VPN Whitelisting für Nextcloud

[Offerus]

Hallo zusammen,

ich habe einen Raspberry Pi 3B mit raspbian stretch installiert. Darauf läuft eine Nextcloud, die über Port 443 mit der Außenwelt kommuniziert. Meine öffentliche IP wird regelmäßig mit "curl ifconfig.me" ermittelt und an einen DynDNS Server geschickt, damit ich von außen auf die Nextcloud zugreifen kann.

Nun möchte ich, dass alle anderen Dienste auf dem Raspberry PI über ein VPN laufen. Mein erster Ansatz war, die Ports 443 und 80 zu whitelisten. Dann wird vom curl Befehl aber immer die IP vom VPN Server zurückgegeben und ich kann nicht auf die Nextcloud zugreifen. Meine zweite Idee war über eine virtuelle Maschiene noch mal raspbian zu installieren, dort alle weiteren Dienste zu installieren und darüber auch das VPN laufen zu lassen. Nun hat raspbian allerdings kein KVM und keine VirtualBox, sodass ich momentan nicht weiß, wie das gehen könnte.

Habt ihr eine Idee, wie ich das VPN benutzen kann, die Nextcloud aber weiterhin erreichbar ist?

Beste Grüße
Offerus

[MSfree]

Durch den VPN-Tunnel kannst du alle Dienste nutzen, auch Own- oder Nextcloud.

[mat6937]

Habt ihr eine Idee, wie ich das VPN benutzen kann, die Nextcloud aber weiterhin erreichbar ist?

Versuch mal policy-basiertem Routing. D. h. für den Zugriff zu ifconfig.me soll das gateway (und output-Interface) benutzt werden, das z. Zt. auch für den Zugang zum VPN-Server (beim herstellen der VPN-Verbindung) benutzt wird.

[Offerus]

Durch den VPN-Tunnel kannst du alle Dienste nutzen, auch Own- oder Nextcloud.

Das wäre natürlich das Beste. Wenn ich versuche mit aktiviertem VPN auf dem Nextcloud Server von außen auf die Nextcloud zuzugreifen, kommt der Fehler

Die Verbindung zu DNS wurde unterbrochen, während die Seite geladen wurde.

Muss ich da noch etwas konfigurieren?

@mat6937: Sollte curl wenn ich nichts verändere nicht automatisch das gateway und output-Interface nutzen, das für den Zugang zum VPN-Server verwendet wird? Wie ändere ich das für curl?

[mat6937]

@mat6937: Sollte curl wenn ich nichts verändere nicht automatisch das gateway und output-Interface nutzen, das für den Zugang zum VPN-Server verwendet wird? Wie ändere ich das für curl?

Wenn Du z. Zt. nur ein default gateway via VPN hast, wird auch curl nur dieses benutzen.

Du kannst die Pakete die zu ifconfig.me (d. h. IP-Adresse und Port 80 oder 443) mit iptables in der OUTPUT chain table mangle, markieren. Mit ip eine rule für die markierten Datenpakete erzeugen. Mit ip eine route für das Ziel "IP-Adresse ifconfig.me", "table" aus der erzeugten rule, via "dein gewünschtes gateway" und dev "das output-Interface das zum gateway passt", konfigurieren.

[TomL]

ich habe einen Raspberry Pi 3B mit raspbian stretch installiert. Darauf läuft eine Nextcloud, die über Port 443 mit der Außenwelt kommuniziert.

OpenVPN ist auch meiner Meinung nach die optimale Lösung für nicht professionell betreute Zugänge in private Netzwerke. Der offene Port 443 wäre dann nicht mehr notwendig. Wie msfree schon gesagt hat, Du würdest dann von außerhalb via VPN-Tunnel ins LAN kommen und könntest dann alle Services quasi als lokaler Client nutzen. Vom Internet erreichbare und offene Ports fürs 443 und 80 kannst Du dann wieder schließen. Der Zugang erfolgt dann von außerhalb via den für VPN freigegebenen Port und einen sicheren Tunnel.

Meine öffentliche IP wird regelmäßig mit "curl ifconfig.me" ermittelt und an einen DynDNS Server geschickt, damit ich von außen auf die Nextcloud zugreifen kann.

Das brauchst Du dann weiterhin... zwar nicht mehr für Nextcloud, aber für den VPN-Tunnel.

Nun möchte ich, dass alle anderen Dienste auf dem Raspberry PI über ein VPN laufen.

Mit der Aussage kann man nicht viel anfangen.... die kann alles oder nichts bedeuten. Ich hoffe mal, Du meinst nicht, dass der PI quasi als Standard-Gateway/Router für einen VPN-Provider fungieren soll ... da solltest Du Dich dann noch mal über die Sinnhaftigkeit informieren. BTW, Dienste laufen nie über ein VPN, sondern immer lokal auf einem System. Allenfalls die Frage, von wo aus sie angesprochen bzw. genutzt werden können, beinhaltete die Frage "LAN oder WAN, VPN Ja oder Nein?". Ohne VPN sind Services nur lokal im LAN erreichbar, wenn keine Weiterleitungen von geöffneten Ports je Dienst auf dem Router eingerichtet sind. Mit VPN sind sie auch nur lokal im LAN erreichbar, aber das VPN sorgt halt dafür, dass entfernte Clients zu lokalen Clients werden, woduch alle Dienste quasi LAN-Intern vollumfänglich genutzt werden können.... allerdings bedarf es dafür auch die Port-Weiterleitung des geöffneten Ports für VPN.

Mein erster Ansatz war, die Ports 443 und 80 zu whitelisten.

Das wäre auch quatsch... offen ist offen, zu ist zu.... wenn Du 443 und 80 für das Internet geöffnet hast, mit entsprechenden lokal lauschenden Diensten, hast Du die volle Bandbreite an Attacken zu erwarten und das maximum an Aufwand zur Sicherung Deines Netzwerks zu leisten. Bist Du da nachlässig, ist Dein Server nur ein Honeypot im Web, der über kurz oder lang gehackt wird.

Habt ihr eine Idee, wie ich das VPN benutzen kann, die Nextcloud aber weiterhin erreichbar ist?

Ja, alle Ports auf dem Router wieder schließen, Nextcloud nur lokal erreichbar machen, von unterwegs einen VPN-Tunnel einrichten und dann von irgendwo auf der Welt Nextcloud als VPN-Client einfach LAN-Intern verwenden. Der Nachteil ist, man muss vor jeder externen Verbindung (z.B. mit dem Smartphone) eben OpenVPN starten. Der Vorteil ist, OpenVPN garantiert Dir bestmögliche Sicherheit gegen von außen kommende Attacken (im Vergleich zu direkt zur Cloud geöffneten und weitergeleiteten Ports).

jm2c

[mat6937]

Nun möchte ich, dass alle anderen Dienste auf dem Raspberry PI über ein VPN laufen.

Habe ich das richtig verstanden, Du benutzt einen fremden VPN-Provider, es ist nicht dein eigener VPN-Server?

[Offerus]

Ja, ich habe einen fremden VPN-Provider, daher ist die openVPN Lösung (dessen Sicherheitskonzept mich absolut überzeugt) nur machbar, wenn ich mit openVPN durch den fremden VPN Tunnel tunnel, was irgendwie absurd klingt.

Die iptables zu verändern finde ich gut, ich habe mich da noch nie dran getraut, aber einmal ist immer das erste mal

[MSfree]

Wenn ich versuche mit aktiviertem VPN auf dem Nextcloud Server von außen auf die Nextcloud zuzugreifen, kommt der Fehler

Die Verbindung zu DNS wurde unterbrochen, während die Seite geladen wurde.

Wie, bzw. mit welchem Hostname versuchst du bei laufendem VPN auf deine Cloud zuzugreifen?

Natürlich wird das nicht klappen, wenn du den Hostnamen verwendest, den du bei deinem DynDNS-Dienst eingetragen hast.

OpenVPN ist, wenn man es richtig konfiguriert, eine Verlängerung deines Heimatnetzes. Es gelten dann also die Hostnamen und IP-Adressen, die du zuhause im LAN nutzen würdest. Also erst VPN aufbauen und dann z.B. mit 192.168.xx.yy auf deinen Raspi zugreifen.

Muss ich da noch etwas konfigurieren?

Nunja, OpenVPN kann man auf 1000 und eine Art konfigurieren. Die einfachste für dich ist im sogenannten bridged Modus, dann gilt, was ich oben geschrieben habe.

[MSfree]

Ja, ich habe einen fremden VPN-Provider, daher ist die openVPN Lösung (dessen Sicherheitskonzept mich absolut überzeugt) nur machbar, wenn ich mit openVPN durch den fremden VPN Tunnel tunnel, was irgendwie absurd klingt.

Warum verbindest du dich über einen externen VPN-Provider?
Eine OpenVPN-Verbindung nach Hause kannst du genauso aufbauen, wie einen Verbindung zu Port 443. Du mußt halt einen OpenVPN-Server auf deinem Raspi einrichten . Den externen VPN-Provider brauchst du dann überhaupt nicht.

[Offerus]

Ja mit openVPN wäre mir das klar. Allerdings verwende ich einen komerziellen VPN Anbieter und ich bin mir nicht sicher, ob ich über dessen Server einen privaten openVPN Tunnel nach Hause aufbauen kann.

EDIT: Okay, ich sehe, das ist wieder mal ein Post, der Verwirrung stiftet, weil im ersten Beitrag nicht genug Informationen gegeben wurden, das tut mir Leid. Ich hatte alles andere als irrelevant erachtet. Ich habe auf dem Server noch qBittorrent laufen, mit dem ich legal Dateien für Freunde berreitstelle, aber wenn z.B. debian buster stabel ist, würde ich das auch darüber runterladen. Ich möchte aber nicht, dass dabei jemand meine IP mitschneidet und behauptet ich hätte etwas anderes runtergeladen.

[TomL]

Allerdings verwende ich einen komerziellen VPN Anbieter ...

Bei dem Hintergrund empfehle ich Dir, hier im Forum einfach mal Deine Beweggründe dafür kurz zu beschreiben. Fakt ist, wenn man Dir so einen kostenpflichtigen Dienst aufgeschwatzt hat, mit dem Geschwafel über Anonymität und sicheres Surfen, hat man Dich hinters Licht geführt und irgendwer hat ne schöne Vermittlungsprämie kassiert. Je nachdem,wie Deine Absichten sind, kanns also durchaus so sein, dass Du Geld dafür bezahlst, ohne jedoch eine Gegenleistung zu bekommen.... zumindest nicht die, die Du dir erhoffst.

Wenn Du so ein VPN-Gateway nutzt, sollte Dir klar sein, dass so ein Gateway immer nur die Person (also den Surfer schützt), nicht Deinen PC oder Dein Netzwerk. Und sobald Du bei Verwendung eines solchen Gateways irgendwo Deine Mails abrufst, Dich hier im Forum anmeldest, bei Twitter, Facebook, GMX, Web.de, Gmail, weissderHenkerwonoch mit Account-Daten anmeldest... ab dem Moment ist der Schutz neutralisiert. Ebenso neutralisierst Du den Schutz via systemischer Fingerprints (z.B. Browser). Als VPN-Familien-Gateway ist so ein VPN imho völlig untauglich.... die Bedienung der Clients-PCs im Netz bedarf solch extrem hoher Disziplin und Sachkenntnis, die eben hier anscheinend nicht gewährleistet ist, dass das faktisch auf Bezahlung für heisse Luft hinausläuft.

Und nein, ein solches Gateway ist eine Einbahnstraße, Du wirst darüber nicht ins Heimnetz kommen. Denn ein solcher Weg würde ja völlig der Anonymisierung widersprechen. Ganz nebenbei bemerkt halte ich solche VPNs für Datenschutztechnisch weitaus kritischer, als surfen ohne VPN. Bei meinem Provider weiss ich, dass er meine Daten sieht, bei einem VPN-Gateway weiss ich allerdings überhaupt nicht, wer alles meine Daten sieht.... ich weiss aber, dass die alle meine Daten sehen würden, vollständig, weil ich sie eben komplett durch dieses kleine Nadelör schleuse... dem entgeht also nix. Aber wie gesagt, man könnte besser beurteilen, ob Du Dir damit einen Gefallen tust oder nicht, wenn man weiss, warum Du glaubst, so etwas zu benötigen.

[Offerus]

Hmmn ok, ist jetzt etwas offtopic aber interessant Wie gesagt, wäre das Szenario, das ich vermeiden will folgendes: Ich torrente z.B. linux, eine Firma scant die IPs der Leute, die diese Datei laden und schickt Mahnungen raus man hätte etwas ganz anderes runtergeladen (ist zwar verboten und ich hätte recht, wird aber trotzdem teuer, doof), also ein ähnliches Vorgehen wie bei den redtube Abmahnungen damals. In dem Fall kämen die halt nur bis zum VPN Server. Da ich das ganze nur auf dem Raspberry Pi habe, über den ich nicht browse, geht auch nicht mein gesamter Internettraffic darüber. Wobei es tatsächlich eine interessante Fragestellung ist, ob es besser ist den Traffic über einen Anbieter zu senden, wo man weiß, dass der abhört, oder über einen Anbieter der einen eventuell abhören könnte.

Ich habe jetzt für die iptables Lösung einen link gefunden, allerdings übersteigt das definitiv meine Fähigkeiten. Meint ihr es gibt eine Lösung irgendwie noch ein raspbian als virtuelle Maschiene laufen zu lassen, in dem aller Traffic übers VPN läuft und alles außerhalb der VM nicht übers VPN geht?

[TomL]

Ok, Torrent ist ein Szenario, was ich wohl auch anonymisieren würde.... und aus ähnlichen Motiven habe ich das schon vor Jahren hier abgeschafft und nutze das nicht mehr. Deshalb habe ich dazu dann auch keine weitergehende Meinung mehr.

Meint ihr es gibt eine Lösung irgendwie noch ein raspbian als virtuelle Maschiene laufen zu lassen, in dem aller Traffic übers VPN läuft und alles außerhalb der VM nicht übers VPN geht?

Warum muss es überhaupt ein Raspbian sein? Du kannst doch auf jeder Maschine eine VM mit z.B. Debian laufen lassen, die dann wieder explizit dieses VPN verwendet, wo hingegen der physische Host (auf dem die VM läuft) ein normaler LAN-Client sein kann. Das geht nur nicht mit einem Raspi, weil der als Bastelrechner für anspruchsvolle Aufgaben schlichtweg zu schlapp ist. Ganz nebenbeibemerkt, ich hatte früher auch mal 3 Raspis am Laufen, 1 Server, 1 JDL2, 1 FTP-Server.... das macht heute stromsparender 1 NUC mit primären Services und 2 VMs für 'weitere' Services.