Portfreigaben, ReverseProxy und die Sicherheit…

Dr_Seltsam

Benutzer
Mitglied seit
20. Mrz 2024
Beiträge
20
Punkte für Reaktionen
7
Punkte
9
Servus zusammen,

hoch motiviert habe ich nach der Anleitung <Link> von „MariusHosting“, Vaultwarden als Passwortmanager eingerichtet. Reverse Proxy und Portainer sind absolutes Neuland für mich. Also hab ich ohne Nachzudenken, die sehr gut dokumentierte Anleitung 1:1 umgesetzt. Funktioniert auch alles super!
Bei dem Punkt mit den Portfreigaben (80, 443, 5001) habe ich kurz inne gehalten… Schlußendlich hab ich’s dann aber doch gemacht. Funktion ging hier zunächst vor Sicherheit. Ganz wohl ist mir bei der Sache dennoch nicht!
Ich frag jetzt mal ganz doof und laienhaft:
- Ist das sicher? / Geht’s sicherer?
- Kann das ganze Portainer-Konstrukt auch über VPN laufen?
Um von extern auf meine DS zuzugreifen nutze ich Wireguard auf der FritzBox und ich hätte auch kein Problem damit, mich mit dem VPN zu verbinden, falls ich an meine Passwörter muss.
- Und "last but not least": Bin ich einfach zu paranoid?

Sorry für die vielleicht dummen Fragen. Ich weiß, ich muss mich in die einzelnen Themen noch einarbeiten. Also seid bitte gnädig :)
Grundsätzlich ist mir Sicherheit wichtiger, als Benutzerfreundlichkeit!
 

wegomyway

Benutzer
Sehr erfahren
Mitglied seit
03. Aug 2022
Beiträge
1.222
Punkte für Reaktionen
527
Punkte
184
dumme Fragen gibt es nicht.
Wireguard-VPN ist sicher. Noch sicherer ? Geht bestimmt, aber wenn Wireguard vorhanden und nutzen warum in die Ferne schweifen (hab das auch in Nutzung) ? Auf jedem der mobilen Geräte ist das eingerichtet. Sitz ich auf Malle (Mai) oder Kroatien (August) Schalter umlegen VPN ist aktiv und das drumrumbist egal. Tunnel nach @Home-Fritte. Das teilweise gleichzeitig bei 3 Leuten die da gleichzeitig VPN nutzen.
Portainer läuft bei mir über VPN, geht.
Paranoid ... nö ... man will nur eine gewisse Sicherheit haben für das was liebundwichtig ist.
PS: MariusHosting wird sehr häufig hier erwähnt.
 
  • Like
Reaktionen: Dr_Seltsam

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.521
Punkte für Reaktionen
3.525
Punkte
344
Den :5001 Port solltest Du besser wieder schließen, der wir nicht benötigt und ist für eine DS der gefährlichste Port der offen sein kann. Da bekommst Du schnell viel ungewünschten Besuch.

Grundsätzlich, mit einem sehr guten Passwort und dem Reverse Proxy bist Du schon mal auf sicherer Seite.

Wenn das ganze mit VPN laufen soll, musst Du die DynDNS auf die interne IP der DS ZUR Auflösung bringen.

Das geht zb. mit einer DynDNS von Synology und dafür ein Wildcard Zertifikat von LetsEncrypt.

So kannst Du die DynDNS auf die interne IP auflösen lassen welche das Zertifikat nutzen kann.

So klappt es dann auch über VPN.

Das ganze funktioniert nur mit DynDNS und einem Passenden Zertifikat, da Vaultwarden nur hiermit genutzt werden kann. Über IP kannst Du Vaultwarden nicht nutzen.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.866
Punkte für Reaktionen
765
Punkte
128
@Benie und @wegomyway haben ja schon alles auf den Punkt gebraucht. Auch von meiner Seite die Empfehlung:

- Wireguard in der Fritzbox nutzen
- Port 5001 unbedingt ändern!!!
- bei Reverse Proxy mit Lets Encrypt Zertifikaten (nutze ich auch), aus Sicherheitsgründen, dass Passwort komplex und lang genug wählen!

und...
Sorry für die vielleicht dummen Fragen
gibt es nicht. Dafür ist ja ein Forum da 😉. Niemand hat die "Weisheit mit Löffeln gefressen".
 

Dr_Seltsam

Benutzer
Mitglied seit
20. Mrz 2024
Beiträge
20
Punkte für Reaktionen
7
Punkte
9
Besten Dank schon mal für die Antworten.
Ich hab jetzt erst mal wieder alles dicht gemacht. Dann kann ich besser schlafen...

Das werde ich mir mal genauer anschauen:
Wenn das ganze mit VPN laufen soll, musst Du die DynDNS auf die interne IP der DS ZUR Auflösung bringen.

Das geht zb. mit einer DynDNS von Synology und dafür ein Wildcard Zertifikat von LetsEncrypt.

Und vielleicht male ich mir die momentane "IT-Architektur" auf und versuche sie erst mal zu verstehen. Weil was da jetzt gerade wie auf was zugreift? Keine Ahnung :)

Ich will ja auch noch mehr umsetzen. Vielleicht Kontakte oder Kalender. Und da sollte man schon wissen was man tut. Geht ja nicht nur um die Sicherheit, muss ja auch gewartet werden.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
mal noch nen kleinen einwurf.

Prüfe für dich ob sich der ganze aufwand auch lohnt. Denn wie du schon sagst, es muss ja auch alles gewartet werden.
 

Dr_Seltsam

Benutzer
Mitglied seit
20. Mrz 2024
Beiträge
20
Punkte für Reaktionen
7
Punkte
9
Wichtiger Punkt!
Ich war einfach neugierig wie das funktioniert. Jetzt muss ich mal gucken, was denn die für mich einfachste / sicherste / sinnvollste Lösung ist.
 
Zuletzt bearbeitet von einem Moderator:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat