Diskussion zu Portweiterleitungen
-
@lobomau aber wenn du diese Ports einfach nur über den Proxy leitest, ist die Situation doch die gleiche wie zuvor?
Ist deine ioBroker Installation von Außen über eine Portweiterleitung über den Proxy erreichbar? Nutzt du Authentifizierung (Benutzername + Passwort)? -
@segway sagte in Diskussion zu Portweiterleitungen:
@lobomau
VPN via L2TP oder OpenVPN und falls erforderlich DynDNS. Richtig konfiguriert ist da gar kein Port aufzumachen sondern nur den Port in der VPN entsprechend in der Firewall weiterzuleiten
Das ist zB ein Beispiel wie es aussehen könnte. Kann aber je nach Environment völlig anders aussehen.woher weiß dann openvpn das da eine verbindung aufgebaut werden soll, wen kein port offen ist?
wenn man keinen (Eingangs)-Port offen haben möchte, dann hilft nur eine Verbindung von innen nach außen.
Das ist das was das Cloud-Angebot von iobroker macht. iobroker hält kontinuierlich die Verbindung zum iobroker-Server.Client = Dein Endgerät im öffentlichen Internet
public iobroker = Service der von iobroker zur Verfügung gestellt wird und kostenpflichtig ist
lokal iobroker = deine iobroker Installation zu HauseBei start von lokal iobroker nimmt dieser Kontakt mit public iobroker auf und sagt Bescheid das er bereit ist und hält dann kontinuierlich die Verbindung.
Wenn Client nun verbinden möchte dann geschieht das über den public iobroker. Dieser sagt dann über die bestehende Verbindung Bescheid und leitet die ganzen Daten darüber weiter.So geht das ohne offenen (Eingangs) Port.
Ob OpenVPN oder Wireguard ebenso konfigurierbar ist weiß ich nicht, aber dann benötigt man sowieso noch einen Provider, der einem den Public server zur verfügung stellt.
Wie an anderer Stelle schon gesagt, OpenVPN/wireguard ist Software die dafür gedacht ist offen im Internet zu stehen, daher schauen da genügend Leute drauf um evtl auftauchende Probleme schnell zu behebeniobroker ist erst einmal nicht geeignet offen im Internet zu stehen, da es zu viel Angriffsfläche bietet um nagegriffen zu werden.
-
@oliverio sagte in Diskussion zu Portweiterleitungen:
Ob OpenVPN oder Wireguard ebenso konfigurierbar ist weiß ich nicht, aber dann benötigt man sowieso noch einen Provider, der einem den Public server zur verfügung stellt.
Richtig, tailscale ist z. B. solch ein Provider. Das ganze setzt dann auf wireguard auf.
-
@bananajoe ich würde sagen es ist jetzt etwas besser als vorher. So sieht es aus:
Mit fiktiven Adressen:
Für vis: https://vis.duckdns.org
Für admin: https://admin.duckdns.orgJeweils kommt man zuerst an eine login Seite von nginx mit user/passwort. Danach wird man weitergeleitet an die jeweilige login-Seite von vis oder admin, wiederum mit user/passwort.
Innerhalb von nginx sind die ports 8081 und 8082 für admin und vis konfiguriert. Vorher waren diese beiden ports offen nach außen in der firewallregel.
Desweiteren klappt es nun bei mir endlich mit der sicheren Verbindung mit lets encrypt. -
@segway mmmh, kapier ich nicht, aber klingt irgendwie nicht ganz schlüssig. Wenn ich keinen Port aufmache, ist beim Verkehr von außen nach innen spätestens am Router Feierabend... Da ist OpenVPN noch nichtmal im Spiel an dem Punkt.
Kannst du das mal praxisnäher ausführen wie du das anstellst?
-
@lobomau 2x login? naja...
da lob ich mir meinen synology router, da hab ich einen eigenen VPN server. einmal einloggen, aufs komplette LAN zugreifen... -
@frana120500
Ich bin kein Netzwerkspezialist aber:- von ausserhalb VPN aufmachen
- Anfrage landet genau auf meiner Soft- oder Hardwarefirewall (Router / OPNsense)
- Anfrage wird zB bei OpenVPN per UDP port durch eine Regel an den OpenVPN Server weitergeleitet
- handshake ja/nein
- Verbindung erfolgreich dann ist der PC / Handy Teilnehmer meines eigenen Netzwerkes mittels der gesicherten VPN Verbindung
Da ist nirgends ein Port auf. Auch habe ich mal einen Portsniffer bei mir aktiv gehabt von ausserhalb aber da kam nix durch. Ergo kam ich zum obigen Schluss.
-
@segway sagte in Diskussion zu Portweiterleitungen:
Da ist nirgends ein Port auf.
Doch, sonst könntest du von außen keine VPN-Verbindung aufbauen. Je nach Protokoll kommen folgende Standardports zur Verwendung:
- OpenVPN bzw. SSL VPN UDP 1194.
- IPSec UDP 500 und 4500
- L2TP UDP 1701
- Windows VPN-Server TCP 1723
- WireGuard UDP 51820
Natürlich kann man auch von diesen Standards abweichen.
Wenn der Router einen VPN-Dienst anbietet, kümmert er sich in der Regel auch gleich um die richtigen Portweiterleitungen. Und Porttests aus dem Netz prüfen oft nur wenige Standardports. Da muss man dann explizit die gewünschten Ports angeben um auch solche zu überprüfen.
Wenn man VPN verwendet, macht ein zusätzlicher Proxy eigentlich wenig Sinn. Aber jeder wie er mag...
-
Oh je
Mit diesem Wissen vergisst man halt doch etwas und dann steht was offen oder ist falsch konfiguriert.
Gell upnp ist ne tolle Sache
Toi toi toi -
Hallo Dirk,
wenn du Besitzer einer Fritzbox, mit aktueller Firmeware, bist, kannst du ganz schnell überprüfen welche Ports offen sind.
fritz.box -> Diagnose -> Sicherheit
Gruß, Karsten
-
Ein aktuelles Beispiel was man sich mit offenen Ports schönes zum Osterfest einfangen kann
https://www.heise.de/news/Smart-Home-Uebernahme-durch-kritische-Sicherheitsluecke-in-RaspberryMatic-moeglich-6659606.html -
@feuersturm Und auch wie wichtig es ist sein System in allen Ecken aktuell zu halten.
-
und wenn du schon unbedingt ne Portweiterleitung machen willst/musst ... dann mach das Sinnvoll.
Auch ne Portweiterleitung kannste sicher gestalten. Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.
-
@jabba_the_hutt sagte in Diskussion zu Portweiterleitungen:
Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.
Einspruch, hörensagen
Es kommt darauf was und wie etc. - und es richtig konfigurieren. Macht halt nur keiner, gibt deshalb auch kaum HowTo's dafür. Wenn man Windows "lernen" würde ginge es auch. -
@feuersturm sagte in Diskussion zu Portweiterleitungen:
Ein aktuelles Beispiel
Wenn man weiß, dass für die Raspberrymatic monatliche Updates zur Verfügung gestellt werden, ist das Betreiben z. B. einer Version 3.61.7.20220226 (d. h. aktuell am 26.02.2020) mehr als grob fahrlässig.
-
@meister-mopper sagte in Diskussion zu Portweiterleitungen:
Version 3.61.7.20220226 (d. h. aktuell am 26.02.2020)
Das dürfte aber 26.02.2022 sein.
-
@thomas-braun Hast recht!
-
@bananajoe sagte in Diskussion zu Portweiterleitungen:
@jabba_the_hutt sagte in Diskussion zu Portweiterleitungen:
Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.
Einspruch, hörensagen
Es kommt darauf was und wie etc. - und es richtig konfigurieren. Macht halt nur keiner, gibt deshalb auch kaum HowTo's dafür. Wenn man Windows "lernen" würde ginge es auch.ebenfalls einspruch.
die aussage kann man nicht generell treffen und auch mit einem tutorial nicht beantworten
mit windows UND Linux sollten nur programme frontal im Internet stehen, die auch dafür gemacht sind.
node, iobroker oder irgendwelche selbst gemachten programme ohne die entsprechenden security kenntnisse gehören nicht dazu.
https://www.cvedetails.com/product/30764/Nodejs-Node.js.html?vendor_id=12113 -
Die Kernaussage soll ja sein, das für 99% der Anwender Portweiterleitungen tabu sein sollen. Der Rest, der sich mit dem Thema auskennt darf dies ja gerne nutzen.
Wer sein Handwerk versteht, der kann ja auch einen Porsche Motor in einen Käfer schrauben
-
@feuersturm sagte in Diskussion zu Portweiterleitungen:
Wer sein Handwerk versteht, der kann ja auch einen Porsche Motor in einen Käfer schrauben
war zumindest früher gar nicht so schwer.
Lediglich die Motorhaube ging nicht mehr ganz zu.
[/OT]
