ComputerBase Menü
Aktuelles

Homelab / Traefik absichern

SunnyStar

SunnyStar

Lt. Junior Grade
Registriert
Okt. 2008
Beiträge
365
Hallo zusammen,

ich habe mir mit einem Raspberry Pi 4 ein kleines Homelab aufgebaut, und habe 3 Services (Bitwarden+NextCloud+Wireguard VPN) von außen erreichbar konfiguriert. Auf dem Raspberry sind alle Services innerhalb von Docker Container konfiguriert. Der Raspberry hat keine SD Karte sondern bootet immer von der USB SSD.

1671127068057.png


Ich habe als Reverse-Proxy Traefik im Einsatz und das klappt auch alles.
Erreichbar sind die Services über:

https://bitwarden.meinedomain.ddnss.de
https://nextcloud.meinedomain.ddnss.de
vpn.meinedomain.ddnss.de

Alles schön und gut - aber wie kann ich das ganze nun gegen Bruteforce oder DDOS Attacken genau schützen?
Container Nr. 13 - Authelia - habe ich deaktiviert. Wieso? Weil ich von den Handyapps nicht darauf zugreifen konnte während Authelia als eine 2 Faktor Authentifizierung für Bitwarden und Nextcloud konfiguriert war.

Ich habe nun auch Fail2ban als Container installiert welcher die Logfiles von den beiden Applikationen überwachen soll - aber reicht das aus?

Habt ihr noch weitere Ideen?

Danke & Gruß,
Matheus

€dit:
Ich suche nach einer Lösung die sich am Raspberry Pi implementieren lässt. Keine weitere Hardware o.ä :-)
 
Zuletzt bearbeitet:
Schau mal Cloudflare an.

Für deine Zwecke kostenlos, hab ich auch gemacht.
Von denen bin ich echt begeistert.

Brauchst nur einen Account anlegen und evtl. DNS Server umstellen.

Mein ganzes Homelab läuft auch über die. (ca. 15 Dienste, eigene Domain aber nicht von denen)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: SunnyStar
SunnyStar schrieb:
oder DDOS Attacken genau schützen?
Zum Vergrößern anklicken....
Gar nicht in dem Konstrukt weil selbst wenn der Pi die Pakete droppen würde, wäre deine Fritzbox bzw. dein WAN Anschluss trotzdem komplett dicht.
 
  • Gefällt mir
Reaktionen: SunnyStar
Das stimmt nicht.

Cloudflare proxied deine IP, oder macht auch nur das DNS (weniger Features).

z.B. bei mir:

IP für meine Domain:
104.21.xxx.xxx

Meine Router IP: (Modem Bridge + OPN Sense + Ports weiterleiten an die Dienste)
80.108.xxx.xxx (öffentliche IPV4, der Cloudflare Proxy bzw. DNS leitet darauf um, aber niemand weiß das außer Cloudflare)

Cloudflare (die 104er IP) leitet alle Anfragen zu meiner öffentlichen IP weiter.
....trackt allen Traffic und wehrt DDOS Attacken ab.
(Logging, Blocking, Ländersperren, usw. alles 4free)

Rein technisch ist es möglich dass jemand deine Router IP direkt attakiert.
Dann geht nichts mehr.
Aber die kennt niemand, wenn Du den CF Proxy aktiv machst.
Rein zufällige DDOS Attacken gibt es selten.

Die Zauberei besteht darin, deine Domain von Cloudflare auflösen zu lassen.
(Bei deinem Domain Dienstleister die Cloudflare DNS eintragen)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: SunnyStar
Dann schaltest du einen Layer vor deinen WAN Anschluss, damit geht das dann natürlich.
Aber du kannst mit dem Pi keinen DDOS Attacke abwehren, dann ist es schon längst zu spät, so meinte ich das. :)
 
  • Gefällt mir
Reaktionen: SunnyStar
Du kannst mit dem Pi nur unbefugte Zugriffe abwehren.
(fail2ban)

Das stimmt.

Wenn Du den Cloudflare Proxy verwendest kannst Du sogar ganze Länder oder Kontinente blocken, Zugriffe, Traffic, usw. analysieren.

Sollte es einen zufälligen Angriff auf deine private IP Adresse geben (NICHT DOMAIN) , gibt es kostenfrei kein Mittel diesen abzuwehren.

Aber warum sollte das passieren?

DDOS wird auf populäre Websites ausgeführt.

Irgendeiner wahhlosen IP (Lieschen Müller) das Internet wegzunehmen hat ohnehin wenig Sinn.
(nach Sicherheitslücken zu suchen schon eher)
Ergänzung ()

@SunnyStar

Noch ein Lob für deinen Startbeitrag.
Da sieht man sofort was läuft.
Da könnten sich viele eine Scheibe abschneiden.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: SunnyStar
@IBISXI
🙏Danke
Du benutzt dann den „Cloudflared“ Container und hast deine Services über den Tunnel erreichbar gemacht?
Ich muss mal schauen ob bei ddnss.de sich der DNS auch anpassen lässt so wie das in diversen Howto‘s zu dem Thema angegeben wird.
Danke für den Tipp!

Eine Frage Abseits - nutzt du für jeden Service eine eigene Docker-Compose-Datei oder alles zusammen in einer?
 
Wenn Du eine eigene Domain hat, kannst Du die DNS Server dafür selber festlegen.

Du stellst bei deinem Domaindienstleister die DNS Server auf Cloudflare um.

(ich habe rein ein eine Domain gekauft... (internex.at) und dort kann ich die DNS Server einstellen)

Mach erst mal einen Cloudflare Account, dann erklärt sich vieles von selbst.
(du wirst angeleitet)

Ich bin mir sicher dass Du auf YT mit den Suchbegriffen Cloudflare und Homelab auch schon einiges finden
kannst.

Ansonsten bin ich auch gerne bereit hier weiterzuhelfen.
 
@IBISXI

Ich hab nochmal eine Frage zu DNS/DynDNS

Ich hab eine Test-Domain bei DDNSS.de -> da kann ich den Cloudflare DNS nirgends hinterlegen.
Ich hab eine Kauf-Domain bei INWX.de -> da kann ich den Cloudflare DNS eintragen, im Cloudflare-Account scheint nun auch alles tutti zu sein, aber beim Aufruf meiner Services geht nichts mehr.

https://nextcloud.meinedomain.xyz bekomme ich im Browser: nextcloud.meinedomain.xyz was successfully registered. There is no content yet.

Bei DDNSS.de hatte ich ein DNS Update auf den Hostnamen meinedomain.ddnss.de gemacht -> somit wurde beim Aufruf von nextcloud.meinedomain.ddnss.de immer auf meine Public IP gezeigt.

Bei INWX.de hab ich zwar meine Domain Registriert (meinedomain.xyz) kann aber nur einen DynDNS Eintrag erstellen / aktualisieren den ich rpi.meinedomain.xyz genannt hab. Muss ich nun nextcloud.rpi.meinedomain.xyz in Zukunft verwenden um an meine Services zu kommen? (Da kommt übrigens auch die Meldung wie oben beschrieben im Browser...)
 
Sorry, ich hatte diesen Thread fast vergessen.

Bist Du weitergekommen?

Einige Sachen von deinem Beitrag sind mir nicht klar.
 
Tatsächlich nicht.
Ich arbeite nun mit der kostenlosen Dyndns-Adresse statt der erworbenen Domain.
Das absichern via Cloudflare hab ich verworfen, da nur bestimmte "Provider" das auch unterstützen.

Was sich jedoch geändert hat: Bin weg vom Raspberry Pi zu einem HP Mini PC:

1673779243335.png


Der verbraucht im Idle zwischen 5-6 Watt (nur Proxmox installiert) und hat dann bei Bedarf mehr Leistung als der Raspberry.
Der Pi ist mir beim Upload großer Dateimengen via Nextcloud hängen geblieben (RAM ist voll gelaufen)
(Den HP Mini hab ich gebraucht bei eK für 100€ bekommen)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Vaultwarden (Docker) mit fail2ban absichern
Antworten
5
Aufrufe
1.368
SpartanerTom
SpartanerTom
H
Möglichst anonym im Internet unterwegs sein, IP verschleiern, Heimnetzwerk absichern - Netzwerk-Sicherheits-Anfänger fragt
2 3
Antworten
40
Aufrufe
2.466
Thorakon
T
Tempo
Webserver absichern
Antworten
7
Aufrufe
1.488
FranzvonAssisi
FranzvonAssisi
K
RDP zusätzlich absichern
Antworten
6
Aufrufe
7.634
Riseofdead
Riseofdead
S-Force
Windows 2k8 Webserver absichern
Antworten
4
Aufrufe
2.422
S-Force
S-Force

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz