auf der Syno dein eigener Anbieter und erstellst dir sozusagen Einwahlprofile.

Setz doch erst einmal nen VPN Server auf und dann kann man weiter machen.