Diskussion zu Portweiterleitungen
-
Mal eine doofe Frage,
wenn ich den Proxy ohne Passwort erstelle (Wie im Video für Owncloud), kann ich mir den doch ganz sparen oder?
-
@david-g die gleiche Frage habe ich mir auch schon gestellt. Macht wohl scheinbar einen Unterschied, aber verstehen tue ich es nicht.
@lobomau
VPN via L2TP oder OpenVPN und falls erforderlich DynDNS. Richtig konfiguriert ist da gar kein Port aufzumachen sondern nur den Port in der VPN entsprechend in der Firewall weiterzuleiten
Das ist zB ein Beispiel wie es aussehen könnte. Kann aber je nach Environment völlig anders aussehen.Gruß Dirk
Intel Proxmox Cluster (3x NUC) mit Debian & Proxmox / IoB als VM unter Debian / 60+ Adapter installiert -
@bananajoe ja, genau. Nochmal gut gegangen.
Nun sind im Router nur noch drei ports offen: die zwei für nginx und einer für VPN.@lobomau aber wenn du diese Ports einfach nur über den Proxy leitest, ist die Situation doch die gleiche wie zuvor?
Ist deine ioBroker Installation von Außen über eine Portweiterleitung über den Proxy erreichbar? Nutzt du Authentifizierung (Benutzername + Passwort)?ioBroker@Ubuntu 24.04 LTS (VMware) für: >260 Geräte, 5 Switche, 7 AP, 10 IP-Cam, 1 NAS 42TB, 1 ESXi 15TB, 4 Proxmox 1TB, 1 Hyper-V 48TB, 14 x Echo, 5x FireTV, 5 x Tablett/Handy VIS || >=160 Tasmota/Shelly || >=95 ZigBee || PV 8.1kW / Akku 14kWh || 2x USV APC 750W kaskadiert || Creality CR-10 SE 3D-Drucker
-
@lobomau
VPN via L2TP oder OpenVPN und falls erforderlich DynDNS. Richtig konfiguriert ist da gar kein Port aufzumachen sondern nur den Port in der VPN entsprechend in der Firewall weiterzuleiten
Das ist zB ein Beispiel wie es aussehen könnte. Kann aber je nach Environment völlig anders aussehen.@segway sagte in Diskussion zu Portweiterleitungen:
@lobomau
VPN via L2TP oder OpenVPN und falls erforderlich DynDNS. Richtig konfiguriert ist da gar kein Port aufzumachen sondern nur den Port in der VPN entsprechend in der Firewall weiterzuleiten
Das ist zB ein Beispiel wie es aussehen könnte. Kann aber je nach Environment völlig anders aussehen.woher weiß dann openvpn das da eine verbindung aufgebaut werden soll, wen kein port offen ist?
wenn man keinen (Eingangs)-Port offen haben möchte, dann hilft nur eine Verbindung von innen nach außen.
Das ist das was das Cloud-Angebot von iobroker macht. iobroker hält kontinuierlich die Verbindung zum iobroker-Server.Client = Dein Endgerät im öffentlichen Internet
public iobroker = Service der von iobroker zur Verfügung gestellt wird und kostenpflichtig ist
lokal iobroker = deine iobroker Installation zu HauseBei start von lokal iobroker nimmt dieser Kontakt mit public iobroker auf und sagt Bescheid das er bereit ist und hält dann kontinuierlich die Verbindung.
Wenn Client nun verbinden möchte dann geschieht das über den public iobroker. Dieser sagt dann über die bestehende Verbindung Bescheid und leitet die ganzen Daten darüber weiter.So geht das ohne offenen (Eingangs) Port.
Ob OpenVPN oder Wireguard ebenso konfigurierbar ist weiß ich nicht, aber dann benötigt man sowieso noch einen Provider, der einem den Public server zur verfügung stellt.
Wie an anderer Stelle schon gesagt, OpenVPN/wireguard ist Software die dafür gedacht ist offen im Internet zu stehen, daher schauen da genügend Leute drauf um evtl auftauchende Probleme schnell zu behebeniobroker ist erst einmal nicht geeignet offen im Internet zu stehen, da es zu viel Angriffsfläche bietet um nagegriffen zu werden.
-
@segway sagte in Diskussion zu Portweiterleitungen:
@lobomau
VPN via L2TP oder OpenVPN und falls erforderlich DynDNS. Richtig konfiguriert ist da gar kein Port aufzumachen sondern nur den Port in der VPN entsprechend in der Firewall weiterzuleiten
Das ist zB ein Beispiel wie es aussehen könnte. Kann aber je nach Environment völlig anders aussehen.woher weiß dann openvpn das da eine verbindung aufgebaut werden soll, wen kein port offen ist?
wenn man keinen (Eingangs)-Port offen haben möchte, dann hilft nur eine Verbindung von innen nach außen.
Das ist das was das Cloud-Angebot von iobroker macht. iobroker hält kontinuierlich die Verbindung zum iobroker-Server.Client = Dein Endgerät im öffentlichen Internet
public iobroker = Service der von iobroker zur Verfügung gestellt wird und kostenpflichtig ist
lokal iobroker = deine iobroker Installation zu HauseBei start von lokal iobroker nimmt dieser Kontakt mit public iobroker auf und sagt Bescheid das er bereit ist und hält dann kontinuierlich die Verbindung.
Wenn Client nun verbinden möchte dann geschieht das über den public iobroker. Dieser sagt dann über die bestehende Verbindung Bescheid und leitet die ganzen Daten darüber weiter.So geht das ohne offenen (Eingangs) Port.
Ob OpenVPN oder Wireguard ebenso konfigurierbar ist weiß ich nicht, aber dann benötigt man sowieso noch einen Provider, der einem den Public server zur verfügung stellt.
Wie an anderer Stelle schon gesagt, OpenVPN/wireguard ist Software die dafür gedacht ist offen im Internet zu stehen, daher schauen da genügend Leute drauf um evtl auftauchende Probleme schnell zu behebeniobroker ist erst einmal nicht geeignet offen im Internet zu stehen, da es zu viel Angriffsfläche bietet um nagegriffen zu werden.
@oliverio sagte in Diskussion zu Portweiterleitungen:
Ob OpenVPN oder Wireguard ebenso konfigurierbar ist weiß ich nicht, aber dann benötigt man sowieso noch einen Provider, der einem den Public server zur verfügung stellt.
Richtig, tailscale ist z. B. solch ein Provider. Das ganze setzt dann auf wireguard auf.
-
@lobomau aber wenn du diese Ports einfach nur über den Proxy leitest, ist die Situation doch die gleiche wie zuvor?
Ist deine ioBroker Installation von Außen über eine Portweiterleitung über den Proxy erreichbar? Nutzt du Authentifizierung (Benutzername + Passwort)?@bananajoe ich würde sagen es ist jetzt etwas besser als vorher. So sieht es aus:
Mit fiktiven Adressen:
Für vis: https://vis.duckdns.org
Für admin: https://admin.duckdns.orgJeweils kommt man zuerst an eine login Seite von nginx mit user/passwort. Danach wird man weitergeleitet an die jeweilige login-Seite von vis oder admin, wiederum mit user/passwort.
Innerhalb von nginx sind die ports 8081 und 8082 für admin und vis konfiguriert. Vorher waren diese beiden ports offen nach außen in der firewallregel.
Desweiteren klappt es nun bei mir endlich mit der sicheren Verbindung mit lets encrypt. -
@lobomau
VPN via L2TP oder OpenVPN und falls erforderlich DynDNS. Richtig konfiguriert ist da gar kein Port aufzumachen sondern nur den Port in der VPN entsprechend in der Firewall weiterzuleiten
Das ist zB ein Beispiel wie es aussehen könnte. Kann aber je nach Environment völlig anders aussehen.@segway mmmh, kapier ich nicht, aber klingt irgendwie nicht ganz schlüssig. Wenn ich keinen Port aufmache, ist beim Verkehr von außen nach innen spätestens am Router Feierabend... Da ist OpenVPN noch nichtmal im Spiel an dem Punkt.
Kannst du das mal praxisnäher ausführen wie du das anstellst?
-
@bananajoe ich würde sagen es ist jetzt etwas besser als vorher. So sieht es aus:
Mit fiktiven Adressen:
Für vis: https://vis.duckdns.org
Für admin: https://admin.duckdns.orgJeweils kommt man zuerst an eine login Seite von nginx mit user/passwort. Danach wird man weitergeleitet an die jeweilige login-Seite von vis oder admin, wiederum mit user/passwort.
Innerhalb von nginx sind die ports 8081 und 8082 für admin und vis konfiguriert. Vorher waren diese beiden ports offen nach außen in der firewallregel.
Desweiteren klappt es nun bei mir endlich mit der sicheren Verbindung mit lets encrypt. -
@segway mmmh, kapier ich nicht, aber klingt irgendwie nicht ganz schlüssig. Wenn ich keinen Port aufmache, ist beim Verkehr von außen nach innen spätestens am Router Feierabend... Da ist OpenVPN noch nichtmal im Spiel an dem Punkt.
Kannst du das mal praxisnäher ausführen wie du das anstellst?
@frana120500
Ich bin kein Netzwerkspezialist aber:- von ausserhalb VPN aufmachen
- Anfrage landet genau auf meiner Soft- oder Hardwarefirewall (Router / OPNsense)
- Anfrage wird zB bei OpenVPN per UDP port durch eine Regel an den OpenVPN Server weitergeleitet
- handshake ja/nein
- Verbindung erfolgreich dann ist der PC / Handy Teilnehmer meines eigenen Netzwerkes mittels der gesicherten VPN Verbindung
Da ist nirgends ein Port auf. Auch habe ich mal einen Portsniffer bei mir aktiv gehabt von ausserhalb aber da kam nix durch. Ergo kam ich zum obigen Schluss.
Gruß Dirk
Intel Proxmox Cluster (3x NUC) mit Debian & Proxmox / IoB als VM unter Debian / 60+ Adapter installiert -
@frana120500
Ich bin kein Netzwerkspezialist aber:- von ausserhalb VPN aufmachen
- Anfrage landet genau auf meiner Soft- oder Hardwarefirewall (Router / OPNsense)
- Anfrage wird zB bei OpenVPN per UDP port durch eine Regel an den OpenVPN Server weitergeleitet
- handshake ja/nein
- Verbindung erfolgreich dann ist der PC / Handy Teilnehmer meines eigenen Netzwerkes mittels der gesicherten VPN Verbindung
Da ist nirgends ein Port auf. Auch habe ich mal einen Portsniffer bei mir aktiv gehabt von ausserhalb aber da kam nix durch. Ergo kam ich zum obigen Schluss.
@segway sagte in Diskussion zu Portweiterleitungen:
Da ist nirgends ein Port auf.
Doch, sonst könntest du von außen keine VPN-Verbindung aufbauen. Je nach Protokoll kommen folgende Standardports zur Verwendung:
- OpenVPN bzw. SSL VPN UDP 1194.
- IPSec UDP 500 und 4500
- L2TP UDP 1701
- Windows VPN-Server TCP 1723
- WireGuard UDP 51820
Natürlich kann man auch von diesen Standards abweichen.
Wenn der Router einen VPN-Dienst anbietet, kümmert er sich in der Regel auch gleich um die richtigen Portweiterleitungen. Und Porttests aus dem Netz prüfen oft nur wenige Standardports. Da muss man dann explizit die gewünschten Ports angeben um auch solche zu überprüfen.
Wenn man VPN verwendet, macht ein zusätzlicher Proxy eigentlich wenig Sinn. Aber jeder wie er mag...
-
@frana120500
Ich bin kein Netzwerkspezialist aber:- von ausserhalb VPN aufmachen
- Anfrage landet genau auf meiner Soft- oder Hardwarefirewall (Router / OPNsense)
- Anfrage wird zB bei OpenVPN per UDP port durch eine Regel an den OpenVPN Server weitergeleitet
- handshake ja/nein
- Verbindung erfolgreich dann ist der PC / Handy Teilnehmer meines eigenen Netzwerkes mittels der gesicherten VPN Verbindung
Da ist nirgends ein Port auf. Auch habe ich mal einen Portsniffer bei mir aktiv gehabt von ausserhalb aber da kam nix durch. Ergo kam ich zum obigen Schluss.
-
@frana120500
Ich bin kein Netzwerkspezialist aber:- von ausserhalb VPN aufmachen
- Anfrage landet genau auf meiner Soft- oder Hardwarefirewall (Router / OPNsense)
- Anfrage wird zB bei OpenVPN per UDP port durch eine Regel an den OpenVPN Server weitergeleitet
- handshake ja/nein
- Verbindung erfolgreich dann ist der PC / Handy Teilnehmer meines eigenen Netzwerkes mittels der gesicherten VPN Verbindung
Da ist nirgends ein Port auf. Auch habe ich mal einen Portsniffer bei mir aktiv gehabt von ausserhalb aber da kam nix durch. Ergo kam ich zum obigen Schluss.
-
Ein aktuelles Beispiel was man sich mit offenen Ports schönes zum Osterfest einfangen kann :-)
https://www.heise.de/news/Smart-Home-Uebernahme-durch-kritische-Sicherheitsluecke-in-RaspberryMatic-moeglich-6659606.html -
Ein aktuelles Beispiel was man sich mit offenen Ports schönes zum Osterfest einfangen kann :-)
https://www.heise.de/news/Smart-Home-Uebernahme-durch-kritische-Sicherheitsluecke-in-RaspberryMatic-moeglich-6659606.html@feuersturm Und auch wie wichtig es ist sein System in allen Ecken aktuell zu halten.
-
und wenn du schon unbedingt ne Portweiterleitung machen willst/musst ... dann mach das Sinnvoll.
Auch ne Portweiterleitung kannste sicher gestalten. Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.
-
und wenn du schon unbedingt ne Portweiterleitung machen willst/musst ... dann mach das Sinnvoll.
Auch ne Portweiterleitung kannste sicher gestalten. Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.
@jabba_the_hutt sagte in Diskussion zu Portweiterleitungen:
Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.
Einspruch, hörensagen :-) Es kommt darauf was und wie etc. - und es richtig konfigurieren. Macht halt nur keiner, gibt deshalb auch kaum HowTo's dafür. Wenn man Windows "lernen" würde ginge es auch.
ioBroker@Ubuntu 24.04 LTS (VMware) für: >260 Geräte, 5 Switche, 7 AP, 10 IP-Cam, 1 NAS 42TB, 1 ESXi 15TB, 4 Proxmox 1TB, 1 Hyper-V 48TB, 14 x Echo, 5x FireTV, 5 x Tablett/Handy VIS || >=160 Tasmota/Shelly || >=95 ZigBee || PV 8.1kW / Akku 14kWh || 2x USV APC 750W kaskadiert || Creality CR-10 SE 3D-Drucker
-
Ein aktuelles Beispiel was man sich mit offenen Ports schönes zum Osterfest einfangen kann :-)
https://www.heise.de/news/Smart-Home-Uebernahme-durch-kritische-Sicherheitsluecke-in-RaspberryMatic-moeglich-6659606.html@feuersturm sagte in Diskussion zu Portweiterleitungen:
Ein aktuelles Beispiel
Wenn man weiß, dass für die Raspberrymatic monatliche Updates zur Verfügung gestellt werden, ist das Betreiben z. B. einer Version 3.61.7.20220226 (d. h. aktuell am 26.02.2020) mehr als grob fahrlässig.
Proxmox und HA
-
@feuersturm sagte in Diskussion zu Portweiterleitungen:
Ein aktuelles Beispiel
Wenn man weiß, dass für die Raspberrymatic monatliche Updates zur Verfügung gestellt werden, ist das Betreiben z. B. einer Version 3.61.7.20220226 (d. h. aktuell am 26.02.2020) mehr als grob fahrlässig.
@meister-mopper sagte in Diskussion zu Portweiterleitungen:
Version 3.61.7.20220226 (d. h. aktuell am 26.02.2020)
Das dürfte aber 26.02.2022 sein.
-
@meister-mopper sagte in Diskussion zu Portweiterleitungen:
Version 3.61.7.20220226 (d. h. aktuell am 26.02.2020)
Das dürfte aber 26.02.2022 sein.
@thomas-braun Hast recht!
-
@jabba_the_hutt sagte in Diskussion zu Portweiterleitungen:
Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.
Einspruch, hörensagen :-) Es kommt darauf was und wie etc. - und es richtig konfigurieren. Macht halt nur keiner, gibt deshalb auch kaum HowTo's dafür. Wenn man Windows "lernen" würde ginge es auch.
@bananajoe sagte in Diskussion zu Portweiterleitungen:
@jabba_the_hutt sagte in Diskussion zu Portweiterleitungen:
Mit Windoof funzt das nicht, da musste schon andere BS lernen und auch verstehen.
Einspruch, hörensagen :-) Es kommt darauf was und wie etc. - und es richtig konfigurieren. Macht halt nur keiner, gibt deshalb auch kaum HowTo's dafür. Wenn man Windows "lernen" würde ginge es auch.
ebenfalls einspruch.
die aussage kann man nicht generell treffen und auch mit einem tutorial nicht beantworten
mit windows UND Linux sollten nur programme frontal im Internet stehen, die auch dafür gemacht sind.
node, iobroker oder irgendwelche selbst gemachten programme ohne die entsprechenden security kenntnisse gehören nicht dazu.
https://www.cvedetails.com/product/30764/Nodejs-Node.js.html?vendor_id=12113
572
Online32.7k
Users82.5k
Topics1.3m
Posts