Wie Unraid-Server so sicher wie möglich nach außen hin öffnen?

Pillendreher

Pillendreher

Enthusiast
Thread Starter
Mitglied seit
08.02.2009
Beiträge
692
Hallo!

Ich nutze seit gut drei Monaten einen selbst zusammengebastelten Unraid-Server. Vor ein paar Wochen fing dieser an, plötzlich von alleine hochzufahren bzw. aufzuwachen. Selbst ein manuelles Runterfahren und gar ein Entfernen des Unraid-Sticks verhinderten das Ganze nicht. Erst als ich in den Fritzbox-Geräteeinstellungen das Häkchen bei "Diesen Computer automatisch starten, sobald aus dem Internet darauf zugegriffen wird." rausgenommen hatte, war Ruhe im Karton. Diese ganze Odyssee hat mich hinsichtlich der Sicherheit meines Servers etwas versunsichert...

Im Moment habe ich folgende Ports über die Fritzbox freigegeben:

1616945789773.png


Die 80/443-Freigabe basiert auf dieser Anleitung für das Öffnen eines Nextcloud Dockers hinter einem Let's Encrypt/SWAG Reverse Proxy:

medium.com

Setup a Reverse Proxy NextCloud Server on Unraid using LetsEncrypt

Utilizing NextCloud, MariaDB, NGINX, Let’s Encrypt & DuckDNS
medium.com medium.com

Die Teamspeak Ports basieren auf einem Versuch meinerseits, einen eigenen Teamspeak Server aufzusetzen.

Hier habe ich schon einmal reingeschaut, aber ich muss zugeben, dass mich das Ganze (insbesondere der Abschnitt zu WireGuard VPN) etwas verwirrt. Gibt es denn im Internet (oder gerne auch in der c't) einen Leitfaden dafür, was man alles beachten bzw. tunlichst unterlassen sollte, um zwar von außen auf den Server zugreifen zu können, gleichzeitig aber nicht jedem, der weiß wo er nachschauen muss, das eigene Netzwerk zu öffnen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi Pillendreher,
wenn Du etwas "sicher" ins Internet stellen willst, dann solltest Du wissen, was Du tust. Leider ist das Thema a) nicht simpel und b) ein Dich dauerhaft Beschäftigendes. Es gibt mehr zu tun, als einen Server über Let'sEncrypt und Reverse Proxy "abzusichern". Die verschiedensten Attacken sollten abgesichert werden. Das wird schnell eine "endlose" Story. Mit beliebiger Komplexität.

Wenn Du von außen Zugriff auf Deine Tools brauchst, dann belasse sie dort und wähle Dich über eine sichere Verbindungen in Dein Heim-Netzwerk ein. Wie bspw. Wireguard/VPN oder aber auch zerotier.

Nachteil:
  • Ggf. muss man sich von Hand regelmässig ins Heimnetz einloggen, soweit VPN-On-Demand nicht geht.
Vorteil:
  • Du nutzt dieselben Tools, die Firmen nutzen, um HomeOffice mit FirmenNetzZugriff zu ermöglichen.
  • Die Komplexität ist deutlich geringer, als Services in Eigenregie ins Netz zu stellen. Nur eine Baustelle, nicht viele. Eine Beherrschbare dazu.
  • Wenige oder, wie bei zerotier, keine Ports freizugeben.
  • Nur eine Schnittstelle ins Netz und nicht viele, je nach Anzahl Services.
Ich betreibe mein Homelab ausschliesslich im heimischen Netz und nutze zerotier, um von unterwegs darauf zuzugreifen. DAS kann ich beherrschen. Alles Andere wäre mir zu riskant. Mir fehlt das Wissen einigermassen sicher zu sein, alles getan zu haben. Daher: Keep it simple.

Cheers
 
@you
Verstehe ich Zerotier richtig ? Du erstellst einen Account bei denen und verbindest die Clients damit..
somit geht der Traffic über derren Systeme - wenn auch verschlüsselt ? Was auch der Grund ist, warum es keine Portfreigabe benötigt..
 
Der Grund für die fehlende Portfreigabe ist allen VPNs gemein, da man sich quasi im selben L2/L3 Netz mit dem Server befindet.

Zerotier ist eigentlich nur notwendig, wenn man keine öffentliche IPv4-Adresse hat. (und man über IPv6 nicht rankommt)

Ich betreibe seit bald 20 Jahren meine Server @home ganz und gar ohne irgendwelche Portfreigaben. Wozu auch...

VPN-Server und ab die Post.
 
@Luckysh0t

zerotier vermittelt den Beginn der Kommunikation. Sobald die Clienten sich erkennen, geht der Tunnel direkt von Client zu Client. Das kann man an den PING Zeiten auch gut erkennen.

Zerotier ist im Vergleich zu VPN deutlich einfacher handzuhaben. Auch für Laien. Sowohl beim Einrichten als auch beim Handling auf den Clients. Und es bietet den Vorteil, wie underclocker2k4 schreibt, auch dann zu funktionieren, wenn keine öffentliche IPv4 vorhanden ist. Solange die Clienten ins Internet können, finden sie dort zerotier und das von dir angelegte Netzwerk, werden vermittelt und schnacken dann direkt.

Die Verbindung erfolgt über ein von dir im Account angelegtes Netzwerk. Dessen ID wird in den Clients angegeben. That's it. ACHTUNG: Beim Ausprobieren und auch sonst darauf achten, dass das jeweils angelegte Netzwerk auf "PRIVAT" steht. Clients, die sich neu anmelden wollen, stehen dann im Account in der Liste des Netzwerks drin und müssen noch explizit freigegeben werden. Die Netzwerk-ID alleine reicht bei "PRIVAT" nicht.
 
Zuletzt bearbeitet:
Das Problem bei zerotier ist, dass du immer so einen deamon brauchst.
Versuch sowas mal auf nem embedded system, einem IPMI BMC, MGMT-Inf eines Switches oder auch ESX zu installieren.

Früher gab es mal sowas:
de.wikipedia.org

LogMeIn Hamachi – Wikipedia

de.wikipedia.org de.wikipedia.org

Das hat man zum Spielen genommen.

Am Ende ist zerotier für 0815 Anwendungen ggf. zu nutzen. Mit einem richtigen VPN-Tunnel ist das mal im Ansatz zu vergleichen.
Zerotier verbindet Geräte, VPN verbindet Netzwerke, das ist ein kleiner aber feiner Unterschied.
 
zerotier erstellt ein Netzwerk, dem Clients über geeignete Apps/binaries beitreten. Und Software gibt es für alle möglichen Geräte. Embedded Systeme lassen sich damit aber in der Regel nicht direkt als Client im zerotier Netzwerk anmelden, das stimmt.

ALLERDINGS:

Es macht eh keinen Sinn alle Geräte in das zerotier Netzwerk hinein zu verfrachten. Da administriert man sich zu Tode. Besser: Routen auf weitere Geräte/Subnetze im Heimnetz in der zerotier-Oberfläche anlegen und EINEN Client im Heimnetz nehmen, der dann als Brücke vermittelt. So schaffe ich alle mobilen Devices und EINEN Client aus dem Heimnetz ins zerotier Netzwerk. Das ist etwas anders einzurichten, als VPN, aber sehr gut dokumentiert.

Mein erstes zerotier Netzwerk nebst der Vermittlung auf Subnetze hatte ich binnen 20 Minuten auf die Beine gestellt. Mein erstes VPN dagegen hatte mich damals schnell altern lassen 🙃

Zerotier und VPN sind industrietaugliche und sichere Wege, mobilen Zugriff aufs Heimnetz zu ermöglichen. Für den Heimbetrieb, der nur funktionieren und für die mobilen Familiengeräte möglichst einfach zu warten sein soll, ist zerotier genial. Firmen würde ich allerdings weiterhin via VPN koppeln.
 
Zuletzt bearbeitet:
Einem Neuling würde ich eher openVPN empfehlen, da es im Internet besser dokumentiert ist und er bei Problemen besser Support finden kann.

@Pillendreher: Du scheinst im Bereich Hosting und Sicherheit keine Erfahrung zu haben. In dem Fall würde ich persönlich dir GAR NICHT empfehlen irgendwas ins Netz zu hängen. Nicht einmal ein VPN-Server.

Wenn du so etwas tun willst, dann empfehle ich dir erst einmal solides Grundlagenwissen aufzubauen: Was bedeutet es Dinge im Internet erreichbar zu haben? Welche Angriffsvektoren (aka Gefahren) gibt es? Wie funktioniert eine Firewall? Wie aktualisiere bzw. administriere ich ein System am besten? Wie schaue ich, dass ich schnell über Updates informiert werde? Und so weiter.

Danach solltest du dein Anwendungszenario beschreiben: Willst du auf die Nextcloud per Browser zugreifen? Sollen es Bekannte und Freunde? Oder bist es nur du? Kannst du dir zumuten immer erst ein VPN zu starten? Oder gibt es Punkte die dagegen sprechen (wenn du z.B. fremden einen Link auf die Nextcloud schicken willst)?

Weil hängst du die Nextcloud so ins Netz hat dies Vor- und Nachteile. Ein Nachteil ist, dass du ziemlich flott mit Sicherheitsupdates sein musst. Das Problem existiert bei einem VPN weniger, da hier die Cloud niemand direkt erreichen kann und gute VPN-Software bzgl. Sicherheit etwas mehr getestet sind. Aber auch hier können Konfigurationsfehler große Folgen haben.

Ich persönlich würde dir empfehlen erst Grundlagenwissen aufzubauen und danach dein Szenario darzulegen. Das dir hier z.B. stumpf VPN empfohlen wird ohne dein Anwendungsszenario zu kennen bedeutet letztendlich auch nur, dass eine sehr von Mutmaßungen getroffene Beratung stattfindet, welche auch hart nach hinten losgehen kann. Dann werden einem absoluten Neuling auch sehr spezielle Techniken* vorgeschlagen, wo der Support eher dürftig ist.

In meinen Augen für mich der falsche Weg.

* Nicht repräsentativ aber ein Indikator: Google-Suche nach zerotier und openvpn: 265’000 vs 22’800’000 Ergebnisse. Selbst Wireguard hat mit 5’090’000 ein vielfaches mehr.
 
Schon einmal Danke für die Beiträge! In der Tat kenne ich mich in Sachen VPN, Firewall, etc. nur bedingt aus. Mir leuchtet noch ein, was da passiert, aber wie ich das Ganze selber so konfiguriere, dass nichts kaputt geht weiß ich in der Tat nicht.

Wo steigt man denn da am Besten ein @Shutterfly?
 
Leider hab ich heute wenig Zeit @Pillendreher aber als Einstieg wäre glaub ich generell Lektüre bzgl. Sicherheit in Verbindung mit Netzwerken relevant. Grundsätzlich muss man sich hier von Topic zu Topic hangeln, je nachdem was einem für neue Fragen beim lesen begegnen.

Ich kann die Tage mal schauen, ob ich was finde. Heute und morgen fehlt mir aber leider die Zeit.
 
Wie Shutterfly bereits geschrieben hat, macht es Sinn als erstes zu wissen was du haben möchtest bzw. braucht. Dann kannst du danach auch schauen und suchen. Bzw. anfangen abschätzen welches Risiko (realistisch) besteht, bzw welches man eingehen will, oder welches maß an Kompromissen man eingeht.

Ich denke meist ist es auch garnicht so kompliziert und 100% Sicherheit gibt es nicht. Es macht aber halt einfach auch einen unterschied ob die letzten Urlaubsbilder offen sind oder die Daten der eigenen Firma.
 
 
Stueckchen schrieb:
Wie Shutterfly bereits geschrieben hat, macht es Sinn als erstes zu wissen was du haben möchtest bzw. braucht. Dann kannst du danach auch schauen und suchen. Bzw. anfangen abschätzen welches Risiko (realistisch) besteht, bzw welches man eingehen will, oder welches maß an Kompromissen man eingeht.

Ich denke meist ist es auch garnicht so kompliziert und 100% Sicherheit gibt es nicht. Es macht aber halt einfach auch einen unterschied ob die letzten Urlaubsbilder offen sind oder die Daten der eigenen Firma.
Zum Vergrößern anklicken....
Mir geht es vorerst eigentlich nur darum, von außen auf das WebIF von Unraid zugreifen zu können (falls mal irgendwas nicht läuft, jemand anders aber gerade was vom Server braucht) und ab und zu mal auf die auf den Platten lagernden Daten zugreifen zu können (wenn man mal außer Haus ist und gerade etwas bräuchte, was auf dem Server liegt). Das würde aber nur mich betreffen, sprich ich gewähre niemandem sonst Zugriff auf die Daten. Gut, allerhöchstens vielleicht mal auf einen eigenen Teamspeak Server, aber das auch vielleicht irgendwann mal.
 
Vlt etwas spät, aber @Pillendreher ein Kompromiss könnte sein, dass Du Deinen Unraid Server in eine DMZ stellst. Die meisten Heimgeräte haben eine Funktion hierfür, aber Achtung: Das sind keine echten DMZ sondern, die leiten allen Verkehr einfach weiter. Du würdest einen Zweiten Router brauchen, den hängst Du hinter die FB, diesen betreibst Du als Router (also mit Firewall), Unraid kommt direkt an die Frizbox. Für den Fall, dass der Server kompromittiert würde, bliebe der Rest des Netztes "sauber". Freilich müssen die Daten dann auch verschlüsselt auf Unraid liegen. Alle. Ich weiß nicht wie es mit den VMs aussieht und wie sicher die dort sind, respektive, ob Du ggf. einen NIC exklusiv an die Nextcloud VM durchreichen kannst. Dann wäre nur die VM "verseucht". Zusätzlich kannst Du die Daten in der Nextcloud mit Cryptomator verschlüsseln. Ggf. könnte man auch einen zweiten Server (VM), im Heimnetz (nicht DMZ) einrichten, diese mounted dann die 1. Nextcloud, und entschlüsselt den Cryptomator beim Start, dann synchronisierst Du via FreeFileSync, die Daten der 1. und der 2. Nextcloud. Eine in der DMZ, eine im Heimnetz. Selbst wenn die VM verseucht wäre, die Daten wären verschlüsselt. Du hast dann doppeltes NAT, kann bei Spielen Probleme machen, bei mir noch nie.

Ports aufmachen in der Firewall ist immer ne heikle Sache, letzten Endes macht man bei VPN auch nen Port auf, und muss auf der Maschine mit VPN ne Firewall aktivieren. Ich muss aber auch sagen: Mich nerven so Leute Shutterfly extrem. Die erzählen Dir von was für Risiken, Du sollst Dich erstmal mit den Basics vertraut machen, und dann kommt nichts. Oder iM besten Fall ein Link zu decentsecurity. Was Du aber meistens schon weißt. Nein stattdessen sollst Du studieren, selber Hacker werden, um zu wissen wie es geht, und erst wenn sich ein Geheimdienst bei Dir meldet, weil er Dich einstellen will, erst dann bist Du bereit Deine Ports nach außen aufzumachen. Aber nur bei Vollmond. Und im Schaltjahr.

Das ist krasser Blödsinn. Letzten Endes, muss man schauen, welche Risiken gibt.

1. Wer greift mich an? Zu 99% irgendwelche Scripte im Netz die automatisiert Portscan betreiben, das sind ganz schön viele. 1% echte Hacker, wenn die es aber auf die abgesehen haben, ja, dann finden die auch meist einen Weg.

2. Welche Daten sind gefährdet? Legst Du unwichtige Dateien wie Deine Steuererklärung, oder Geburtsurkunde in der Nextcloud ab? Oder doch eher wichtige Sachen wie die Makroaufnahmen vom letzten Trip in den botanischen Garten?

Letzten Endes stellst Du einen Server online, und musst den härten. Da gibt es viele Anleitungen, ein quasi Standard ist:

medium.com

My first ten minutes on a server

My First 5 Minutes on a Server, by Bryan Kennedy, is an excellent intro into securing a server against most attacks. We have a few…
medium.com medium.com

Wer es ernst meint beschäftigt sich noch mit SSH Härtung. Dürfte ein wichtiges einfallstor sein. Nextcloud bietet auch einen Checker an. Qualys auch. Letzten Endes ist es keine Rocket Science, aber man muss schon mindestens 20 Stunden dazu lesen. Und als Anfänger ist man ähnlich lange beschäftigt es umzusetzen ;-)

Recommended Security Measures to Protect Your Servers | DigitalOcean

When setting up infrastructure, getting your applications up and running will often be your primary concern. However, making your applications to function co…
www.digitalocean.com www.digitalocean.com
 
Noch zwei neuere Videos zu zerotier, die ich ganz gelungen finden. English versions.


 
Danke an die Beiträge! Ich habe mittlerweile eine Wireguard Verbindung auf Unraid eingerichtet und habe nur Nextcloud nach außen hin geöffnet, dies jedoch natürlich mit Benutzername+Password-Anmeldemaske sowie in einem isolierten Docker-Netzwerk, in welchem nur Nextcloud und MariaDB stecken. Das hat zur Folge, dass ich aus dem Nextcloud-Docker keine Verbindung zu meinem Router, zu meinem Unraid-Server noch zu sonst irgendwelchen Netzwerkgeräten habe. Den Nginx Proxy Manager habe ich manuell dazu verbunden, um die SSL Zertifizierung hinzukriegen. Der hat dann zwar Netzwerkzugriff, aber gut, das kann man wohl nicht vermeiden, wenn er Nextcloud nach außen hin zur Verfügung stellen soll....
 
Anmelden, um zu antworten.

Ähnliche Themen

L
Server und netzwerkumbau richtung 10 g wenn möglich
Antworten
2
Aufrufe
315
loaded
L
Dodo_now
[Kaufberatung] Spezielle Fragen zum Home Server (C-States, SATA HDD-SSD, RAID, ...)
Antworten
8
Aufrufe
793
pumuckel
pumuckel
D
[Guide] Mein neuer Home-Server / NAS im kleinsten Server-PC der Welt [Mini-PC mit Xeon und ECC RAM]
Antworten
11
Aufrufe
834
dakazze
D
S
[Kaufberatung] Ein Server für alle Fälle? Konsolidierung der Systeme, Hardwarefindung und Brauchen vs Schöner Wohnen.
2 3
Antworten
62
Aufrufe
7K
HansBohne
H
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh