Diverse Fragestellung bzgl. Sicherheit und Routing (Cloudflare, VPN, Portfreigabe, DNS, etc.)

    • Privat
    • DreamMachine
    • UDM
    • Frage
    • Dream Machine Special Edition (UDM-SE)
  • nicx

Es gibt 3 Antworten in diesem Thema, welches 1.235 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo zusammen,


    ich habe folgende Anforderungen:


    1. Ich möchte diverse HTTP(S)-Dienste übers Internet und im internen LAN mit einem "sprechenden" DNS-Namen erreichen können (zb. Home Assistant über ha.domain.de).

    2. Wiederum andere HTTP(S)-Dienste sollen nur im internen LAN erreichbar sein (zb. Unraid Management, Unifi Management). Hier wäre ein "sprechender" DNS Name toll, aber nicht unbedingt ein Muss.

    3. Ich möchte möglichst sicher einzelne Nicht-HTTP(S) Dienste aus dem Internet erreichen können (Samba-Shares). Dies nur sporadisch und selten.

    4. Generell möchte ich natürlich möglichst wenig sicherheitsrelevante Einfallstore haben und möglichst wenig Wartung von Einzelservices :smiling_face:


    Dabei stelle ich mir nun die Frage, wie ich das möglichst komfortabel und sicher umsetzen kann/soll. Als Optionen sehe ich:


    Für Anforderung 1:


    - Cloudflare Tunnel mit cloudflared auf meinem NAS, über diesen stelle ich die übers Internet erreichbare Services bereit.

    - Portfreigabe (443/TCP) auf der UDM, dazu DynDNS und DNS-Einträge beim Domainprovider.


    Mit beiden Lösungen wäre meine erste Anforderung erfüllt. Wie sieht es im Vergleich bzgl. Sicherheit aus? Was würdet ihr empfehlen?


    Für Anforderung 2:


    - Ebenfalls Cloudflare Tunnel. Das scheint auch zu funktionieren wenn ich im LAN die URL aufrufe. Hier wäre die Frage bzgl. Routing: Wird irgendwie erkannt, dass ich "intern" sitze und die Pakete laufen dann quasi direkt zum Ziel? Oder gehts immer erst einmal über den Tunnel (was ja suboptimal wäre)?

    - Lokaler Nginx-Proxy mit Proxy Hosts


    Was meint ihr? Habt ihr weitere Ideen?


    Für Anforderung 3:


    - Wireguard VPN auf der UDM

    - Zero Trust Lösung von Cloudflare


    Hier tendiere ich klar zu Wireguard. Sehr ihr weitere Möglichkeiten?


    Neben NGinx, Nginx-Proxymanager, einem Unraid NAS, natürlich der Unifi Infrastruktur, habe ich auch noch einen Adguard Home am laufen. Den würde ich am liebsten durch das Unifi Content Filtering ersetzen, aber da ist mir die Unifi Lösung noch nicht weit genug (zb. fehlen mir einige Blocking-Lists).


    Soweit erst einmal meine Fragen im Kopf :grinning_squinting_face: Bin gespannt auf eure Meinung.


    VG

    Zitat von nicx

    Dabei stelle ich mir nun die Frage, wie ich das möglichst komfortabel und sicher umsetzen kann/soll. Als Optionen sehe ich:

    Das schliesst sich weitesgehenst aus.


    Wenn du es sicher haben willst, geht nur der Weg über einen VPN-Zugang, alles andere ( Portfreischaltungen am Router ) ist eine Einfallstor für Hackerangriffe.


    Mein Rat, nutze lieber AdGuard, der ist dem Unifi Content Filter weit überlegen.

    Tomcat ich nutze ja adguard genau aufgrund der Überlegenheit. diese frage stellt sich mir aktuell nicht wirklich. eher die anderen fragen :winking_face:


    VPN kommt für die erste Anforderung nicht in frage, da es verschiedene Nutzer für zb Home assistant gibt, die eben kein VPN nutzen (sollen/können). Auch für die zweite Anforderung hilft VPN nicht.

    Lediglich für die dritte Anforderung sehe ich VPN als geeignet an und setze es auch so bereits ein :winking_face:

    Punkt 3 ganz klar VPN.


    Punkt 2 ... Welchen Weg die Pakete nehmen, hängt davon ab auf welche Ziel IP der hostname zeigt und wie dann die Route dorthin aussieht. Ggf. wäre Split DNS geeignet. LAN interner DNS zeigt auf die entsprechende interne IP, der offizielle Internet DNS zeigt auf die öffentliche IP (also dahin wo es jetzt wohl hinzeigt).


    zu 1 Wenn Du unbedingt was von Aussen erreichbar machen willst, dann packe das Gerät in ein sepparates VLAN, am besten komplett alleine. Dazu dann Firewallregeln die diesem Gerät jegliche Kommunikation in andere VLANs verbietet. Dann wird im Zweifelsfall nur dieses Gerät "geshreddert".