YouTube - c't 3003: Homeserver von außen erreichbar machen!

    Hi!

    Ein wirklich sehr interessantes und sehenswertes Video für alle, die mit dem Gedanken spielen, ihren Homeserver von extern erreichbar zu machen.

    Homeserver von außen erreichbar machen!

    FRITZ!Box 5590 Fiber | UniFi Express 7 | 2,5-GBit-LAN & Wi-Fi 7
    DXP2800 - 1TB Crucial P310 NVMe RAID1 - 2TB Crucial MX500 SSD RAID1 - 16 GB Crucial CT16G56C46S5 (5600Mhz)
    DS224+ 3TB WD Red HDD RAID1 18GB Ram | DS124 1TB Samsung 870 EVO SSD
    Linux Mint | Ubuntu-Server | Windows | iOS | iPadOS
    UGREEN.FORUM/Filebase | Synology-forum/Add-ons | GitHub.com/toafez

    Man sollte genau abwägen ob und was man nach außen öffnet. Ich bleibe hinter einem VPN und werde nur kurzeitig wenn benötigt Dienste öffnen.

    Grüße Sven

    Geräteinformationen

    DXP6800 Pro | 2x Crucial 32GB DDR-5 5600MHz CT2K32G56C46S5 | 6x 4 TB WD Red Pro WD4005FFBX | 2x 500GB NVMe Samsung 970 EVO Plus

    Dann können wir zwei uns ja die Hände schütteln, denn genauso handhabe ich das auch. In meinem Netzwerk läuft zwar ein Nginx Proxy Manager, dieser befindet sich aber in einer DMZ um dort eine kleine Auswahl an Diensten entsprechend weiterzuleiten, ohne dabei Zugriff auf mein eigentliches Subnetz zu haben.

    FRITZ!Box 5590 Fiber | UniFi Express 7 | 2,5-GBit-LAN & Wi-Fi 7
    DXP2800 - 1TB Crucial P310 NVMe RAID1 - 2TB Crucial MX500 SSD RAID1 - 16 GB Crucial CT16G56C46S5 (5600Mhz)
    DS224+ 3TB WD Red HDD RAID1 18GB Ram | DS124 1TB Samsung 870 EVO SSD
    Linux Mint | Ubuntu-Server | Windows | iOS | iPadOS
    UGREEN.FORUM/Filebase | Synology-forum/Add-ons | GitHub.com/toafez

    Ich habe die Dienste für externe Zugriffe auf der DS920+ einfach deaktiviert und die Ports im Router sind geschlossen. Wenn ich wirklich mal etwas teilen will, wird eben QuickConnect aktiviert und der Port im Router geöffnet. Aber das mit dem Subnetz ist eigentlich eine gute Idee. Hier könnte man ja den zweiten LAN-Port an der NAS nutzen. :/

    Das werde ich mal auf meine Liste nehmen für die neu NAS. :thumbup:

    Grüße Sven

    Geräteinformationen

    DXP6800 Pro | 2x Crucial 32GB DDR-5 5600MHz CT2K32G56C46S5 | 6x 4 TB WD Red Pro WD4005FFBX | 2x 500GB NVMe Samsung 970 EVO Plus

    Quote from Stinkfrucht

    ...QuickConnect aktiviert und der Port im Router geöffnet...

    QuickConnect benötigt keine geöffnete Ports im Router, da hier die Verbindung von innen heraus über einen externen Vermittlungsserver aufgebaut und gehalten wird. Alle eingehenden Anfragen laufen dann über diesen externen Vermittlungsserver und da die Verbindung bereits "established" ist, gehen die Anfragen durch. Das ist das, was in dem Video kurz ab Minute 9 über Tailscale und "UDP Hole Punshing" erwähnt wird.

    Quote from Stinkfrucht

    Aber das mit dem Subnetz ist eigentlich eine gute Idee. Hier könnte man ja den zweiten LAN-Port an der NAS nutzen.

    Jaaaaaaa... kann man machen... wobei ich persönlich nicht viel davon halte, da hier immer noch auf ein und dieselbe Maschine zugegriffen wird. Je nachdem, welcher Service kompromittiert wurde und wie gut der Angreifer (oder Bot) seine Sache macht, spielen unterschiedliche Subnetze dann auch keine Rolle mehr. Trotzdem wäre es eine Möglichkeit und die eingebaute Firewall von UGOS Pro hilft dabei natürlich ungemein, wenn sie entsprechend gut konfiguriert wurde.

    Bei mir werden insgesamt 3 Subnetze durch die pfSense Firewall bereitgestellt, die man durch entsprechende Regeln entweder miteinander oder auch nur einseitig kommunizieren lassen kann, oder vollständig voneinander trennt. Vor der pfSense befindet sich noch mein Fritzbox Subnetz (192.168.178.0/24), welches mir als DMZ dient, auch wenn hier jetzt sicherlich wieder einige den Finger heben, da die DMZ eigentlich "hinter" die pfSense, in einem entsprechenden Subnetz liegen sollte. Diese Diskussion möchte ich an dieser Stelle aber nicht weiterführen wollen. Jedenfalls befindet sich in diesem Fritzbox Subnetz ein Nginx Proxy Manager der eingehenden Anfragen aus dem Internet entweder direkt ins Fritzbox Subnetz (also meine DMZ weiterleitet) oder bei Bedarf in ein Subnetz "hinter" der pfSense.

    In der Fritzbox selbst werden demnach nur zwei bzw. drei Ports weitergeleitet. Einmal Port 80/443 (wobei Port 80 i.d.R. ebenfalls zu ist) und einen Port für OpenVPN, der an die pfSense weiterleitet wird und worüber meine eigentliche Kommunikation von extern läuft.

    FRITZ!Box 5590 Fiber | UniFi Express 7 | 2,5-GBit-LAN & Wi-Fi 7
    DXP2800 - 1TB Crucial P310 NVMe RAID1 - 2TB Crucial MX500 SSD RAID1 - 16 GB Crucial CT16G56C46S5 (5600Mhz)
    DS224+ 3TB WD Red HDD RAID1 18GB Ram | DS124 1TB Samsung 870 EVO SSD
    Linux Mint | Ubuntu-Server | Windows | iOS | iPadOS
    UGREEN.FORUM/Filebase | Synology-forum/Add-ons | GitHub.com/toafez

    Quote from Tommes

    QuickConnect benötigt keine geöffnete Ports im Router

    Ok, dann kann ich mir den Schritt sparen und brauche die Ports nicht mehr öffnen und aktivier bei Bedarf einfach nur QuickConnect. Wo bei ich in Zukunft erst mal schauen muss wie ich das mit der Ugreen mache, wenn ich mal etwas freigeben muss.

    Ich habe übrigens ein UniFi Netzwerk und habe mir über pfSense und co noch nie wirklich Gedanken gemacht.

    Grüße Sven

    Geräteinformationen

    DXP6800 Pro | 2x Crucial 32GB DDR-5 5600MHz CT2K32G56C46S5 | 6x 4 TB WD Red Pro WD4005FFBX | 2x 500GB NVMe Samsung 970 EVO Plus

    Bei UGREEN heißt dieser Dienst UGREENLink. Du kannst den Dienst in UGOS Pro unter Meine Apps > Systemsteuerung > Geräteverbindung in der Registrierkarte Remotezugriff aktivieren, indem du den Haken bei UGREENLink Remotezugriff setzt.

    Ich würde jedoch von Diensten wie QuickConnect oder UGREENLink abraten und stattdessen bestenfalls VPN nutzen. Falls es dann doch unbedingt eine Portfreigabe im Router sein muss, würde ich das ganze zumindest in Kombination mit z.B. dem Nginx Proxy Manager betreiben. Aber das muss jeder für sich abwägen und entscheiden.

    Quote from Stinkfrucht

    Ich habe übrigens ein UniFi Netzwerk...

    ... worüber ich mir noch nie wirklich Gedanken gemacht habe.;)

    FRITZ!Box 5590 Fiber | UniFi Express 7 | 2,5-GBit-LAN & Wi-Fi 7
    DXP2800 - 1TB Crucial P310 NVMe RAID1 - 2TB Crucial MX500 SSD RAID1 - 16 GB Crucial CT16G56C46S5 (5600Mhz)
    DS224+ 3TB WD Red HDD RAID1 18GB Ram | DS124 1TB Samsung 870 EVO SSD
    Linux Mint | Ubuntu-Server | Windows | iOS | iPadOS
    UGREEN.FORUM/Filebase | Synology-forum/Add-ons | GitHub.com/toafez

    Wie ich schon geschrieben habe läuft alles grundlegend über VPN. Es kommt aber mal vor das man z.B. Bilder von einem gemeinsamen Ausflug teilen möchte. Da ist es halt schön einfach den Dienst zu nutzten und einen Link mit Passwort zu verschicken. Dann kann sich jeder die Bilder anschauen und entsprechende Bilder runter laden. Danach wird der Dienst wieder deaktiviert. Aber was soll ich dir sagen...

    Ich werde mir aber auf jeden Fall Gedanken machen, wie ich das in Zunkunft handhaben werde. Ich möchte auf jeden Fall Herr über meine Daten bleiben, die wissen eh schon mehr als genug über uns!

    Grüße Sven

    Geräteinformationen

    DXP6800 Pro | 2x Crucial 32GB DDR-5 5600MHz CT2K32G56C46S5 | 6x 4 TB WD Red Pro WD4005FFBX | 2x 500GB NVMe Samsung 970 EVO Plus

    Quote from montragon

    Moin zusammen, ich experimentiere in diesem Zusammenhang gerade mit Pangolin.

    Dafür braucht man allerdings, zB bei Ionos, einen kleinen VServer (1€ pro Monat) Das funktioniert, bis jetzt hervorragend.

    Nachteil ist, dass du den VServer ebenfalls verwalten musst. Updates, etc.

Participate now!

Join our community with over 10,000 members!

Register yourself now for free to get full access to all content, graphics, downloads and other exclusive features!

Register Yourself Login