Portfreigaben, ReverseProxy und die Sicherheit…

[Dr_Seltsam]

Servus zusammen,

hoch motiviert habe ich nach der Anleitung <Link> von „MariusHosting“, Vaultwarden als Passwortmanager eingerichtet. Reverse Proxy und Portainer sind absolutes Neuland für mich. Also hab ich ohne Nachzudenken, die sehr gut dokumentierte Anleitung 1:1 umgesetzt. Funktioniert auch alles super!
Bei dem Punkt mit den Portfreigaben (80, 443, 5001) habe ich kurz inne gehalten… Schlußendlich hab ich’s dann aber doch gemacht. Funktion ging hier zunächst vor Sicherheit. Ganz wohl ist mir bei der Sache dennoch nicht!
Ich frag jetzt mal ganz doof und laienhaft:
- Ist das sicher? / Geht’s sicherer?
- Kann das ganze Portainer-Konstrukt auch über VPN laufen?
Um von extern auf meine DS zuzugreifen nutze ich Wireguard auf der FritzBox und ich hätte auch kein Problem damit, mich mit dem VPN zu verbinden, falls ich an meine Passwörter muss.
- Und "last but not least": Bin ich einfach zu paranoid?

Sorry für die vielleicht dummen Fragen. Ich weiß, ich muss mich in die einzelnen Themen noch einarbeiten. Also seid bitte gnädig
Grundsätzlich ist mir Sicherheit wichtiger, als Benutzerfreundlichkeit!

 

[wegomyway]

dumme Fragen gibt es nicht.
Wireguard-VPN ist sicher. Noch sicherer ? Geht bestimmt, aber wenn Wireguard vorhanden und nutzen warum in die Ferne schweifen (hab das auch in Nutzung) ? Auf jedem der mobilen Geräte ist das eingerichtet. Sitz ich auf Malle (Mai) oder Kroatien (August) Schalter umlegen VPN ist aktiv und das drumrumbist egal. Tunnel nach @Home-Fritte. Das teilweise gleichzeitig bei 3 Leuten die da gleichzeitig VPN nutzen.
Portainer läuft bei mir über VPN, geht.
Paranoid ... nö ... man will nur eine gewisse Sicherheit haben für das was liebundwichtig ist.
PS: MariusHosting wird sehr häufig hier erwähnt.

 

[Benie]

Den :5001 Port solltest Du besser wieder schließen, der wir nicht benötigt und ist für eine DS der gefährlichste Port der offen sein kann. Da bekommst Du schnell viel ungewünschten Besuch.

Grundsätzlich, mit einem sehr guten Passwort und dem Reverse Proxy bist Du schon mal auf sicherer Seite.

Wenn das ganze mit VPN laufen soll, musst Du die DynDNS auf die interne IP der DS ZUR Auflösung bringen.

Das geht zb. mit einer DynDNS von Synology und dafür ein Wildcard Zertifikat von LetsEncrypt.

So kannst Du die DynDNS auf die interne IP auflösen lassen welche das Zertifikat nutzen kann.

So klappt es dann auch über VPN.

Das ganze funktioniert nur mit DynDNS und einem Passenden Zertifikat, da Vaultwarden nur hiermit genutzt werden kann. Über IP kannst Du Vaultwarden nicht nutzen.

 

[Ronny1978]

@Benie und @wegomyway haben ja schon alles auf den Punkt gebraucht. Auch von meiner Seite die Empfehlung:

- Wireguard in der Fritzbox nutzen
- Port 5001 unbedingt ändern!!!
- bei Reverse Proxy mit Lets Encrypt Zertifikaten (nutze ich auch), aus Sicherheitsgründen, dass Passwort komplex und lang genug wählen!

und...

Sorry für die vielleicht dummen Fragen

gibt es nicht. Dafür ist ja ein Forum da . Niemand hat die "Weisheit mit Löffeln gefressen".

 

[Dr_Seltsam]

Besten Dank schon mal für die Antworten.
Ich hab jetzt erst mal wieder alles dicht gemacht. Dann kann ich besser schlafen...

Das werde ich mir mal genauer anschauen:

Wenn das ganze mit VPN laufen soll, musst Du die DynDNS auf die interne IP der DS ZUR Auflösung bringen.

Das geht zb. mit einer DynDNS von Synology und dafür ein Wildcard Zertifikat von LetsEncrypt.

Und vielleicht male ich mir die momentane "IT-Architektur" auf und versuche sie erst mal zu verstehen. Weil was da jetzt gerade wie auf was zugreift? Keine Ahnung

Ich will ja auch noch mehr umsetzen. Vielleicht Kontakte oder Kalender. Und da sollte man schon wissen was man tut. Geht ja nicht nur um die Sicherheit, muss ja auch gewartet werden.

 

[metalworker]

mal noch nen kleinen einwurf.

Prüfe für dich ob sich der ganze aufwand auch lohnt. Denn wie du schon sagst, es muss ja auch alles gewartet werden.

 

[Dr_Seltsam]

Wichtiger Punkt!
Ich war einfach neugierig wie das funktioniert. Jetzt muss ich mal gucken, was denn die für mich einfachste / sicherste / sinnvollste Lösung ist.