NAS benaderen buiten thuisnetwerk met VPN/port forwarding

Dag @Milan101 Heb je hier al wat meer informatie over kunnen inwinnen? Hier op het KPn Forum zijn veel mensen actief die hier het een en ander van weten. Ik kijk heel voorzichtig @wjb  even aan? 

Dag @Bart_ 

Bedankt voor je reactie!

Ik heb al een beetje rondgekeken op het forum maar ik kon er nog niet helemaal uitkomen. Heb al wel een paar dingetjes geprobeerd maar die werken helaas nog niet. 
Mocht jij, @wjb of iemand anders een idee hebben hoe ik dit (het beste) kan doen zou dat heel fijn zijn. 
 

Gr, 

Milan101

Wat heeft u zelf geprobeerd? 

Ik ken  Openmediavault niet, maar zie dat het op Debian Linux gebaseerd is. Dan biedt zich OpenVPN aan als VPN, maar dat staat voor zover ik kan zien niet in hun software/plugin lijst. Ook geen andereVPN's. 

 SSH/SFTP met bijv.  FileZilla als client is een mogelijkheid om bestanden te benaderen, maar wees hier uiterst voorzichtig mee. Als Openmediavault geen mogelijkheid biedt om SSH uitsluitend  via "authentication keys"  te benaderen, dan niet doen, anders is het risico op hackers die binnenkomen groot. Routerconfiguratie voor SSH/SFTP is eenvoudig, TCP poort 22 openzetten, maar bij voorkeur een andere poort kiezen.

Welke poorten worden door OpenMediaVault gebruikt om deze bereikbaar te maken?

Staan die poorten op de OMV server inkomend open?

Is de beveiliging op orde want je stelt wel gegevens open voor toegangs vanaf Internet.

Plaats eens screenshots van de instellingen die je op de Experia/KPN Box doorgevoerd hebt.

Volgens deze handleiding wel:

https://ameridroid.com/blogs/ameriblogs/setting-up-openmediavault-remote-access-with-openvp

Ik moet eerlijk zeggen dat ik totaal geen ervaring heb van port forwarding en ik niet precies weet welke ip adressen en poorten ik moet gebruiken. 
 

Ik heb wel een paar pogingen gewaagd om wat poorten open te zetten maar dan kom ik nog niet bij mijn nas. 
Wat is een veiligere optie? Port forward of OpenVPN? 
 

Beide. Om openvpn te kunnen gebruiken moet je een poort forwarden. Dat ziet er zo uit:

Alleen dat ene regeltje waar OpenVPN staat is van toepassing. Verder heb ik nog poort 80 en 443 open staan naar een webserver. Dat staat hier los van. Transmission is een torrent cliënt, deze regel staat momenteel uitgeschakeld. De rest in dit lijstje is bullshit van KPN.

@Nick83 moet ik dan als internal host het IP adres waarmee ik de Nas binnen mij netwerk benader gebruiken?

@Nick83 Ik heb de laatste versie even in een VM gezet, maar zie die OMV-extras niet en zie OpenVPN niet, maar ik neem aan dat de beschrijving klopt. SSH biedt de mogelijkheid om password authenticatie uit te zetten en de poort te veranderen, maar hoe je de client sleutels via de webinterface moet invoeren is me (nog) niet duidelijk. Verder is het Debian Linux en is OpenVPN installeren geen enkel probleem, maar je bent dan helemaal op de commandoregel aangewezen om certificaten te genereren en OpenVPN te configureren. LT2P/IPsec (geen extra software nodig in Windows client) moet dan ook lukken, maar dit is allemaal werk voor kenners.

Wat de veiligere optie is: Met alleen port forward liggen je gegevens op straat, SSH met sleutels is veiliger, OpenVPN met certificaten het veiligst mits goed geconfigureerd. 

@hmmsjan_2 

Ik moet zeggen dat ik geen verstand van Linux commando’s heb, ben nog nieuw met dit allemaal. 
Kan ik de handleiding van @Nick83 volgen en heb ik dan een “veilige” manier van een NAS op afstand benaderen of moet ik wel een certificaat genereren? 

@Milan101 , je NAS zal extern te benaderen zijn als je de demilitarized zone (DMZ) geconfigureerd hebt.

DMZ op de Experiabox zorgt er voor dat de router het inkomende verkeer routeert naar een enkel IP adres op het lokale netwerk. De DMZ implementatie betreft alleen TCP en UDP, waarbij de Experiabox ook nog eens niet alle poorten doorzet.

Zie hieronder een screenshot van de DMZ instellingen in een Experiabox v10A. Onderstaande instellingen zijn nagenoeg hetzelfde op de experiabox v10, v10A en de Box12.

@JuPhJe is dat ook een veilige optie, of kan dan iedereen zo bij mijn Nas bestanden?

Een nas nooit als dmz configureren. Dmz is alleen voor een 2de router. Verder nergens voor.

@Milan101 , het is een prima oplossing die vanuit je Experiabox wordt aangeboden. Het gebruik van DMZ wordt dan ook door KPN ondersteund.

Ik zie hier 2 verschillende dingen van @JuPhJe en @Nick83. 
Dus wie van jullie moet ik nu volgen? 
 

Is openVPN ook nog een goede optie voor mij als beginner of wordt dat te lastig of teveel uitzoeken?

Als het goed is heeft je NAS een (goede) firewall. Daarnaast is inlog (evt 2FA) aanwezig.

Ik ga er vanuit dat je uiteraard geen onbeveiligd apparaat extern toegankelijk maakt. DMZ wordt zeker niet alleen gebruikt voor een 2e router.

Misschien de moeite waard om te lezen: https://www.nas-expert.be/kb/quickconnect-port-forwarding-dmz/

@JuPhJe kan dit ook bij een OpenMediaVault NAS? Aangezien ik zie dat deze handleiding voor een Synology NAS Server is 

DMZ is geen specifiek Synology functionaliteit.

Hier op het KPN forum is veel te vinden over DMZ: https://forum.kpn.com/search?q=DMZ

Zelf ben ik onbekend met openmediavault. Als ik online zoek lees ik iets over openmediavault-firewall. Zoals ik vermoede kan je hier de firewall regels nalopen/ instellen.

Ik vrees bij deze NAS software dat er snel een email van abuse@kpn.com komt als DMZ wordt ingeschakeld, met als dreigement de internetverbinding af te sluiten.  Nooit doen!

@Milan101 , het lijkt mij goed om een KPN moderator ook om advies te vragen.

Firewall is er, maar staat default open. Mijn advies: zonder gedegen kennis van het systeem niet gaan experimenteren met toegang van buiten.

Dit standpunt deel ik.

Maar met gezond verstand kom je ook een eind.