Extra Firewall für VM - OpenVPN

Hallo zusammen, ich bin gerade dabei mein Heimnetzwerk auf Vordermann zu bringen und teste dabei erstmal ausgiebig.

Ein Bestandteil der fertigen Lösung wird eine Nextcloud sein. Auf diese will ich von außen zugreifen. Da ich kein Fan von vielen Portforwards bin, soll der Zugriff via OpenVPN erfolgen.

Momentanes (Test-) Setup - ein alter Laptop mit Proxmox - darauf läuft ne VM mit Ubuntu und Nextcloud, und ne separate VM mit Ubuntu Server (soll Alpine werden) und da drinnen ist OpenVPN.

Ich hab bei DynDNS ne Domain, die leitet auf meine dynamische IP weiter. Im Standard-Router ist ein Portforwarding auf die OpenVPN VM eingerichtet. Klappt alles bestens.

Jetzt bin ich ein eher sicherheitsorientierter Zeitgenosse und will das bestmöglich absichern. Hab schon SSH mit public key aktiviert, und würde auch sonst noch Härtungsmaßnahmen vollziehen (fail2ban) und diese Anleitung befolgen (ein Radius Server wäre zu viel des Guten oder?).

Anyway: Jetzt das Problem, wenn ich die ufw in Ubuntu aktivere geht erstmal nichts mehr... hab dann die Nextcloud Ports aufgemacht, das ging dann, aber ja, Plex zickt, das Netzlaufwerk (SMB) war nicht mehr erreichbar etc.)

Muss ich da jetzt jeden einzelnen Port freigeben? Oder reicht die firewall von meinem router... weil ein Angreifer der über einen nmap sieht dass 1194 offen ist (final würde ich den wohl in die höheren 40.000 schieben - geringeres Risiko bei Portscans), jedenfalls ein Angreifer der den offenen Port sieht, sieht ggf. dass da OpenVPN läuft und sofern da keine ungepatchte Sicherheitlücke ist, kommt er mit BruteForce und nem 4000 Bit Schlüssel ja nicht weit - oder gibt es da was ich übersehen hab?

Bevor du die UFW aktiv schaltest, solltest du natürlich alles soweit freigeben, dass du dich zumindest nicht selber ausschließt.
Andere Portfreigaben können dann auch im nachhinein gepflegt werden. UFW bietet sogar, soweit ich weiß, Protokolldefinitionen, sodass du z.B. SMB einfach in dein komplettes Netz freigeben könntest.
Auf jeden fall bringt die UFW an der Stelle für die Geschichte relativ wenig, denn die Ports die du dort Freigibst, musst du ja schon vorher am Router forwarded haben. Damit sind die also ohnehin schon offen.

Mit Bruteforce wird an so Maschinchen keiner rangehen. Entweder so Sachen sind einfach zu knacken, oder die Angreiffer gehen an den nächsten, der nicht so gut gesichert ist.

@Kyze

Danke für Deine schnelle Antwort. Ja klar, wenn ich die Firewall aktiviere, dann müsste ich alle Ports freigeben, die benötigt werden.

Also Du meinst, ich müsste sie aber auch gar nicht aktiviert haben, weil der router ja schon eine Firewall hat? Dort ist ja der OVPN Port weitergeleitet, auf diese einen Port der OVPN VM... spricht theoretisch dürfte ein Angreifer nur auf diesen Port zugreifen können (auch ohne Firewall...), da daran aber das OVPN sitzt, kommt er nicht rein. Wäre halt die Frage, ob ich da was übersehen habe, wonach man halt eben auf andere Ports geht, und somit die Kontrolle erlangt / Code ausführen könnte...

Korrekt, eigentlich brauchst du die Firewall nicht, wenn dein Router ja sowieso davor hängt.
Zu deinem OpenVPN sollte nur der eine Port gemappt sein, der Rest wird ja ohnehin vom Router geblockt.

Sinn machen würde es nur, wenn in deinem Netz (also "nach" dem Router) etwas auf Ports zugreiffen könnte, was du nicht möchtest.
Aber wenn da ein Bösewicht unterwegs ist, hast du andere Probleme.

Generell würde ich sagen hast du mit deinen Mitteln deinen Server schon maximal unfreundlich zum einfachen Kapern gemacht.

Spätestens wenn du nicht mehr die Standard-Ports nutzt, wird sich keiner mehr die Mühe machen da versuchen einzubrechen.
Sollte es jemand direkt auf dich abgesehen haben, lässt der sich von sowas natürlich nicht abhalten, aber auch da bietest du die geringstmögliche Angriffsfläche.

Eigentlich kann ein Angreiffer nur an dein OpenVPN Server kommen wenn er:
-den Port kennt (noch relativ einfach über einen Portscan, da ist dann halt was offen und da wird dann weiter herumgestochert)
-den Dienst kennt, der hinter dem Port lauscht (wird vermutlich auch noch gehen, ist mir aber schon etwas zu hoch)
-eine Schwachstelle dieses Dienstes ausnutzt, die zum Zeitpunkt noch unbekannt/ungepatcht ist.

Die Chancen sind dafür relativ gering weil, wie gesagt, die Leute die auf leichte Beute aus sind schon längst beim nächsten VServer anklopfen, der sich nicht so viel Mühe gegeben hat.

Ist wie mit Fahrrädern, wenn deins mit 3 Schlössern an ner Laterne hängt und daneben eins mit ner alten Socke festgebunden ist, wird sich keiner die Mühe machen deine 3 Schlösser durchzuflexen, es wird einfach das nächstbessere genommen.
Und im Internet gibt es sicherlich einige mit Socken festgebundene Server

Top- Danke Dir für die Info, dann bin ich bisschen beruhigter :-) Und klar, wenn es einer auf mich abgesehen hat, hab ich andere Probleme...

Persönlich traue Ich meiner Fritzbox 7390 auch nicht so ganz Datenrechtlich zumal sich bsp auch das Ergebnisprotokol überhaupt nicht abstellen läst ab Werk.

Meine Vorstellung währe auch aus einem Rasperi oder Up Squared eine einen eigenen Firewall/Hardware/Zugangs Router/Modem zu basteln aber das ist schon ne Hausnummer Linuxtechnisch