9
Sicherer Zugriff von außen auf Nextcloud (VPN, MFA)?
Hallo zusammen,
ich möchte im Heimnetz eine Nextcloud Instanz auf einem RaspberryPi 4 sicher hosten, bevor ich das aber alles ins unsichere Netz mit DynDNS Freigebe muss die Defensive erstmals geplant werden. Hier meine Gedanken, ich glaub das sicherste wäre es keine Ports für den Webserver nach außen freizugeben und per VPN direkt im LAN dann darauf zuzugreifen, aber dann klappt das nicht sofort von verschiedenen Enddevices (Arbeitsrechner, Smartphone), da muss immer ein VPN Client installiert werden, besser wäre es direkt ohne eine Installation aufzurufen. Die zweite Möglichkeit die ich sehe, man könnte eine 2 Faktor Authentifizierung machen, da kenne ich aber keine Lösungen in dem Bereich wie man sowas zum Beispiel mit OpenSource Lösungen macht, müsste mich hier reinlesen, vielleicht könnt Ihr hier weitere Tipps geben?
Option 1) Per VPN von außen in das Heimnetz verbinden und dann lokal auf Nextcloud zugreifen
PRO: Sicherste Variante
CONTRA: VPN Client muss auf Enddevices installiert werden, nicht immer möglich
Option 2) Nextcloud Webserver nach außen freigeben, aber mit 2 Faktor Authentifizierung
PRO: Sicherer als ohne 2FA
CONTRA: Webserverport muss in Firewall freigegeben werden
Hoffe auf euere Tipps, Erfahrungen.
ich möchte im Heimnetz eine Nextcloud Instanz auf einem RaspberryPi 4 sicher hosten, bevor ich das aber alles ins unsichere Netz mit DynDNS Freigebe muss die Defensive erstmals geplant werden. Hier meine Gedanken, ich glaub das sicherste wäre es keine Ports für den Webserver nach außen freizugeben und per VPN direkt im LAN dann darauf zuzugreifen, aber dann klappt das nicht sofort von verschiedenen Enddevices (Arbeitsrechner, Smartphone), da muss immer ein VPN Client installiert werden, besser wäre es direkt ohne eine Installation aufzurufen. Die zweite Möglichkeit die ich sehe, man könnte eine 2 Faktor Authentifizierung machen, da kenne ich aber keine Lösungen in dem Bereich wie man sowas zum Beispiel mit OpenSource Lösungen macht, müsste mich hier reinlesen, vielleicht könnt Ihr hier weitere Tipps geben?
Option 1) Per VPN von außen in das Heimnetz verbinden und dann lokal auf Nextcloud zugreifen
PRO: Sicherste Variante
CONTRA: VPN Client muss auf Enddevices installiert werden, nicht immer möglich
Option 2) Nextcloud Webserver nach außen freigeben, aber mit 2 Faktor Authentifizierung
PRO: Sicherer als ohne 2FA
CONTRA: Webserverport muss in Firewall freigegeben werden
Hoffe auf euere Tipps, Erfahrungen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 634258
Url: https://administrator.de/contentid/634258
Printed on: April 24, 2024 at 00:04 o'clock
9 Comments
Latest comment
Option 1) Per VPN von außen in das Heimnetz verbinden und dann lokal auf Nextcloud zugreifen
PRO: Sicherste Variante
CONTRA: VPN Client muss auf Enddevices installiert werden, nicht immer möglich
PRO: Sicherste Variante
CONTRA: VPN Client muss auf Enddevices installiert werden, nicht immer möglich
Ich habe dazu meine eigene Meinung.... das VPN und Cloud mit schnellen Datenaustausch sich widerspricht
Option 2) Nextcloud Webserver nach außen freigeben, aber mit 2 Faktor Authentifizierung
Nextcloud unterstützt von Haus aus 2FAIch persönliche halte von einer Nextcloud zu Hause nicht viel, wenn nicht dementsprechende Infrastruktur vorhanden ist (Zb.: DMZ , WAF, mindestens 100Mbit Upload )
Du lebst ruhiger, wenn du dir dafür webspace bei einem Hoster mietest. Kostet ja fast nichts.
Du hast Recht. Die Nextcloud Anwendung lebt von der direkten Anbindung ohne VPN. Niemand wird auf einem Smartphone erst ein VPN aufbauen wollen um schnell mal Daten und Adressen zu syncronisieren. Das macht bei einer Private Cloud wenig Sinn.
Hier solltest du also in der Tat immer mit Port Forwarding arbeiten und 2FA arbeiten. Wenn du das restriktiv handhabst und einzig nur HTTPS (TCP 443) forwardest kann auch nur eine verschlüsselte Browser Verbindung auf den Nextcloud Host kommen was schon sehr sicher ist.
Perfekt wäre es noch wenn du den privaten Nextcloud Host noch in eine DMZ packst um ihn vom lokalen LAN zu trennen. Das wäre aber kein Muss bzw. kommt auf die Brisanz deiner Daten an.
Hier solltest du also in der Tat immer mit Port Forwarding arbeiten und 2FA arbeiten. Wenn du das restriktiv handhabst und einzig nur HTTPS (TCP 443) forwardest kann auch nur eine verschlüsselte Browser Verbindung auf den Nextcloud Host kommen was schon sehr sicher ist.
Perfekt wäre es noch wenn du den privaten Nextcloud Host noch in eine DMZ packst um ihn vom lokalen LAN zu trennen. Das wäre aber kein Muss bzw. kommt auf die Brisanz deiner Daten an.
Moin,
einen Cloud Dienst hinter ein VPN zu sperren macht die Sache irgendwie Witzlos.
Dann kannst du das auch gleich mit einem NAS oder irgend einem anderen Storage machen.
Der richtige Weg wäre, von außen, alles dicht zu machen mit Ausnahme von https und vllt. SSH (nicht über den Port Standard und mit public key authentication).
Dann noch im Nextcloud Encryption und 2FA konfigurieren und die Sache sollte sicher sein.
einen Cloud Dienst hinter ein VPN zu sperren macht die Sache irgendwie Witzlos.
Dann kannst du das auch gleich mit einem NAS oder irgend einem anderen Storage machen.
Der richtige Weg wäre, von außen, alles dicht zu machen mit Ausnahme von https und vllt. SSH (nicht über den Port Standard und mit public key authentication).
Dann noch im Nextcloud Encryption und 2FA konfigurieren und die Sache sollte sicher sein.
Zitat von @fuzzyLogic:
Moin,
einen Cloud Dienst hinter ein VPN zu sperren macht die Sache irgendwie Witzlos.
Dann kannst du das auch gleich mit einem NAS oder irgend einem anderen Storage machen.
Der richtige Weg wäre, von außen, alles dicht zu machen mit Ausnahme von https und vllt. SSH (nicht über den Port Standard und mit public key authentication).
Dann noch im Nextcloud Encryption und 2FA konfigurieren und die Sache sollte sicher sein.
Moin,
einen Cloud Dienst hinter ein VPN zu sperren macht die Sache irgendwie Witzlos.
Dann kannst du das auch gleich mit einem NAS oder irgend einem anderen Storage machen.
Der richtige Weg wäre, von außen, alles dicht zu machen mit Ausnahme von https und vllt. SSH (nicht über den Port Standard und mit public key authentication).
Dann noch im Nextcloud Encryption und 2FA konfigurieren und die Sache sollte sicher sein.
Ich würde mal behaupten "nicht StandardPort" erhöht die Sicherheit nicht, wenn dahinter ein Easy Kennwort steht...
1
Moin,
am besten ein Proxy davor. Sonst kannst das so gleich sein lassen...
Grüße,
Christian
certifiedit.net
am besten ein Proxy davor. Sonst kannst das so gleich sein lassen...
Grüße,
Christian
certifiedit.net
Hallo zusammen,
ja das bestätigt Vorhaben, werde mir dann das mit 2FA von Nextcloud anschauen...
Thema DMZ ist vorhanden, dies wird durch eine pfSense Appliance realisiert, das LAN wird dann in einem anderen Netz hängen.
@certified.net, was meinst du mit Proxy davor, soll auf dem Raspi ein ProxyAnwendung laufen welch zuerst den Traffic analysiert/blockiert falls was merkwürdiges versucht wird? --> Fail2Ban nutze ich gerne auf VPS um den Zugriff zu reglementieren, wäre zumindest hier auch angebracht!
ja das bestätigt Vorhaben, werde mir dann das mit 2FA von Nextcloud anschauen...
Thema DMZ ist vorhanden, dies wird durch eine pfSense Appliance realisiert, das LAN wird dann in einem anderen Netz hängen.
@certified.net, was meinst du mit Proxy davor, soll auf dem Raspi ein ProxyAnwendung laufen welch zuerst den Traffic analysiert/blockiert falls was merkwürdiges versucht wird? --> Fail2Ban nutze ich gerne auf VPS um den Zugriff zu reglementieren, wäre zumindest hier auch angebracht!
Nein, auf der pfSense. Reverse Proxy...
Moin,
Option 2 läuft hier seit zwei Jahren über den Port 443 ohne Probleme. Bisher hatte ich auch nicht das Gefühl, dass mir was abhanden gekommen ist, oder ein Fremdling auf dem Server war.
Gruß...
Uwe
Option 2 läuft hier seit zwei Jahren über den Port 443 ohne Probleme. Bisher hatte ich auch nicht das Gefühl, dass mir was abhanden gekommen ist, oder ein Fremdling auf dem Server war.
Gruß...
Uwe
oder ein Fremdling auf dem Server war.
Mit der pfSense und der DMZ ist das auch absolut OK und der TO hat nichts falsch gemacht.
