- Mitglied seit
- 01. Okt 2017
- Beiträge
- 598
- Punkte für Reaktionen
- 50
- Punkte
- 54
Bisher habe ich den Zugriff auf meinen Kopano-Server mittels DYN-DSN und einem Reverse-Proxy geregelt. Das betraf nicht nur Kopano sondern auch meinen NextCloud-Server etc.
In den letzten Wochen (Covid-2019 sei Dank) hatte ich Zeit mich auch mit WireGuard als VPN auseinander zusetzen.
Das läuft jetzt produktiv und stabil bei mir (nicht auf dem NAS)!
Der Vorteil von WireGuard ist das ich eigentlich nur jedem Client einen entsprechenden Zugriff gewähren muss und er darüber direkt alle internen Dienste (Kopano, nextCloud etc.) abgreifen kann.
Dazu ist lediglich ein offener Port ohne Reverse-Proxy notwendig. Also VPN, KOPANO, NEXTCLOUD alles auf einem Port der mittels DynDNS für die Clients erreichbar ist.
WireGuard ist nun schon teilweise in den Linux-Kernel gewandert und nach meinen Tests sogar schneller und stabiler als der SSL-VPN Server auf den Synology-Routern.
Aber das Teil ist aktuell noch frickely, primär einiges an Terminal-Arbeit usw.. Bei mir rennt es nun! Die eingebunden Clients bedürfen nur noch einem DynDNS Port aus dem Internet. Den des VPN.
Damit kann ich jetzt sogar für geteilte Inhalte in NextCloud ein 2 Zonen Modell aufbauen.
Problembehaftet ist die Verwaltung von WireGuard mittels GUI. Ich regel dies mit dem Terminal, aber selbst fbartels (Felix Bartels von Kopano) hat in den letzten Wochen in den einschlägigen Foren und GITHUB Einträgen Lösungen gesucht.
Die dahinter stehende Idee wär sicherheitstechnisch nicht von der Hand zu weisen.
Jeglicher Clientzugriff erfolgt mittels Zertifziertem VPN Zugriff. Alle WEB und Z-PUSH Zugriffe erfolgen "quasi" aus einem lokalen Netz, mittels einer ebenso "quasi" persistenten VPN Anbindung.
Dies reduziert mögliche Angriffs-Vektoren potenziell auf das VPN. Und da scheint WireGuard aktuell besser als alle anderen.
Glück Auf und Immer ein Licht bei der Nacht!
f@H
In den letzten Wochen (Covid-2019 sei Dank) hatte ich Zeit mich auch mit WireGuard als VPN auseinander zusetzen.
Das läuft jetzt produktiv und stabil bei mir (nicht auf dem NAS)!
Der Vorteil von WireGuard ist das ich eigentlich nur jedem Client einen entsprechenden Zugriff gewähren muss und er darüber direkt alle internen Dienste (Kopano, nextCloud etc.) abgreifen kann.
Dazu ist lediglich ein offener Port ohne Reverse-Proxy notwendig. Also VPN, KOPANO, NEXTCLOUD alles auf einem Port der mittels DynDNS für die Clients erreichbar ist.
WireGuard ist nun schon teilweise in den Linux-Kernel gewandert und nach meinen Tests sogar schneller und stabiler als der SSL-VPN Server auf den Synology-Routern.
Aber das Teil ist aktuell noch frickely, primär einiges an Terminal-Arbeit usw.. Bei mir rennt es nun! Die eingebunden Clients bedürfen nur noch einem DynDNS Port aus dem Internet. Den des VPN.
Damit kann ich jetzt sogar für geteilte Inhalte in NextCloud ein 2 Zonen Modell aufbauen.
Problembehaftet ist die Verwaltung von WireGuard mittels GUI. Ich regel dies mit dem Terminal, aber selbst fbartels (Felix Bartels von Kopano) hat in den letzten Wochen in den einschlägigen Foren und GITHUB Einträgen Lösungen gesucht.
Die dahinter stehende Idee wär sicherheitstechnisch nicht von der Hand zu weisen.
Jeglicher Clientzugriff erfolgt mittels Zertifziertem VPN Zugriff. Alle WEB und Z-PUSH Zugriffe erfolgen "quasi" aus einem lokalen Netz, mittels einer ebenso "quasi" persistenten VPN Anbindung.
Dies reduziert mögliche Angriffs-Vektoren potenziell auf das VPN. Und da scheint WireGuard aktuell besser als alle anderen.
Glück Auf und Immer ein Licht bei der Nacht!
f@H