Beiträge von kleinp

Ich nutze Nginx wie von jkasten im Wiki.

Man kann auch per VPN-only auf Bitwarden zugreifen.

Dann brauch man keine Ports weiterleiten.

Mal den Browser Cache geleert?

Hab mal nen kleinen Erfahrungsbericht gefunden:

Rustdesk - eine Open Source Alternative zu TEAMVIEWER & Anydesk - Software - Kuketz IT-Security Forum ⋆ IT-Sicherheit | Datenschutz (kuketz-forum.de)

Hab gestern mal auf 2 Clients testweise installiert. Wenn das Passwort bekannt ist, kann auch ohne Benutzeranmeldung zugegriffen werden.

Werde das jetzt mal mit den RustDesk Servern als Notnagel nutzen.

Samstag gehts in den Urlaub, bis dahin komme ich nicht durch, alle Kunden-Installationen abzuklappern (ca. 20 Clients) und zusätzlich noch nen eigenen RustDesk-Server aufzusetzen.

Zitat

1. Leider kann man derzeit nur einen Verbindungsserver eintragen. Eine Auswahl unter Servern ist (bislang) nicht vorgesehen. Ein Switchen zwischen den Public-Servern und dem selbst-gehosteten ist aber über einen Umweg möglich. Dazu legt man ein Duplikat der rustdesk.exe an und benennt diese um. Die Parameter für den eigenen Server werden dann im Rahmen des Dateinamens übergeben:
   rustdesk-host=mein.server.de,key=GenerierterServerKey=.exe

Das sieht nicht schön aus, aber funktioniert und so kann man zwischen verschiedenen Server switchen, z.B. wenn der eigene Server mal ausfällt. Ein eigener Domainname ist nicht zwingend erforderlich, eine feste IP-Adresse funktioniert genauso.

Werd an einem 2. Standort nen 2. Server aufsetzen und die 2.exe bei Bedarf verschicken, falls mal (m)ein Server offline ist.

Ich setz mir mal nen Rustdesk-Server auf. Mal anschauen...

Nutzt Du private Relay / private WLAM-Adresse / Tracking der IP-Adresse beschränken?

Dann gehts über den Apfel-Server...

Darf damit "eigenltich" nichts zu tun haben, aber wer weiß...

Bin Kleinunternehmer mit derzeit 5 Kunden, viel mit Verrechnen ist da auch nicht (reiner Nebenerwerb).

Mal geht nur was am Drucker nicht oder Anwenderfehler.

Mal ist 2 Monate nichts. Soll ich dann 30.- für 5 Minuten?

Mein Stundensatz bei Kleinunternehmerregelung ist weit weg von "normalen" IT-Dienstleister.

Hi zusammen,

ich habe eine seeehr alte Teamviewer Lizenz.

Damals irgendwie 1 Kanal, soweit ich weiß.

Bei Version 5 gekauft, irgendwann ein Update auf 8.

Vor rund 2 Jahren kam ne Email, dass man automatisch bis V 15 updaten darf, die Version ist bis Dezember 2023 gültig.

Nun heute kam dann diese Meldung:

Kein Zugriff auf kein Gerät in der Liste...

Gibt es hier noch mehr betroffene?

Hatte mir Rust-Desk zwar schonmal angeschaut, aber mehr halt auch noch nicht...

Die Preispolitik bei TV ist seit Corona nicht mehr "SoHo" freundlich...

Ich müsste 65.- / Monat bezahlen, um 2-4x im Monat bei Kunden einzugreifen...

Bei 1-2 Geräten brauch ich halt den Zugriff ohne jemanden vor Ort zu haben...

Stimmt, er will er Face ID und zeigt es an...

Muss mal schauen, ob das auch bei den "geshared"en Clients ist...

Edit:

Zumindest beim ersten Test sah es so aus, dass ein übers iPhone geteiltes PW nicht angezeigt wird:

Zum Vergleich das iPhone, bei dem das Passwort manuell eingegeben wurde:

Die Datenschutzwarnung kommt, weil ich nebenher noch an der OPNsense "übe" und Apple mit dem "private Relay" da gerne in die Suppe spuckt

Ist zwar eine interessante Erkenntnis, hilft dem TE bei seinem nachvollziehbaren Problem erstmal nicht.

Vermutlich hilft nur eine Einschränkung via MAC-Adresse oder Zertifikat o.ä.

Du kannst ggfs. (Neu-)Anmeldungen am WLAN unterbinden.

In de Fritzbox geht das, bei UI hab ichs noch nicht gebraucht...

bzgl. "Musik-WLAN":

Das benötigt vermutlich Internet zugriff für die entsprechenden Musikstores, oder? Also wäre ein kappen des Internets nichts...

Ich mag das Feature, kann aber auch verstehen, wenn man das m eigenen Netz nicht möchte.

Wenn es Dich beruhigt:

Man kann sich als Äppler das WLAN-Passwort nicht anzeigen lassen, nur weitergeben.

Zumindest nicht mit Boardmitteln (afaik).

[Edit:] Siehe unten

Ich hatte bisher meine Telefonie ausser Acht gelassen

Ich telefoniere einfach zu wenig über`s Festnetz.

Die Tage hätte ich mal ein Testfax an mich zuhause schicken wollen und das hat natürlich nicht geklappt

Die Funktion ohne Firewall Regeln:

Von extern & intern:

Telefon klingelt, nach abheben kein Gesprächspartner zu hören / ich werde nicht gehört.

Also heute mal dran gemacht:

Ports an die Fritzbox weiterleiten und eine "outbound" Regel erstellen. Fixe IP (oder statisch vergeben via DHCP) mal vorausgesetzt.

Unter Firewall = NAT = Outbound muss umgestellt werden auf „Hybrid outbound NAT rule generation“

ubiquiti-networks-forum.de/attachment/17229/

Nur so können eigene Regeln angelegt werden.

Hier eine neue Regel anlegen:

Danach unter Firewall = NAT = Port Forward eine Regel für SIP anlegen

So kann ich nun wieder telefonieren und Fax verschicken

Zitat von awmst4

sieht dann so aus

Welchen Controller nutzt Du? Cloud Key?

Mein Dashboard sieht "abgespeckt" aus, siehe reparierten Screenshot.

Hab ihn als VM im Proxmox.

[Edit:]

Ok, grad mal auf "alte" / Legacy Interface umgeschaltet, dann siehts bei mir auch so aus...

Moin,

mein Setup ist ähnlich Deiner Vorstellung (OPNsense statt Sophos):

Vigor DSL Modem = OPNsense auf eigener Hardware = UniFi Controller auf Proxmox = UniFi Switche & APs

Topologie:

Dashboard:

Läuft einwandfrei, jedes Teil macht das, was es soll und das zusammen echt gut.

Lass es doch einfach... Wenn die Topologie nicht stimmt ist das völlig egal.

Weil es geht ja alles, oder?

Da würde ich nicht eine Minute mehr investieren...

Du wirst sehen, eines Tages, ohne etwas zu machen, geht es wieder...

Das Zauberwort heißt demnach: stromlos.

Ich hatte ein ähnliches Problem beim Umzug von Cloudkey auf selbstgehosteten Controller.

Mein US-24 wollte einfach nicht erkannt werden. Reihenfolge war immer: 1. forget 2. Werksreset 3. neu adopten

Erst, als ich ihn nach dem 10. Mal endlich vom Stromnetz genommen habe (Stecker ziehen) klappte das Adopten....

Ich hätte mir Stunden ersparen können...

Da hier nur noch “ich weiß es Immer 1x besser“ kommt, bin ich raus.

Dazu ist mir das Thema zu unwichtig (was andere machen).

Aber bei der Fragestellung des TE inkl der Aussage, dass er bei der Portfreigabe / DYNDNS wegen dem „WAF“ bleibt und eigentlich „nur mal so fragt“ sehe ich die Aussage, dass Portfreigabe per se nichts schlechtes ist als sehr gefährlich an.

Vermutlich wissen 7-8 von den hier geschriebenen was und wie es gemeint ist.

Und auch, wie eine Absicherung aussehen kann.

Für den Rest liest sich das nach Freifahrtschein.

Daher bleibe ich bei meiner (pauschalierten) Aussage:

Keine Portfreigabe aufs NAS => nutzt VPN

Der TE spricht von Portfreigabe ohne irgendwas...

Und da ist ein "Consumer-VPN" auf jeden Fall besser...

Rest kommt dann je nach Ausstattung / Wissen / Knoff-Hoff...

Nur per VPN.

Ich weiß, dass "nur" per DYNDNS und Portfreigabe sehr bequem ist.

Aber leider haben sämtliche Hersteller "Fehler" in der Software und auch ein Portwechsel ändert nichts dran.

Es gibt ausreichend Portscanner, die nicht nur auf Port 80 / 443 schauen. Und dann ist meistens auch nicht der Port das Einfalltor.

Zitat von BSI - Bundesamt für Sicherheit in der Informationstechnik

Generell empfiehlt das BSI, mit Portfreigaben äußerst sparsam umzugehen. Geben Sie einen Port nur dann frei, wenn Sie die technischen Auswirkungen tatsächlich abschätzen können. Ziehen Sie im Zweifel lieber einen fachlich beschlagenen Freund oder Bekannten zu Rate oder wenden Sie sich gegebenenfalls an einen Dienstleister. Speziell beim Einsatz von NAS-Webservern und ähnlichen Anwendungen ist es das Beste, auf riskante Port-Freigaben komplett zu verzichten. Dazu können Sie entweder ein VPN-fähiges NAS-Gerät nutzen oder ein VPN auf Ihrem Heimnetz-Router einrichten. Weil dabei alle Zugriffe aus dem nicht vertrauenswürdigen Internet über verschlüsselte VPN-Verbindungen erfolgen, bleibt Ihr Netzwerk vor kriminellen Fremdzugriffen aus dem Internet geschützt.

Es gibt eine recht bekannte / berüchtigte Suchmaschine. Da hab ich gerade einfach mal nach QNAP & Synology gesucht.

Final kann ich nur sagen:

- hoffentlich ist ein Backup (getrennt / offline) vorhanden

- hoffentlich sind es keine wichtigen Daten

- viel Glück....