Neuer Blogbeitrag: Monatsrückblick - Dezember 2025 🎄

lobomau

@bananajoe ich würde sagen es ist jetzt etwas besser als vorher. So sieht es aus:

Mit fiktiven Adressen:
Für vis: https://vis.duckdns.org
Für admin: https://admin.duckdns.org

Jeweils kommt man zuerst an eine login Seite von nginx mit user/passwort. Danach wird man weitergeleitet an die jeweilige login-Seite von vis oder admin, wiederum mit user/passwort.

Innerhalb von nginx sind die ports 8081 und 8082 für admin und vis konfiguriert. Vorher waren diese beiden ports offen nach außen in der firewallregel.
Desweiteren klappt es nun bei mir endlich mit der sicheren Verbindung mit lets encrypt.

frana120500

@segway mmmh, kapier ich nicht, aber klingt irgendwie nicht ganz schlüssig. Wenn ich keinen Port aufmache, ist beim Verkehr von außen nach innen spätestens am Router Feierabend... Da ist OpenVPN noch nichtmal im Spiel an dem Punkt.

Kannst du das mal praxisnäher ausführen wie du das anstellst?

da_Woody

@lobomau 2x login? naja...
da lob ich mir meinen synology router, da hab ich einen eigenen VPN server. einmal einloggen, aufs komplette LAN zugreifen...

Segway

@frana120500
Ich bin kein Netzwerkspezialist aber:

• von ausserhalb VPN aufmachen
• Anfrage landet genau auf meiner Soft- oder Hardwarefirewall (Router / OPNsense)
• Anfrage wird zB bei OpenVPN per UDP port durch eine Regel an den OpenVPN Server weitergeleitet
• handshake ja/nein
• Verbindung erfolgreich dann ist der PC / Handy Teilnehmer meines eigenen Netzwerkes mittels der gesicherten VPN Verbindung

Da ist nirgends ein Port auf. Auch habe ich mal einen Portsniffer bei mir aktiv gehabt von ausserhalb aber da kam nix durch. Ergo kam ich zum obigen Schluss.

Dr. Bakterius

@segway sagte in Diskussion zu Portweiterleitungen:

Da ist nirgends ein Port auf.

Doch, sonst könntest du von außen keine VPN-Verbindung aufbauen. Je nach Protokoll kommen folgende Standardports zur Verwendung:

• OpenVPN bzw. SSL VPN UDP 1194.
• IPSec UDP 500 und 4500
• L2TP UDP 1701
• Windows VPN-Server TCP 1723
• WireGuard UDP 51820

Natürlich kann man auch von diesen Standards abweichen.

Wenn der Router einen VPN-Dienst anbietet, kümmert er sich in der Regel auch gleich um die richtigen Portweiterleitungen. Und Porttests aus dem Netz prüfen oft nur wenige Standardports. Da muss man dann explizit die gewünschten Ports angeben um auch solche zu überprüfen.

Wenn man VPN verwendet, macht ein zusätzlicher Proxy eigentlich wenig Sinn. Aber jeder wie er mag...

OliverIO

@segway

Oh je
Mit diesem Wissen vergisst man halt doch etwas und dann steht was offen oder ist falsch konfiguriert.
Gell upnp ist ne tolle Sache
Toi toi toi

hydrotec

@segway

Hallo Dirk,

wenn du Besitzer einer Fritzbox, mit aktueller Firmeware, bist, kannst du ganz schnell überprüfen welche Ports offen sind.
fritz.box -> Diagnose -> Sicherheit

Gruß, Karsten

Feuersturm

Ein aktuelles Beispiel was man sich mit offenen Ports schönes zum Osterfest einfangen kann :-)
https://www.heise.de/news/Smart-Home-Uebernahme-durch-kritische-Sicherheitsluecke-in-RaspberryMatic-moeglich-6659606.html

Thomas Braun

@feuersturm Und auch wie wichtig es ist sein System in allen Ecken aktuell zu halten.

Jabba_the_Hutt

und wenn du schon unbedingt ne Portweiterleitung machen willst/musst ... dann mach das Sinnvoll.

Auch ne Portweiterleitung kannste sicher gestalten. Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.

BananaJoe

@jabba_the_hutt sagte in Diskussion zu Portweiterleitungen:

Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.

Einspruch, hörensagen :-) Es kommt darauf was und wie etc. - und es richtig konfigurieren. Macht halt nur keiner, gibt deshalb auch kaum HowTo's dafür. Wenn man Windows "lernen" würde ginge es auch.

Meister Mopper

@feuersturm sagte in Diskussion zu Portweiterleitungen:

Ein aktuelles Beispiel

Wenn man weiß, dass für die Raspberrymatic monatliche Updates zur Verfügung gestellt werden, ist das Betreiben z. B. einer Version 3.61.7.20220226 (d. h. aktuell am 26.02.2020) mehr als grob fahrlässig.

Thomas Braun

@meister-mopper sagte in Diskussion zu Portweiterleitungen:

Version 3.61.7.20220226 (d. h. aktuell am 26.02.2020)

Das dürfte aber 26.02.2022 sein.

Meister Mopper

@thomas-braun Hast recht!

OliverIO

@bananajoe sagte in Diskussion zu Portweiterleitungen:

@jabba_the_hutt sagte in Diskussion zu Portweiterleitungen:

Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.

Einspruch, hörensagen :-) Es kommt darauf was und wie etc. - und es richtig konfigurieren. Macht halt nur keiner, gibt deshalb auch kaum HowTo's dafür. Wenn man Windows "lernen" würde ginge es auch.

ebenfalls einspruch.
die aussage kann man nicht generell treffen und auch mit einem tutorial nicht beantworten
mit windows UND Linux sollten nur programme frontal im Internet stehen, die auch dafür gemacht sind.
node, iobroker oder irgendwelche selbst gemachten programme ohne die entsprechenden security kenntnisse gehören nicht dazu.
https://www.cvedetails.com/product/30764/Nodejs-Node.js.html?vendor_id=12113

Feuersturm

Die Kernaussage soll ja sein, das für 99% der Anwender Portweiterleitungen tabu sein sollen. Der Rest, der sich mit dem Thema auskennt darf dies ja gerne nutzen.
Wer sein Handwerk versteht, der kann ja auch einen Porsche Motor in einen Käfer schrauben ;-)

Homoran

@feuersturm sagte in Diskussion zu Portweiterleitungen:

Wer sein Handwerk versteht, der kann ja auch einen Porsche Motor in einen Käfer schrauben

war zumindest früher gar nicht so schwer.
Lediglich die Motorhaube ging nicht mehr ganz zu.
[/OT]

da_Woody

@homoran doch, beim 4 zylinder ging das... :)