Enpass, CALDAV und CARDDAV sicherer machen

[Don-DCH]

Guten Abend zusammen,

die aktuelle Situation ist sicherlich nicht optimal, deshalb würde ich gerne etwas ändern.
Aktuell nutze ich Enpass mit Tresor Synchronisation über Webdav in Verbindung mit meinem Synology NAS Port 5006 SSL

Sowie einen Carddav und Caldav Server auf meinem Synology NAS über SSL.

Für alles habe ich eine Portfreigabe am Router und entsprechende Firewall Einträge beim NAS eingerichtet.

Nun möchte ich aber alles sicherer gestalten, vorallem Enpass ist mir wichtig.

Ich möchte alles nur intern verfügbar machen.
Bezüglich Enpass sind meine Gedanken folgende:

Ich Frage mich, wenn ich als Webdav Synchronisierungsziel Beispielsweise 192.168.1.11 (NAS-IP) eintrage und mit dem Mobilfunknetz oder einem fremden WLAN verbunden bin wird dann ja trotzdem versucht die IP Adresse zu erreichen. Werden Benutzername und Passwort verschlüsselt übertragen? Durch Port 5006 sollte das ja so sein oder wie ist es bei Enpass wird alles verschlüsselt immer übertragen oder nur wenn ich Port 5006 eintrage? Aktuell habe ich es ja im Internet freigegeben und verwende dort einen Port über 10000

Alternativ dachte ich ich verwende meine eigene Domain, dies hätte ja den Vorteil, dass diese immer zu meinem Router zeigt durch einen A Record und garkein fremder Server angefragt wird in einem Fremden WLAN oder Mobilfunk Netz. Zu einer Synchronisierung kommt es nicht, da ich ja dann keine Freigabe mehr habe. Jedoch wäre das sicherer als eine IP oder?

WiFi Sync möchte ich eigentlich nicht verwenden, am liebsten wäre mir Webdav weiter nutzen zu können.


Bei dringender Synchronisierungsnotwendigkeit unterwegs würde ich dann ausschließlich VPN verwenden.

Bei CALDAV und CARDDAV sieht es ähnlich aus, das ist freigegeben aber es passieren ja nicht ständig änderungen, kann es da zu Problemen kommen wenn man nur im lokalen Netz synchronisieren lässt? Und nicht ständig die Möglichkeit besteht?
Clients wären iOS/iPad OS Geräte sowie EMClient und Android.

Über eure Ideen und Empfehlungen würde ich mich freuen!

Viele Grüße und einen schönen Sonntag!

 

[redjack1000]

ch Frage mich, wenn ich als Webdav Synchronisierungsziel Beispielsweise 192.168.1.11 (NAS-IP) eintrage und mit dem Mobilfunknetz oder einem fremden WLAN verbunden bin wird dann ja trotzdem versucht die IP Adresse zu erreichen.

Die von Dir geschilderte Adresse wird im Internet nicht geroutet und ist nur per VPN bzw. im LAN erreichbar.

Über eure Ideen und Empfehlungen würde ich mich freuen!

Benutze dauerhaft eine VPN Verbindung.

Cu
redjack

 

[Sykehouse]

wenn ich als Webdav Synchronisierungsziel Beispielsweise 192.168.1.11 (NAS-IP) eintrage und mit dem Mobilfunknetz oder einem fremden WLAN verbunden bin wird dann ja trotzdem versucht die IP Adresse zu erreichen. Werden Benutzername und Passwort verschlüsselt übertragen?

Die IP wird nicht erreichbar sein und somit kommt es schon gar nicht zur Übertragung von Benutzername und Passwort. Das passiert erst nach der erfolgreichen Verbindungsherstellung.

 

[Bob.Dig]

Sofern immer TLS genutzt wird, sollte niemand in der Lage sein, die Zertifikatsprüfung (deine Zertifikate) zu umgehen.

 

[Don-DCH]

Danke euch für die Rückmeldungen!

Die von Dir geschilderte Adresse wird im Internet nicht geroutet und ist nur per VPN bzw. im LAN erreichbar.

Hmm das heißt wenn ich beispielsweise enpass.intern.meinedomain.de nehme und per AdGuard das umschreiben lasse, so wie jetzt auch, würdest du sagen ich soll eher kein A Record auf meine Externe statische IP Adresse zeigen lassen?

Benutze dauerhaft eine VPN Verbindung.

Ja das habe ich auch überlegt ob es Sinnig ist das generell zu machen. Würde ja Über Profile beim iPhone gehen wenn ich mich da richtig erinnere oder welchen eleganten Weg gibt es für Android und iOS?

Die IP wird nicht erreichbar sein

Hmm Wenn ich über Mobilfunk verbunden bin nicht gell, weil es ja im Private IP Bereich ist, aber in anderen WLAN Netzwerken wäre das evtl. der Fall, denn das 192.168 Netz ist ja sehr gebräuchlich daher die Frage ob ich das noch optimieren kann wenn ich meine Subdomain nehme?

Das passiert erst nach der erfolgreichen Verbindungsherstellung.

Das wäre ja der Fall wenn ich mit WLAN in einem Netz mit Synology NAS und ebenfalls webdav server bin dann würde mein Endgerät ja ständig versuchen sich einzuloggen oder?
Bei meinem Domainnamen nicht da würde es ständig versucht werden aufzulösen was würde passieren wenn ich kein A Record setze?
Der Router in dem jewiligen Netz meldet an mein Endgerät Domain nicht auflösbar?
Das scheint mir ja das sicherste zu sein?

Sofern immer TLS genutzt wird, sollte niemand in der Lage sein,

Hmm das ist die Frage, das müsste man bei Enpass wohl anfragen?
Bei Caldav und Carddav steht bei Synology Überall das wohl SSL verwendet wird hmmm

die Zertifikatsprüfung (deine Zertifikate) zu umgehen.

Da kann man ein Haken setzen bei Enpass hatte ich auch shcon gemacht wegen selbstsignierten zertifikaten oder muss man ja machen wenn man per IP sich verbinden will soweit ich mich recht entsinne.
Wieder ein Pluspunkt für die Domainvariante. Lediglich Adguard Home muss funktionieren sonst geht garnichts mehr.

 

[Bob.Dig]

Wieder ein Pluspunkt für die Domainvariante.

Korrekt. Selbstsigniert würde auch gehen, aber dann müsste wirklich jedes Zertifikat einzeln abgefragt und nicht eine pauschale Genehmigung erteilt werden.

 

[redjack1000]

per AdGuard das umschreiben lasse, so wie jetzt auch

Ich kann Dir gerade nicht ganz folgen, AdGuard ist doch ein Werbeblocker? Was schreibt der denn bei Dir um?

würdest du sagen ich soll eher kein A Record auf meine Externe statische IP Adresse zeigen lassen?

Ich sehe da kein Problem, so lange man weiß, was man macht.

CU
redjack

 

[Don-DCH]

aber dann müsste wirklich jedes Zertifikat einzeln abgefragt und nicht eine pauschale Genehmigung erteilt werden.

Wie genau meinst du das ich dürfte kein wildcard Zertifikat ausgestellt haben für *.intern.meinedomain.de?

AdGuard ist doch ein Werbeblocker?

Genau, ich meine AdGuard Home, der kann noch ein bisschen mehr als Werbung blockieren

Was schreibt der denn bei Dir um?

So habe ich zum Beispiel die Möglichkeit enpass.intern.meinedomain.de auf die IP 192.168.1.11 umschreiben zu lassen. Sprich ich kann im Browser den FQDN angeben und komme auf mein Server.

Ich sehe da kein Problem, so lange man weiß, was man macht.

Oder ich lasse den A Record weg. Die Zertifikate hole ich eh per DNS Challenge.
Ist die Frage ob das besser ist im fremden Netz versucht er das aufzulösen aber dann kommt ein Fehler und es wird garnicht auf meine öffentliche IP umgeleitet vielleicht auch nicht verkehrt.

 

[Bob.Dig]

ich dürfte kein wildcard Zertifikat ausgestellt haben für *.intern.meinedomain.de?

Doch doch. Ich bezog mich nur auf die App(s), die tatsächlich Daten abfragen.

 

[Don-DCH]

@Bob.Dig Achso, dass ich da dann den haken setze Zertifikat vertrauen?
Das könnte ein Problem sein oder was meinst du genau?

 

[Bob.Dig]

oder was meinst du genau?

Wenn der Haken impliziert, dass Du jedem selbst signierten Zertifikat traust, egal woher es ist, dann hättest Du ein (theoretisches) Problem.