Portfreigaben, ReverseProxy und die Sicherheit…

[Dr_Seltsam]

Servus zusammen,

hoch motiviert habe ich nach der Anleitung <Link> von „MariusHosting“, Vaultwarden als Passwortmanager eingerichtet. Reverse Proxy und Portainer sind absolutes Neuland für mich. Also hab ich ohne Nachzudenken, die sehr gut dokumentierte Anleitung 1:1 umgesetzt. Funktioniert auch alles super!
Bei dem Punkt mit den Portfreigaben (80, 443, 5001) habe ich kurz inne gehalten… Schlußendlich hab ich’s dann aber doch gemacht. Funktion ging hier zunächst vor Sicherheit. Ganz wohl ist mir bei der Sache dennoch nicht!
Ich frag jetzt mal ganz doof und laienhaft:
- Ist das sicher? / Geht’s sicherer?
- Kann das ganze Portainer-Konstrukt auch über VPN laufen?
Um von extern auf meine DS zuzugreifen nutze ich Wireguard auf der FritzBox und ich hätte auch kein Problem damit, mich mit dem VPN zu verbinden, falls ich an meine Passwörter muss.
- Und "last but not least": Bin ich einfach zu paranoid?

Sorry für die vielleicht dummen Fragen. Ich weiß, ich muss mich in die einzelnen Themen noch einarbeiten. Also seid bitte gnädig
Grundsätzlich ist mir Sicherheit wichtiger, als Benutzerfreundlichkeit!

 

[wegomyway]

dumme Fragen gibt es nicht.
Wireguard-VPN ist sicher. Noch sicherer ? Geht bestimmt, aber wenn Wireguard vorhanden und nutzen warum in die Ferne schweifen (hab das auch in Nutzung) ? Auf jedem der mobilen Geräte ist das eingerichtet. Sitz ich auf Malle (Mai) oder Kroatien (August) Schalter umlegen VPN ist aktiv und das drumrumbist egal. Tunnel nach @Home-Fritte. Das teilweise gleichzeitig bei 3 Leuten die da gleichzeitig VPN nutzen.
Portainer läuft bei mir über VPN, geht.
Paranoid ... nö ... man will nur eine gewisse Sicherheit haben für das was liebundwichtig ist.
PS: MariusHosting wird sehr häufig hier erwähnt.

 

[Benie]

Den :5001 Port solltest Du besser wieder schließen, der wir nicht benötigt und ist für eine DS der gefährlichste Port der offen sein kann. Da bekommst Du schnell viel ungewünschten Besuch.

Grundsätzlich, mit einem sehr guten Passwort und dem Reverse Proxy bist Du schon mal auf sicherer Seite.

Wenn das ganze mit VPN laufen soll, musst Du die DynDNS auf die interne IP der DS ZUR Auflösung bringen.

Das geht zb. mit einer DynDNS von Synology und dafür ein Wildcard Zertifikat von LetsEncrypt.

So kannst Du die DynDNS auf die interne IP auflösen lassen welche das Zertifikat nutzen kann.

So klappt es dann auch über VPN.

Das ganze funktioniert nur mit DynDNS und einem Passenden Zertifikat, da Vaultwarden nur hiermit genutzt werden kann. Über IP kannst Du Vaultwarden nicht nutzen.

 

[Ronny1978]

@Benie und @wegomyway haben ja schon alles auf den Punkt gebraucht. Auch von meiner Seite die Empfehlung:

- Wireguard in der Fritzbox nutzen
- Port 5001 unbedingt ändern!!!
- bei Reverse Proxy mit Lets Encrypt Zertifikaten (nutze ich auch), aus Sicherheitsgründen, dass Passwort komplex und lang genug wählen!

und...

Sorry für die vielleicht dummen Fragen

gibt es nicht. Dafür ist ja ein Forum da . Niemand hat die "Weisheit mit Löffeln gefressen".

 

[Dr_Seltsam]

Besten Dank schon mal für die Antworten.
Ich hab jetzt erst mal wieder alles dicht gemacht. Dann kann ich besser schlafen...

Das werde ich mir mal genauer anschauen:

Wenn das ganze mit VPN laufen soll, musst Du die DynDNS auf die interne IP der DS ZUR Auflösung bringen.

Das geht zb. mit einer DynDNS von Synology und dafür ein Wildcard Zertifikat von LetsEncrypt.

Und vielleicht male ich mir die momentane "IT-Architektur" auf und versuche sie erst mal zu verstehen. Weil was da jetzt gerade wie auf was zugreift? Keine Ahnung

Ich will ja auch noch mehr umsetzen. Vielleicht Kontakte oder Kalender. Und da sollte man schon wissen was man tut. Geht ja nicht nur um die Sicherheit, muss ja auch gewartet werden.

 

[metalworker]

mal noch nen kleinen einwurf.

Prüfe für dich ob sich der ganze aufwand auch lohnt. Denn wie du schon sagst, es muss ja auch alles gewartet werden.

 

[Dr_Seltsam]

Wichtiger Punkt!
Ich war einfach neugierig wie das funktioniert. Jetzt muss ich mal gucken, was denn die für mich einfachste / sicherste / sinnvollste Lösung ist.

 

[zapp brannigan]

Hallo zusammen. Ich begebe mich auch derzeit auf Neuland und will NAS (923+) mit Jellyfin (bereits umgesetzt), Home Assistant, Nextcloud und evtl Vaultwarden (aktuell noch Keepass) nutzen, um mich unabhängig von Google, Amazon und co zu machen. Initaler Anstoß war bereits Jellyfin, da ja leider die Video Station nicht mehr unterstützt wird. Die App auf meinem Samsung TV ( Tizen) zum Laufen zu bringen war ne Nummer für sich, aber egal, es geht hier um Sicherheit:

Früher: Port 5000 im Netzwerk genuzt und Quickconnect von Synology
Dann: Auf 5001 gewechsel und DDNS von Synology. Portfreigabe auf der Fritzbox für 5001.
Aktuell: Eigene Domain/Subdomains mit Weiterleitung auf meine IPv4 (DDNS). Portfreigabe 443 auf der Fritzbox, dann Reverseproxy (Einstellung Anmeldeportal Synology) mit Zertifikaten für alle Subdomains und Weiterleitung auf die Ports (Brige der Container) der entsprechenden Programme.

Gestern habe ich über meine Subdomain auf Jelly zugegriffen und jemanden einen Streaminglink aus meinem näheren Umfeld geteilt. Dabei ist mir aufgefallen, dass darin der API-Key enthalten ist. Nach ein bisschen Recherche ist mir das Gesicht runtergefallen und nun habe ich Jellyfin zum Beispiel wieder entfernt aus dem Proxy.

Da als nächstes Nextcloud und co anstehen und ich mich nach gestern auch mit meiner Proxylösung nicht sicher fühle, weil ich nicht einschätzen kann, wie sich die Software in den Containern so in Bezug auf Sicherheit verhält, überlege ich auf ein VPN zu wechseln. WireGuard wurde mir empfohlen.

Was ich noch nicht so ganz verstehe ist: Wenn ich einen VPN von meinem Mobilgerät unterwegs nutze, dann kann habe ich doch keinen Internetzugriff mehr, richtig? Also bin ich mit dem Server zwar verbunden, kann dann Vaulwarden etc nutzen, aber muss mich jedes Mal wieder aus dem VPN auswählen, um weiter zu machen (als Frage gemeint?). Oder ist es so, dass man dann die ganze Zeit im VPN mit dem Mobilgerät bleibt, wenn man beispielsweise nicht im heimischen W-Lan ist und den Internetanschluss von zu Hause für die Verbindungen nach draußen nutzt?

 

[plang.pl]

Wenn du per VPN verbunden nach daheim, hast du schon Internet. Es gibt dafür zwei Optionen:
-der gesamte Netzwerkverkehr wird über den Anschluss daheim geroutet
->ist zum Beispiel gut, wenn man daheim pihole/adguard am laufen hat, dann nutzt man das mit VPN auch unterwegs
-nur der Verkehr zu heimischen, lokalen IP-Adressen wird über den VPN geroutet
->für Anfragen ins Internet wird der VPN da nicht genutzt -> belastet den heimischen Upload weniger

Bei WireGuard VPN kann man im Profil einfach anpassen, welche IP-Bereiche über den VPN laufen sollen und welche nicht.

 

[zapp brannigan]

Ah, super. Danke für die Einordnung. Wenn ich dann über die Domain eine VPN Verbindung herstelle, nutzt man dann immer noch intern einen Reverseproxy oder ist das dann nicht mehr nötig?

 

[Synchrotron]

Das ist nicht notwendig.

VPN ist richtig für den Zugriff weniger, bekannter Benutzer, die entsprechende Software und Schlüssel einrichten. Der Reverse Proxy eignet sich für den Zugriff von Benutzern, für die das nicht möglich ist.

Beides hintereinander bringt keinen Zusatznutzen.

 

[zapp brannigan]

Vielen Dank. Ich habe es nun eingerichtet und es funktioniert wunderbar. Hab nun alle Ports bis auf den WG Port gesperrt und werde das VPN nutzen.

Seltsam finde ich, dass mir der Container in Container Manager folgende Fehlermeldung auswirft, wenn ich ihn anklicke:

Funktioniert allerdings alles ohne Probleme. Ich habe die Anleitung von Frank (ITService Akademie) genutzt.

Ich möchte nun den Client so einrichten, dass die IPs für den NAS über das VPn kommuniziet. Wie mache ich das?
Mit pihole etc. setze ich mich später noch auseinander.

 

[zapp brannigan]

Ich glaube, ich habe den Fehler gefunden. Ich hatte Allow IP nicht konfiguriert. Nun habe ich dort die IP des NAS/32 eingetragen, nun gibt es keine Fehlermeldung mehr. Auch der Client nutzt nun nur dafür die VPN-Verbindung.

Was ich mich noch frage ist, ob es nicht besser ist den VPN direkt über die Fritzbox laufen zu lassen. Leider habe ich eine 6490, daher geht wohl nur IPSec-VPN. Das würde nach meinem Wissen bedeuten, der gesamte Traffic des Clients läuft über das VPN zum Router.

 

[plang.pl]

Mit IPSec auf der FritzBox würde m.W. immer der gesamte Traffic über den VPN geroutet werden.
Und ja: Ein VPN Zugang ist auf dem Router wesentlich besser aufgehoben als auf der DS.

 

[Synchrotron]

Wenn ich mich richtig erinnere, kam Wiregurad als Release so etwa mit Fritz!OS 7.39. In 7.50 war es definitiv drin.

Eine Alternative dazu wäre Tailscale. Das installiert man als Paket auf der DS, und legt die entsprechenden Profile auf den Endgeräten mit der Tailscale App an. Es nutzt ebenfalls WireGuard. Für private Nutzung ist es kostenlos.

Persönlich lege ich immer noch einen IPsec-Zugang an. Manche fremde Netzwerke blockieren einfach alle UDP Verbindungen, und dann funktioniert WG nicht mehr. Da ist man mit einer Rückfallebene fein raus. Nur für die DS kann man dazu auch QuickConnect nutzen. Das ist nur oft ziemlich lahm, weil es über die Synology Server geroutet wird.

 

[zapp brannigan]

Mein Kabelrouter kann leider kein WireGuard, auch wenn ich die aktuelle Firmware 7.57 drauf habe.
Da IKEv1 genutzt wird zeigt auch mein Android Smartphone bei der Verbindung an, dass es "nicht sicher" sei.

Jetzt kann ich mich entscheiden, ob ich trotz des Hinweises bei IPsec über die Fritzbox bleibe oder den NAS mit Portfreigabe für WireGuard nutze.
Rein vom Doing würde ich fast denken, dass es für meine Familie einfacher ist, wenn ich das bei Android einrichte und es über IPsec läuft, denn jedes Mal die WireGuard App aufmachen, das überfordert viele meiner pubertierenden Familienmitglieder

 

[Ronny1978]

Gestern habe ich über meine Subdomain auf Jelly zugegriffen und jemanden einen Streaminglink aus meinem näheren Umfeld geteilt. Dabei ist mir aufgefallen, dass darin der API-Key enthalten ist. Nach ein bisschen Recherche ist mir das Gesicht runtergefallen und nun habe ich Jellyfin zum Beispiel wieder entfernt aus dem Proxy.

Kannst du mal teilen, wo du recherchiert hast? Ich teile mein Jellyfin auch, aber nicht über Links. Ich sehe jetzt aber bei mir noch kein Sicherheitsrisiko, da die VM ja separat vom DSM läuft und die Benutzer keine Rechte haben, die für die Synology wichtig oder relevant werden/wären. Warum ist dir da "...das Gesicht heruntergefallen..."?

Ich wäre sehr daran interessiert.

 

[senderversteller]

Zum Thema IPsec vs Wireguard habe ich mal ne grundsätzliche Frage:
Ich habe drei FRITZ!Boxen der Familie (5590 Fiber, 7590 AX und 7490) mit LAN-LAN-Kopplung schon seit Anbeginn, als ich mit VPN angefangen habe (2015?) mit IPsec vernetzt. Das wurde natürlich mit jedem harewaretechnischen Upgrade an FRITZ!Box durch Übernahme der Konfiguration so übernommen.
Funzt alles, never change a running system.

Ich weiß jetzt nicht, ob die 7490 schon Wireguard kann, aber spricht aus sicherheitstechnischen Gründen etwas dagegen bei IPsec zu bleiben?

 

[zapp brannigan]

Kannst du mal teilen, wo du recherchiert hast? Ich teile mein Jellyfin auch, aber nicht über Links. Ich sehe jetzt aber bei mir noch kein Sicherheitsrisiko, da die VM ja separat vom DSM läuft und die Benutzer keine Rechte haben, die für die Synology wichtig oder relevant werden/wären. Warum ist dir da "...das Gesicht heruntergefallen..."?

Ich wäre sehr daran interessiert.

https://github.com/jellyfin/jellyfin/issues/5415
Dazu diese Diskussion: https://www.reddit.com/r/selfhosted/comments/1e3eu4c/how_safe_is_exposing_jellyfin_on_a_domain/

Ich weiß jetzt nicht, ob die 7490 schon Wireguard kann, aber spricht aus sicherheitstechnischen Gründen etwas dagegen bei IPsec zu bleiben?

Hierzu würde ich mir auch eine eindeutigere Antwort wünschen, vor allem wenn die FBox nur IKEv1 kann.

Noch eine weitere Frage: Ich habe mein Smartphone jetzt via VPN und IPSec mit der FBox verbunden. Allerdings habe ich dann keine Internetverbindung nach draußen mehr. Was muss ich konfigurieren, um wenigstens meine Aufrufe im VPN auf dem Smartphone von der DBox nach draußen geroutet zu bekommen?