Nextcloud extern erreichbar machen

@Tom111222333

 
Was spricht denn gegen Cloudflare Tunnel? https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/
Damit hast du genau das Konzept was du haben möchtest, einen Reverse Proxy (Der halt bei Cloudflare läuft) und von dort aus wird dann ein Cloudflare-Tunnel (VPN) zu einem Docker Container bei dir zuhause aufgebaut.. So habe ich das für statische Dienste gelöst und bisher keinerlei Probleme.
 
Cloudflare wäre natürlich auch eine Variante.


Der VPN Datenverkehr ist sehr wohl verschlüsselt soweit ich das richtig sehe.
 
Verschlüsselt heißt nicht direkt sicher.
Hab ich Zugriff auf deinen Server, kann ich jeglichen traffic in dein Heimnetz sehen der über deinen server läuft
 
Crumar schrieb:
kann ich jeglichen traffic in dein Heimnetz sehen der über deinen server läuft
Der ebenfalls verschlüsselt ist... Da muss man schon den Traffic aufbrechen, was zu Zertifikatsfehlern führt.
 
@gaymor it depends. Nutzt er z. B. Zwischen reverse proxy und internem service auch https?

Egal.. Eine zusätzliche Maschine im Internet ist unsicherer als nur ein Port hinter dem Router (hinter = im Heimnetz). Der Service der dort Arbeitet (beliebiger reverse proxy) ist ja der gleiche, nur hab ich sonst eben noch nen Server, den ich administrieren muss und alle ports im internet zugänglich sind
 
Die eigentliche Lösung ist Folgende:

Auf dem v-Server richtest du den proxy manager für die Domain (könnte auch kostenlose dyndns sein) ein. Der Zielhost ist dann derjenige, der über das Wireguard-VPN erreichbar ist, also deine Nextcloud.

Also haben dannndein vServer und dein Heimnetz eine permanente Direktverbindung. Der vServer bzw. der nginx Proxy manager reicht gültige Webanfragen dann an dein Heimnetz via VPN durch. Fertig.

Natürlich muss am wireguard-Endpunkt noch die IP-Konfig so gemacht werden, dass die Nextcloud erreicht werden kann.

Aber das ist eine Sache der Wireguard-Konfig und sollte, wenn es keine exotischen subnet Konfigs geht, quasi von alleine klappen.

Der vServer muss dann durch WG so konfiguriert werden, dass er Anfragen an 192.168.178.0/24 über den WG Tunnel schickt. Der Tunnelendpunkt muss die Pakete aus dem Tunnel dann ins lokale Heimnetz weiterleiten.
 
So, ich hab es geschafft. Es war letztendlich ein Firewall Problem am VServer. Port 443 war nicht freigegeben, weshalb logischerweise alle Anfragen ins leere führten. Ich habe jedoch nun vorerst die Website über den Nginx Proxy Manager wieder deaktiviert, um weitergehende Sicherheitseinstellungen vornehmen zu können.

Da der Server im Internet zugänglich ist, und ich verhindern möchte, dass Mails, Daten etc. irgendwo landen, wo Sie nicht landen sollen, brauche ich nochmals eure Unterstützung. Wie kann ich den Server vernünftig absichern? Ich habe beim VServer bereits Fail2ban installiert, und den SSH Port geändert, sowie ein sehr sicheres 16 Stelliges Passwort, generiert mit dem Bitwarden Passwortmanager hinterlegt. Das selbe habe ich mit dem Nextcloud Server getan. In Nextcloud ist die 2 Faktor Authentifikation aktiviert. Zusätzlich habe ich automatische Updates mittels dem "unattended-upgrades" Paket auf allen Servern aktiviert.
 
Tom111222333 schrieb:
Ich habe beim VServer bereits Fail2ban installiert, und den SSH Port geändert,
Security through obscurity. Kann man machen, ob es hilft ist fraglich.
Tom111222333 schrieb:
sowie ein sehr sicheres 16 Stelliges Passwort, generiert mit dem Bitwarden Passwortmanager hinterlegt.
Das würde ich abschalten. Öffentlich erreichbare SSH-Server nutzt man nur mit Public-Key-Authentifizierung. Dann können dir auch die fehlgeschlagenen Loginversuche in den Logfiles herzlich egal sein.
 
  • Gefällt mir
Reaktionen: nospherato
Zurück
Oben