Nextcloud-Pi & NAS im selben Netzwerk

[Xechon]

Servus zusammen,

ich habe in meinem Netzwerk ein Pi 4b mit 4 GB. Darauf läuft u. a. Wireguard, Teamspeak, Homebridge, und noch ein paar Sachen. Im selben Netzwerk hängt auch mein NAS (natürlich nur per VPN Wireguard dank Raspi erreichbar).

Da ich aber für meine Familie gerne hin und wieder ein paar Alben mit Kinderfotos usw. freigeben würde, habe ich überlegt noch Nextcloudpi auf dem Raspi zu installieren. Ich hab gesehen, dass man dann den Pi über Port 80 und 4443 Sichtbar machen muss. Im Hinblick auf das NAS im Netzwerk (und natürlich auch alle anderen Geräte): Absolutes No-Go oder kann man mir im Zweifel „nur“ den Raspi angreifen?

Vielen Dank für euren Input.

Viele Grüße

Xechon

 

[ChristianSL]

Kann man schon so machen. Kannst auch nen Nginx als revrese proxy mit oder ohne basic auth vorn auf den Raspi packen.
Meine Cloud hängt bedenkenlos im Netz, aber eben auch auf eigener, gewarteter Infra.

 

[Xechon]

Kannst auch nen Nginx als revrese proxy mit oder ohne basic auth vor auf den Raspi packen.

Da bin ich schon raus. Ich habe zwar „reverse proxy“ schonmal gelesen, weiß aber nicht, was das ist oder wie man das umsetzt. Die User hätte ich halt per 2FA geschützt.

 

[ChristianSL]

Dafür kannst du die reguläre Beispiel-Config für Nginx als Vorlage nehmen, weil die das im Endeeffekt schon tut um die requests an PHP weiterzuleiten, nur eben dann nicht auf 127.0.0.1:9000 sondern auf die IP und den Port auf deinem NAS.
Die ganzen locations für die non-PHP-Files müssen dann natürlich auf das NAS.

Aber ja, ein wenig Aufwand ist das schon. Einen Webserver sollte man also schon mal gesehen haben.
Das gibt aber eh, wenn man Dinge selbst betreibt.

Generell ist 2FA, vor allem für unbedarftere User, eine gute Idee.

 

[Rickmer]

Ohne reverse Proxy kannst du nur einen Webserver ans Netz stellen. Wenn du nur die Nextcloud öffentlich machen willst, reicht das.

Falls du die Wartung vernachlässigst oder jemand eine 0-day Lücke ausnutzt und über die Nextcloud das NAS übernimmt, können von dort aus natürlich auch alle anderen Geräte im Netzwerk angegriffen werden.

 

[Xechon]

Ohne reverse Proxy kannst du nur einen Webserver ans Netz stellen. Wenn du nur die Nextcloud öffentlich machen willst, reicht das.

Beißt sich das dann mit meinem TS3-Server?

 

[Rickmer]

Beißt sich das dann mit meinem TS3-Server?

TS3 braucht doch keine http / https Ports?

Die TS-Standardports sind mWn

• 9987
• 10011
• 30033
• 41144

 

[ChristianSL]

Ok, ich glaub du lässt es vielleicht hinter dem Wiregurad. 😅
Es ist einfacher das bei den Usern einzurichten als sich das ganze Wissen, für den sinnvollen Betrieb von Infra am öffentlich erreichbaren Netz, mal schnell drauf zu ziehen.