Zugriff auf Kopano

Status
Für weitere Antworten geschlossen.

FricklerAtHome

Benutzer
Mitglied seit
01. Okt 2017
Beiträge
598
Punkte für Reaktionen
50
Punkte
54
Bisher habe ich den Zugriff auf meinen Kopano-Server mittels DYN-DSN und einem Reverse-Proxy geregelt. Das betraf nicht nur Kopano sondern auch meinen NextCloud-Server etc.
In den letzten Wochen (Covid-2019 sei Dank) hatte ich Zeit mich auch mit WireGuard als VPN auseinander zusetzen.
Das läuft jetzt produktiv und stabil bei mir (nicht auf dem NAS)!
Der Vorteil von WireGuard ist das ich eigentlich nur jedem Client einen entsprechenden Zugriff gewähren muss und er darüber direkt alle internen Dienste (Kopano, nextCloud etc.) abgreifen kann.
Dazu ist lediglich ein offener Port ohne Reverse-Proxy notwendig. Also VPN, KOPANO, NEXTCLOUD alles auf einem Port der mittels DynDNS für die Clients erreichbar ist.
WireGuard ist nun schon teilweise in den Linux-Kernel gewandert und nach meinen Tests sogar schneller und stabiler als der SSL-VPN Server auf den Synology-Routern.

Aber das Teil ist aktuell noch frickely, primär einiges an Terminal-Arbeit usw.. Bei mir rennt es nun! Die eingebunden Clients bedürfen nur noch einem DynDNS Port aus dem Internet. Den des VPN.
Damit kann ich jetzt sogar für geteilte Inhalte in NextCloud ein 2 Zonen Modell aufbauen.

Problembehaftet ist die Verwaltung von WireGuard mittels GUI. Ich regel dies mit dem Terminal, aber selbst fbartels (Felix Bartels von Kopano) hat in den letzten Wochen in den einschlägigen Foren und GITHUB Einträgen Lösungen gesucht.

Die dahinter stehende Idee wär sicherheitstechnisch nicht von der Hand zu weisen.

Jeglicher Clientzugriff erfolgt mittels Zertifziertem VPN Zugriff. Alle WEB und Z-PUSH Zugriffe erfolgen "quasi" aus einem lokalen Netz, mittels einer ebenso "quasi" persistenten VPN Anbindung.
Dies reduziert mögliche Angriffs-Vektoren potenziell auf das VPN. Und da scheint WireGuard aktuell besser als alle anderen.

Glück Auf und Immer ein Licht bei der Nacht!

f@H
 

fbartels

Benutzer
Mitglied seit
19. Mrz 2013
Beiträge
284
Punkte für Reaktionen
2
Punkte
24
aber selbst fbartels (Felix Bartels von Kopano) hat in den letzten Wochen in den einschlägigen Foren und GITHUB Einträgen Lösungen gesucht

Habe ich? Bist du sicher dass du mich nicht mit jemanden verwechselst? Das einzige an was ich so spontan erinnern kann ist https://github.com/subspacecloud/subspace, aber das ist jetzt auch schon einige Zeit her.

Wireguard (oder auch OpenVPN) sind sicherlich nett, viel spannender finde ich aber den "BeyondCorp" Ansatz bei dem Zugriff mittels eines weitern Auth Layers im Reverse Proxy verifiziert wird. Klappt dann aber natürlich nur für http basierten Zugriff. Aber mehr braucht man heutzutage eh selten.
 

FricklerAtHome

Benutzer
Mitglied seit
01. Okt 2017
Beiträge
598
Punkte für Reaktionen
50
Punkte
54
@fbartels

Ja es war im Zusammenhang mit subspace. // Da gab es auch ein schönes Profilbild von dir! Comic-Style //. --Es war in Cloudron Forum und wie angemerk 1 jahr alt.
Für größere Installationen ist ein "BeyondCorp" Ansatz sicher spannender. Bei mir und in der verwöhnten Nachbarschaft hantieren wir in der Regel mit maximal 10 Geräten. Nachdem Wireguard nun läuft haben wir in den letzten Tagen die Funktionalität getestet. 3 Handys, ein Notebook im Ausseneinsatz. Bis auf diese VPN Zugriffe keine weiteren geöffneten Ports oder Zugänge auf die Serverdienste daheim. Da Wireguard sich auch nach einem Tunnelabbruch (Funkloch oder sonstiges) automatisch neu verbindet haben wir jetzt nach ein paar Tagen nicht den Eindruck eines funktionellen Verlust. Auf der Firewall ist nur noch der UDP für WG offen. Es authentisieren sich gegenüber unserem Netz die Hardware-Clients mittels Zertifikat und die User mittels Passwort. Nur wenn beides passt, geht es überhaupt. Richtig chick ist die Nutzung von echtem Outlook mit MAPI, in einer WIN-VM auf einem MacBook. --- Was nicht geht (bzw. noch keine Lösung hat) ist der Zugriff für Dritte auf geteilte Inhalte in Nextcloud. Ich experimentiere halt gerne rum und aktuell habe ich ein bischen mehr Zeit.
Ein "BeyondCorp" Ansatz wird nach meiner Einschätzung nur mittels einer zentralen Benutzer und Geräte Datenbank ( quasi LDAP+) funktionieren. Und genau das wollen wir in unseren kleinen Szenarien nicht.
In Kopano-Konnekt habe ich mich eingelesen, ich glaube auch die Implementierung bei Cloudron verstanden zu haben. Es war mir aber für unsere kleine Nutzung ohne WebRT etc. zu komplex.


Glück Auf und immer ein Licht bei der Nacht
f@h

Wie gesagt Frickelei in Zeiten wo es sonst nicht so viele andere Optionen gibt
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat