Qnatsch, du würdest wirklich ein VPN aufbauen zu einem Netz, in dem du keine Kontrolle hast? Wenn dort Besuch empfangen wird und die nach dem WLAN fragen und mit völlig fremder Technik einsteigen? Das ist kein Sicherheitsproblem für dich?
Gruß PetiJ
IP Bereiche dauerhaft blocken
- PetiJ
- Erledigt
-
du würdest wirklich ein VPN aufbauen zu einem Netz, in dem du keine Kontrolle hast?
Natürlich nicht.
Aber Dein Weg ist auch nicht gut.
Deshalb hab ich Webspace.
Alles was andere sehen können oder sollen pack ich auf Webspace.
-
Meine Daten - meine Vetantwortung
Für dich wird es keine Lösung geben
-
DSL-ANschluss -- Fritzbox 7590 -- OPNsense Hardware -- Switch -- restliche LAN-Geräte.
Ja genau so aufbauen.
VPN von einem Netz, das nicht unter meiner Kontrolle steht sehe ich sehr kritisch. Wenn dort jemand Unfug macht ist auch mein Netz kompromitiert.
Mit einer richtigen Firewall weniger ein Problem, denn ohne Regeln ist auch für VPN Tunnel erstmal alles geblockt. Dann gibt man Quell IP auf Ziel IP mit Protokoll und Port frei, ganz granular.
Dann müsste der Gast schon dem anderen System die IP klauen um durch das Regelwerk das NAS zu erreichen.
-
Dann müsste der Gast schon dem anderen System die IP klauen um durch das Regelwerk das NAS zu erreichen.
... ist es nicht so, dass wenn die Fritzboxen per VPN gekoppelt sind, jemand bei meiner "Familie/Freunden" automatisch die richtige IP hat? Da meine FB dann vor der Firewall steht... die zulässigen IPs sind in der Firewall einzutragen, wohl aber eher als Range, oder? Ev. nur die IP des RPi mit Kodi...
danke, für den Hinweis, dass meine Verkabelung so klappen kann. Du hattest Anfang mal geschrieben, dass ich 2 FBs brauche... Mir ist klar, dass meine eine FB dann natürlich ohne Firewall-Schutz bleibt, so wie sie bisher auch läuft. Das Restrisiko muss ich dann wohl eingehen.
Danke für die Hinweise.
Gruß
PetiJ
-
Was denn nun, Fritzbox oder Sense?
Bei der Fritzbox kannst du auch einstellen ob alle oder nur bestimmte IPs das VPN nutzen dürfen.
Bei der Sense musst du auf dem IPsec Interface erst mal Regeln erstellen, ansonsten wird dort nichts eingehend durchgelassen.
Ich habe bei meiner pfSense daher weit mehr als 100 Regeln aktiv um die jeweiligen Zugriff granular zu steuern.
-
Warum?
Du kannst auch von einer Sense einen Tunnel zu einer FritzBox aufbauen, ich habe hier zwei solcher Tunnel dauerhaft aktiv. Zu einer 7590 und einer fast antiken 7362 SL.
Der Tunnel kann aber nicht mit dem Mithalten der zwischen meinen beiden pfSense besteht, der mit AES GCM 256, DH19 extrem viel besser abgesichert ist. Auch ist NAT und mehrere P2 Einträge so kein Problem, so kann ich von hier aus auf das Cabel Modem meine Eltern schauen, obwohl es die gleiche real IP hat wie mein eigenes.
Eine Sense ist eine ganz andere Liga wie eine Fritzbox, die kann on/off, bei der Sense kannst du jeden Parameter im Detail konfigurieren. Ja ist komplexer, aber das macht man einmal sauber dann läuft es.
-
Eine Menge, selbst wenn du dich mit Firewalling usw. auskennst, kannst du sehr lange an einer pf Konfiguration feilen und immer wieder mal hier und da was im Detail optimieren.
Es kommen ja auch immer wieder Updates und damit neue Features, die man dann auch mal testet und das eine oder andere wirkt sich dann sehr positiv aus.
Gerade eine zweite Atom C3558 Kiste installiert und mit der 23.05 testweise mit einem IPsec Tunnel im LAN mit meiner verbunden, da läuft dann das GBit ganz locker durch den VPN Tunnel, ohne das man eine Latzenzerhöhung usw. feststellt. Dankte Intel Quick Assist läuft da AES GMC 256 in Hardware und die Kisten sind weit weg von ausgelastet obwohl man gerade 1GBbit durch den Tunnel schiebt.
Das so etwas funktioniert muss aber die Hardware Plattform passen, die zweite Kiste ist in dem Fall eine Sophos SG 135 Rev3 von eBay.
-
ftp im offenen Internet ist sehr unsicher. Da wird selbst das Passwort im Klartext übertragen.
sftp basiert auf dem sicheren und viel genutzten (und getesteten) ssh. Die Sicherheit steht und fällt mit der Sicherheit der verwendeten Passwörter.
sftp mit Anmeldung ausschließlich über ssh-Keys bietet mMn. in etwa die Sicherheit wie VPN.
Meine Empfehlung:
- Leg die Firewall erst einmal zur Seite. (Die kann auch kontraproduktiv sein, wenn du was falsch machst und dich in trügerischer Sicherheit wiegst.)
- Kein ftp, sondern nur sftp einschalten.
- In der Fritzbox öffnest du einen eingehenden Port für ssh (und sonst keine Portfreigaben), aber nimm nicht 22 sondern einen hohen oberhalb von 50.000. Das alleine macht den Zugang noch nicht sicher, reduziert aber die Meldungen wegen Angriffsversuchen drastisch. (Am Qnap darfst du hingegen Port 22 verwenden.)
Dann entweder (bessere Lösung)
- Zugriff nur über ssh-Keys. Schaffst du es, alle Familienmitglieder dazu zu bringen, sich über ssh-Keys anzumelden? Ich weiß jetzt ja nicht, welche Software die nutzen und wie kompliziert ssh-Keys damit sind.
- Im ssh-Dämon deaktivierst du die Möglichkeit, sich per Passwort anzumelden. (Das ist etwas tricky, aber ich kann dir damit helfen.)
oder
- du musst alle Familienmitglieder dazu bringen, wirklich sichere Passwörter zu verwenden. Zwölf zufällige Zeichen sind sicher. IdR. brauchen sie nur einmal eingetippt zu werden; wenn sie dann in der App gespeichert bleiben ist das ok.
- Sichere Passwörter nutzen gar nichts, wenn der Admin sich weiterhin mit Standardpasswort anmelden kann. Also hier aufpassen, dass keine Löcher entstehen.
-
Kannst du auf den Pis ein Shellskript einbinden, welches beim Systemstart automatisch startet?
Dann kannst du in dem Shellskript einen ssh-Tunnel für altes unsicheres FTP aufbauen, und in Libreelec verbindest du dich mit FTP an Localhost (was dann das eine Ende des Tunnels ist). Damit hast du dann auch dieselbe Sicherheit.
-
Sieht so aus als ginge es ...
Startup & Shutdown - LibreELEC.wiki
Ich habe kein LibreElec, kann also selbst da nichts testen.
-
Fritzbox kannst du auch einstellen ob alle oder nur bestimmte IPs das VPN nutzen dürfen.
Man kann / muss in d. Fritzbox auch die Benutzer für VPN berechtigen.
