DDNS - myfritz oder doch einen anderen Anbieter?

  • Ich möchte zum Thema Sicherheit noch was loswerden.
    Wenn es wirklich nur um Emby geht, sehe ich das eher nicht so wild, denn in Emby selber kann man einstellen, wie viele Loginversuche man machen darf. Und wenn das immer noch nicht reichen sollte, werfe ich mal den Begriff "fail2ban" in den Raum. Eigentlich sollte das ausreichend genug sein.

  • wie aktuell muss den die fritte sein? auf meiner 7590 (alles original) find ich nicht wirklich was zu 'nem openvpn-server in der fritten-hilfe, wäre aber sehr interessiert.

    Fritte 7590 samt Beta und sehe auch kein vpn....

    Nutze aber selbst ddnss.de und habe keine Probleme mehr.....

    Nutze jellyfin und mittels letsencrypt.....per ssl Verbindung.....

    Nur ich kenne ja die Adresse......zur Not wenn einer draufkommt muss er sich ja einloggen......

  • Mahlzeit,

    an einem VPN sollte kein Weg vorbeigehen.
    Das IKEv1 VPN der Fritte ist sicher. Allerdings ist es bei vielen älteren Fritten nicht wirklich performant. Das liegt an den billigen Chips in den Fritz-Boxen.
    Ob und wieviel performanter Wireguard-VPN in Fritzboxen ist, kann ich nicht beurteilen.
    Das ist allerdings nicht auf allen Fritten nutzbar, ähnlich wie OpenVPN.

    Allen, die hier einen Emby-Server ohne ausreichenden Schutz von außen erreichbar machen (über simple Portweiterleitung vom Router), möchte ich folgendes sagen:

    Ihr spielt Russisch Roulette mit euren Daten.
    Wenn ein Eindringling erstmal Zugriff auf ein Gerät (hier: den Emby-Server) in einem LAN hat, wird er versuchen, auch auf andere Geräte zu kommen.
    Das sind dann bspw. Windows-PCs oder -Server sowie NAS. Anschließend werden alle Daten verschlüsselt und Lösegeld verlangt.

    Nur ich kenne ja die Adresse......zur Not wenn einer draufkommt muss er sich ja einloggen......

    Deine Dyn-DNS-Adresse ist nicht relevant. Deine öffentliche IP-Adresse wird bei Scans nach offenen Ports auch gefunden.
    Dann werden Sicherheitslücken ausgenutzt, so welche existieren. Ein Login wird dadurch nicht benötigt.

  • Ein VPN Zugang kann aber ebenso geknackt werden. Sicher nicht so einfach und so schnell. Aber für einen richtigen Hacker, kein Scriptkiddie, sicher auch keine gro0e Hürde.

    Das ist absoluter Unsinn und zeugt davon, dass du davon recht wenig bis gar nix weißt.

    Wenn du mit einer Fritzbox ein IKEv1 VPN einrichtest und einen sicheren PSK (Prey Shared Key, mindestens 14 Stellen) verwendest, ist es bis dato nicht knackbar.
    Knackbar heißt, dass jemand den Datenverkehr mitschneidet und sich darüber Zugriff verschafft.
    Ebenso sieht es mit OpenVPN und Wireguard aus.

  • Das ist absoluter Unsinn und zeugt davon, dass du davon recht wenig bis gar nix weißt.

    Das ist so sogar gar nicht sooo falsch. Dennoch habe ich sicher mehr Ahnung als viele andere hier.
    Auch des Lesens bin ich mächtig. Und würde mir sogar die Mühe machen, dir entsprechende Textstellen und URLs im Internet raussuchen, die dir aufzeigen werden, dass du aber auch nicht so ganz richtig liegst.

    Und ob du es glauben willst oder nicht. Kein Schutz ist zu 100% sicher. Und wer was auf den Kasten hat, kommt auch an die Daten ran, die er haben will.
    Ich behaupte jetzt einfach mal, da gibt es sehr sehr viele Firmen, die tausende von Euro für ihre Sicherheitsstruktur pro Monat ausgeben und trotzdem gehackt werden.
    Wenn so ein simpler Fritzbox VPN das Wundermittel wäre, dann würden sicher keine Firmen so viel Geld ausgeben und dennoch gehackt werden.

  • Das ist so sogar gar nicht sooo falsch. Dennoch habe ich sicher mehr Ahnung als viele andere hier.

    Nö, du hast von diesem Thema keine Ahnung und weniger geht nicht. Sorry, is aber so.

    Auch des Lesens bin ich mächtig. Und würde mir sogar die Mühe machen, dir entsprechende Textstellen und URLs im Internet raussuchen, die dir aufzeigen werden, dass du aber auch nicht so ganz richtig liegst.

    Das ist nicht nötig. Ich beschäftige mich damit beruflich.
    VPNs (zumeist zu Lancom Routern) richte ich bei meinen Kunden fast jede Woche ein und erkläre ihnen auch den Sinn eines solchen.

    Zitat von Piblish3r

    Und ob du es glauben willst oder nicht. Kein Schutz ist zu 100% sicher. Und wer was auf den Kasten hat, kommt auch an die Daten ran, die er haben will.

    Ist ja wieder mal eine glorreiche Aussage, die aber auch so gar nix mit derm Thema zu tun hat.

    Nix ist sicher (außer die Rente - so Nobby Blüm vor 25 Jahren).

    Ich behaupte jetzt einfach mal, da gibt es sehr sehr viele Firmen, die tausende von Euro für ihre Sicherheitsstruktur pro Monat ausgeben und trotzdem gehackt werden.

    Aber nicht, weil das VPN nix taugt, sondern weil irgendwelche Schwachstellen ausgenutzt werden.
    Thema verfehlt!

    Wenn so ein simpler Fritzbox VPN das Wundermittel wäre, dann würden sicher keine Firmen so viel Geld ausgeben und dennoch gehackt werden.

    Fritzboxen sind sehr gute Router für Heimanwender. Die meisten meiner Freunde und Verwandten haben eine Fritzbox als Router.

    Für Firmen sind sie aber eigentlich nicht wirklich geeignet.
    Sie können keine VLANs, die Firewall ist nicht konfigurierbar, VPN-Möglichkeiten sind sehr eingeschränkt, etc.

    Und nochmal zum Mitschreiben nur für dich:

    Die Firmen werden nicht gehackt, weil jemand das VPN geknackt hat, sondern weil es andere Einfallstore gab.
    Wenn du die Technik verstehen würdest, wüsstest du das auch.

    Zum besseren Verständnis:

    Hier ist ein Link zu einem Dokument des BSI zum Thema VPN.
    Ist aber für Laien schwere Kost.
    Beim PPTP-Protokoll (4.4, Seite 55) gehe ich sogar weiter und sage, dass es nicht mehr eingesetzt werden darf, da es unsicher ist.
    Hier steht es genauer beschrieben (Der Artikel ist bereits 10 Jahre alt)

    Zum Schluss:

    Mein Anliegen war eigentlich nur zu erklären, dass es keine gute Idee ist, irgendwelche Server ungeschützt per Portweiterleitung ins Internet zu stellen, damit man selbst von außen darauf zugreifen kann.
    Das können dann nämlich auch andere.

    Es gibt aber andere Möglichkeiten, wie man den Zugriff von außen realisieren kann, welche sicherer sind.
    Da wäre z.B. ein Reverse Proxy eine Möglichkeit. Hier wird das recht gut erklärt.

    Das VPN ist eine andere Sicherheitslösung.
    Mit einem VPN verbindet man entweder 2 getrennte Netzwerke über das Internet miteinander (LAN-LAN-VPN) oder ermöglicht Clients den Zugriff auf das eigene Netzwerk (Client-VPN, Einwahl-VPN).
    Wenn man dabei die ein paar Sicherheitsvorgaben berücksichtigt, ist so ein VPN sicher und aktuell sind diese VPN-Varianten (IPSEC-VPN, L2TP-over IPSEC, SSL-VPN, Open-VPN, Wireguard-VPN) in den empfohlenen Konfigurationen nicht knackbar. Das wird sich zukünftig natürlich ändern, siehe PPTP.

    Da Fritten schon VPN-Möglichkeiten mitbringen, bietet sich es sich hier an, auch auf den eigenen Emby-Server nur über ein VPN zuzugreifen.

  • da haben ma geballtes wissen, x meinungen und - zumindest wenn's ihr 2 so weiter machts - wenig hilfe für die noobs unter uns.

    und so aus sicht des 15% wissenden, der das nicht beruflich macht:

    ihr streitets weit an der praxis vorbei.
    ich gehe nämlich frech davon aus, dass lieschen modermöse weniger angst vor hackern haben muss, weil die wenig interesse an ihren 2 stk. 150kg nacktbildern haben werden und sicher auch schon alle 20 pornofilmchen selber irgendwo gesaugt haben werden.
    mehr angst sollte unser lieschen vor bösen links in emails haben, die ihr der freundliche prinz aus zamunda zukommen lässt.
    vpn für alle wäre geil. dann aber bitte einfach, damit sich unser geneigtes lieschen auch selbst ein wenig helfen kann ... weil der onkel ratti hat vor einem angst: dem frei laufenden scriptkiddy. weil wenn der mit seinem 0,5% wissen und dem bösen baukasten auf den rechner kommt, dann bleibt kein stein auf dem anderen.
    will in dem fall heißen: schon mal probiert mit windoof auf das originale vpn der fritte zuzugreifen. also ich will das niemanden erklären müssen. das tool, dass du dafür brauchst wird nicht seit jahren schon nicht weiter entwickelt, weils so gut is, sondern weils keiner mehr verwenden will ... außer der onkel fritz ...

  • ich gehe nämlich frech davon aus, dass lieschen modermöse weniger angst vor hackern haben muss, weil die wenig interesse an ihren 2 stk. 150kg nacktbildern haben werden und sicher auch schon alle 20 pornofilmchen selber irgendwo gesaugt haben werden.

    Du darfst nicht von dir auf andere schließen.

    Ene verschlüsselte Dissertation / Meisterarbeit + gelöschtes Backup (da auf dem NAS, welches die Hacker gleich mit formatiert haben, sind kein Pappenstiel und manchen 4-stellige Beträge wert.
    Auch suchen Hacker gezielt nach Zugangsdaten auf den Geräten der Opfer.
    Kannst du gern Kleinreden.

    will in dem fall heißen: schon mal probiert mit windoof auf das originale vpn der fritte zuzugreifen

    Mit Windows konnte man noch nie ohne Fremdsoftware ein VPN zu einer Fritzbox aufbauen, da der native VPN-Client von Windows kein IKEv1 VPN unterstützt.
    Als VPN-Clienten kommen viele in Betracht. Da wären der Fritz Fernzugang und der Shrew-Soft-VPN-Client als kostenlose Lösungen. Es gibt aber auch teure Lösungen, die eher für das Business vorgesehen sind.
    In Linux, Android oder ios kannst du nativ via IKEv1 ein VPN zu einer Gegenstelle aufbauen, benötigst also keinen extra Client.

    Es gibt aber auch viele andere Lösungen, bspw. Open-VPN oder Wireguard, etc.

    das tool, dass du dafür brauchst wird nicht seit jahren schon nicht weiter entwickelt, weils so gut is, sondern weils keiner mehr verwenden will ... außer der onkel fritz ...

    Das der Shrew-Client nicht weiter entwickelt wird, hat nicht zu bedeuten, dass er unsicher ist oder dass ihn keiner mehr nutzt.
    Das IKEv1-Protokoll wird auch nicht weiterentwickelt.
    Du kannst mit diesem Client auch heute noch sichere VPN-Verbindungen zu sehr vielen VPN-Gegenstellen aufbauen.
    Ich habe schon unzählige VPNs von Shrew zu anderen Gegenstellen eingerichtet.

  • Hey, sorry für die späte Rückmeldung. War leider etwas verhindert.

    Danke für die vielen Infos und vorschläge. :)


    Ich glaube, ich würde mich für die VPN-Lösung entscheiden wollen. Ich habe eine Fritz.Box 6591 Cable (Vodafone Kabel Deutschland 1Gbit Ineternet). Aber sollte es dennoch nicht auf meinem NAS "besser", oder stabiler laufen, als auf der Fritz.Box?

    Zum Verständnis...Ich müsste einen VPN-Server auf dem NAS aufsetzen. Wenn dieser eingerichtet ist, stellt der praktisch meinen "Zugang" da? So weit, so gut. Aber ich hab es immer noch nicht kapiert, wie ich dann z.B. mit einem FireTV Stick dann von außerhalb über VPN da dann verbinden kann. Oder von jedem beliebigen Gerät. Da brauche ich dann trotzdem immer eine Client-Software auf dem Gerät, oder nicht? Egal ob FireTV, PC, Laptop, Chromebook, Handy, Tablet usw.?


    Das leuchtet mir noch nicht so ein. ^^

    Meine Geräte:
    Wohnzimmer: LG OLED55C17LB mit HDFury Diva Ambilight, Denon AVR-X2500H,AXAS E4HD Ultra DVB-C, NVIDIA ShieldTV Pro (2019), Teufel Ultima MK2 5.1-Set & Atmos Reflect Speaker
    Schlafzimmer: Samsung UE55KU6079, FireTV Stick 4k Max Gen.2, Teufel Cinebar One, Teufel Subwoofer T6
    Zubehör: Logitech Harmony 950 mit Hub, Amazon Alexa (2x Dot Gen.4, 2x Echo Show 5 Gen.2, 1x Echo Show 10 Gen.1), Philips Hue, Google Nest, Playstation 5 & PSVR2, Xbox Series X, Nintendo Switch, Meta Quest 3, PC

  • Zum Verständnis...Ich müsste einen VPN-Server auf dem NAS aufsetzen. Wenn dieser eingerichtet ist, stellt der praktisch meinen "Zugang" da? So weit, so gut. Aber ich hab es immer noch nicht kapiert, wie ich dann z.B. mit einem FireTV Stick dann von außerhalb über VPN da dann verbinden kann. Oder von jedem beliebigen Gerät. Da brauche ich dann trotzdem immer eine Client-Software auf dem Gerät, oder nicht? Egal ob FireTV, PC, Laptop, Chromebook, Handy, Tablet usw.?

    Ja, genau so wäre die Vorgehensweise.
    Du leitest die für die jeweilige VPN-Lösung benötigten Ports von der Fritzbox auf deine Synology weiter wo du dann einen VPN-Server installierst.
    Das macht aus u.a. schon Performancegründen gegenüber der in der Fritzbox integrierten VPN-Funktion Sinn.

    Du brauchst dann eine VPN-Anbindung von jedem Endgerät von dem du von extern dann auf dein Netz zugreifen willst. Entweder über eine evtl. nativ ins jeweilige OS eingebaute Funktion, oder einen entsprechenden VPN-Client.

    Wenn das für dein Szenario zu umständlich, oder einfach nicht praktikabel ist, wäre die empfohlene Alternative die Variante mit dem Reverse-Proxy.

  • Moin

    Ja, genau so wäre die Vorgehensweise.
    Du leitest die für die jeweilige VPN-Lösung benötigten Ports von der Fritzbox auf deine Synology weiter wo du dann einen VPN-Server installierst.
    Das macht aus u.a. schon Performancegründen gegenüber der in der Fritzbox integrierten VPN-Funktion Sinn.

    Ports auf ein NAS weiterzuleiten, um dieses ins Internet zustellen, macht sicherheitstechnischh keinen richtigen Sinn.
    Gerade, weil es in den letzten Jahren Unmengen an Sicherheitslücken bei QNAP bzw. Synology gab, sollte man darauf doch eher verzichten.
    Es ist immer ratsam, den Endpunkt (hier deinen Router) als VPN-Server zu nutzen. Vor allem, wenn dieser wie deine Fritzbox das auch noch untertützt.

    Zitat von taker-`

    Ich habe eine Fritz.Box 6591 Cable (Vodafone Kabel Deutschland 1Gbit Ineternet).


    Du hast einen Kabelanschluss bei Vodafone KDG. Hier solltest du zuerst mal schauen, ob es sich um einen DS Lite Anschluss handelt. Dieser macht es nämlich unmöglich, sich von außen auf dein Netzwerk einzuwählen, weil du keine öffentliche IP-Adresse bekommst sondern via Carrier Grade NAT im Internet surfst.
    Sollte das der Fall sein, musst du dich an Vodafone wenden und sie bitten, dir einen DUAL-Stack Anschluss zu geben.
    Wenn du einen Business-Vertrag hast (so wie ich), dann kannst du die Option feste IP-Adresse dazubuchen und dann kannst du dir DynDNS sogar schenken.

    Oder von jedem beliebigen Gerät. Da brauche ich dann trotzdem immer eine Client-Software auf dem Gerät, oder nicht? Egal ob FireTV, PC, Laptop, Chromebook, Handy, Tablet usw.?

    Du brauchst nicht auf jedem Client ein VPN-Software.
    Manche bringen diese von Haus aus mit, wie bspw. Android oder ios.
    VPN zur FRITZ!Box unter Android einrichten
    Windows eigentlich auch, jedoch nicht mit IKEv1, was deine Fritte macht. Hier nimmt man entweder den Fritz Fernzugang oder besser noch, den auch kostenlosen Shrew Soft VPN-Client.
    VPN zur FRITZ!Box mit Shrew Soft VPN Client einrichten
    Beim FireTV kann ich (noch) nicht helfen. Gibt es aber sicher auch Lösungen für.
    Vielleicht teste ich das in naher Zukunft mal.

    Du kannst auch 2 Netzwerke verbinden (LAN-LAN). Das wäre z.B. sinnvoll, wenn du eine Ferienwohnung mit festem Internetanschluss hast oder dich mit einem Freund/Verwandten verbinden willst.

  • Ports auf ein NAS weiterzuleiten, um dieses ins Internet zustellen, macht sicherheitstechnischh keinen richtigen Sinn.

    Ich sprach ausschließlich von den VPN-Ports.
    Der Angriffsvektor ist hier nicht größer als bei der im Router integrierten VPN-Lösung. Sicherlich jedoch die Performance.

    Sicherheitslücken gab wohl schon bei so ziemlich allen Herstellern. Auch AVM. Da ist dann wohl eher die Frage wie schnell ein Hersteller reagiert und wie viel Vertrauen einem Hersteller persönlich geschenkt wird.

  • Also ich würde dann eben bei der Lösung mit VPN-Server auf der Syno bleiben. Ich denke, sicher ist es nie, egal was man macht. Wer will, der kommt an Daten. Man sollte es aber dennoch nicht zu leicht machen. ;)

    Also Dualstack habe ich. Hatte vor Jahren mal angerufen und gesagt, ich brauche/möchte eine öffentliche IPv4-Adresse, da ich sonst von außerhalb nicht auf meine HomeMatic-Anlage komme. Schon war das Thema gegessen. :D


    --> Habe auf meinem NAS die DSM v7.x - Ein Tutorial werde ich mir mal durchlesen, damit ich weis, wie ich das alles einzustellen hab. Da gibt es wohl verschiedene Verschlüsselungen usw.

    Was mir nun immer noch nicht so klar ist...

    Die Clienten, wie genau geht man da vor? Sagen wir ich nutze einen PC mit Windows 10 aufwärts...das hat wohl standardmäßig einen VPN-Client dabei. Das ist kein Thema.
    Genauso an meinem Tablet, oder Smartphone. Beide sind neue(re) Androiden und die haben auch eine VPN-Funktion.
    Aber der FireTV-Stick...da muss man dann eine VPN-Client-App installieren? Und über diese dann die Verbindung herstellen? Das ist mir noch unklar. ^^


    Lg taker-`


    //edit: Kann man da IRGENDEINE App als Client nehmen? Das ist mir echt unklar. :D - Wenn ich mir z.B. VPN kaufen würde, sagen wir von NordVPN, dann haben die ja ihren eigenen Client. Aber geht dieser dann auch mit MEINEM eigenen Server?!

    Meine Geräte:
    Wohnzimmer: LG OLED55C17LB mit HDFury Diva Ambilight, Denon AVR-X2500H,AXAS E4HD Ultra DVB-C, NVIDIA ShieldTV Pro (2019), Teufel Ultima MK2 5.1-Set & Atmos Reflect Speaker
    Schlafzimmer: Samsung UE55KU6079, FireTV Stick 4k Max Gen.2, Teufel Cinebar One, Teufel Subwoofer T6
    Zubehör: Logitech Harmony 950 mit Hub, Amazon Alexa (2x Dot Gen.4, 2x Echo Show 5 Gen.2, 1x Echo Show 10 Gen.1), Philips Hue, Google Nest, Playstation 5 & PSVR2, Xbox Series X, Nintendo Switch, Meta Quest 3, PC

  • NordVPN ist ein Anbieter um dein Internet über andere Server laufen zu lassen bzgl. Anonymität etc. Das willst du ja nicht.
    In deinem Fall wirst du mit deinem VPN auf der Syno dein eigener Anbieter und erstellst dir sozusagen Einwahlprofile.

    Setz doch erst einmal nen VPN Server auf und dann kann man weiter machen.

    NAS: Gehäuse: Jonsbo G3, Mainboard: MSI B460M PRO, CPU: Intel Pentium G6400, OS: OMV 6

    Client: NVIDIA Shield Pro 2019

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!