Nextcloud: VPN vs. Portforwarding + Routerkaskade

[Grimba]

Hallo zusammen.

Ich spiele schon ein Weilchen mit dem Gedanken, auf meinem kleinen Homelab (Dell Wyse Slim-Client zum Linux Server umfunktioniert) auch einen Nextcloud Docker-Container zu betreiben. Bisher läuft da nur ein Pi-Hole Container vor sich hin. Hier möchte ich also die Funktionen erweitern.

Ich weiß, meine Frage nach dem VPN vs. Portforwarding ist schon massenhaft gestellt worden. In meinem Fall ergibt sich aber die Spezialsituation, dass ich sowieso eine Routerkaskade in Betrieb habe. Und zwar ist das historisch gewachsen. Ich hatte früher von Unitymedia immer die Kabelmodems und dann meist von ASUS einen entsprechend performanten Router dahinter. Als Altkunde bin ich in der glücklichen Situation noch einen "echten" IPv4 Anschluss zu besitzen.

Mittlerweile sind die Modems Fritzboxen gewichen. Aber da speziell in meiner Wohnung das WLAN von ASUS immer besser war als das der FB, habe ich seither immer 2 Geräte im Einsatz. Die Fritzbox als Router mit abgeschalteter WLAN Funktion, der ASUS Router aktuell im Access Point Modus als für WLAN im gleichen Netz. Allerdings hatte ich mal eine ganze Weile testweise dieses Setup als Routerkaskade in Betrieb, um schon einmal dieses Setup für eben solche Zwecke, wie z.B. den Betrieb von Serverdiensten, auszutesten. Es bildet sich ja dann eine Quasi-DMZ für Arme, Server hängt an der Fritzbox, ASUS im Routermodus mit eigenem Netz daneben verbunden am WAN Port. Server sieht folglich nicht die Geräte des Heimnetzes außer beide Router. Das gesamte Netz ist aber vom Heimnetz aus erreichbar. Testbetrieb lief damals absolut problemlos.

Jetzt stellt sich mir vor dem Hintergrund die Frage, welche Variante hier bei meinem Setup wohl aus Sicherheitsaspekten vorzuziehen ist, wenn man eine Nextcloud ins Netz stellen will. Die direkte Verbindung zum Server gestaltet sich ja insgesamt bequemer als ein vorheriger Verbindungsaufbau per VPN. Durch mein Setup stünde ja dann beim Port Forwarding nicht mehr gleich mein ganzes Heimnetz an vorderster Front. Aber da ich weiß, dass sich hier einige super auskennen, dachte ich, ich frage mal nach, wie da eure Meinung zu ist.

 

[qiller]

Jetzt stellt sich mir vor dem Hintergrund die Frage, welche Variante hier bei meinem Setup wohl aus Sicherheitsaspekten vorzuziehen ist, wenn man eine Nextcloud ins Netz stellen will.

Würde das genauso machen, wie du dir das vorstellst. Also komplette Heimnetz hängt am Asus-Router (als Router, nicht als Access-Point, klar hoffentlich^^) mit eigenem Subnetz. Und die Nextcloud hängt direkt an der FB im FB-Netz (entweder als exposed Host oder besser per gezieltem Portforwarding auf deinen Server).

Um die Performance innerhalb des LANs noch zu verbessern, noch ein Vorschlag: Benutze Split-DNS, um den Aufruf der Nextcloud im internen LAN auf die interne IP-Adresse des Servers zu leiten. Dazu müsstest du in deinem pihole nur den FQDN, unter der deine Nextcloud außerhalb erreichbar ist, eintragen und dort die interne IP-Adresse deines Servers hinterlegen.

 

[Grimba]

Danke für deine Antwort. Was das DNS angeht, im Prinzip mache ich das schon so (sofern ich dich richtig verstanden habe), denn die FB liefert per DHCP die IP des Servers, wo Pihole drauf läuft, als DNS aus. Pihole selbst zeigt wieder auf die FB als DNS, und die FB selbst ist per verschlüsselter DNS Verbindung zu Cloudflare verbunden. Klingt nach einem ziemlichen Knoten, funktioniert aber super. Hat den Vorteil, dass ich DNS Routen in der FB alleine konfigurieren kann, falls ich mal was umstellen muss.

Der ASUS Router übernimmt das ja dann eh so. Nachteil ist natürlich, dass im Pihole dann nicht mehr die Geräte so aufgelistet sind, sondern für das Heimnetz nur noch der ASUS Router. Das wiederum könnte man im ASUS aber so konfigurieren, dass der DNS anfragen durchroutet ans Pihole. Dazu gibt es eine Konfigurationsmöglichkeit, hatte ich bisher aber noch nicht verwendet. Ist mir aber im Zweifel letztendlich wurscht.

 

[qiller]

Naja, die DNS Auflösungskette überlass ich dir mal, das macht eh jeder anders. Mir gings nur darum, dass wenn du aus dem internen LAN heraus auf die Nextcloud (per extern auflösbaren FQDN) zugreifst, dann mit der internen, Private-IP arbeitest. Dann kannst du immer mit denselben FQDNs arbeiten und hast auch keine Probleme mit den Zertifikaten für HTTPS.

Also mal als Beispiel für IPv4.

externe Auflösung bei deinem DNS-Provider hinterlegst du:
nc.domain.tld -> 84.186.122.123

wobei dann 84.186.122.123 die IPv4 deines Internetanschlusses ist.

interne Auflösung im pihole/Asus-Route/FB (je nachdem wie deine DNS-Auflösungskette aussieht):
nc.domain.tld -> 192.168.55.10

wobei 192.168.55.10 die IPv4 deines Nextcloud-Servers ist. Bei IPv6 müsste das eigt. nicht notwendig sein, wenn alle Geräte auch eine externe IPv6 (aus dem vom Provider gestellten Subnet) bekommen. Aber da fehlt mir die Erfahrung, müsste wer anderes was zu schreiben, ob Split-DNS bei IPv6 noch benötigt wird.

 

[Grimba]

Achso. Herrje, da war ich ja ganz falsch unterwegs. Ok, verstanden. Aber das ist ja jetzt ein Nebenschauplatz. Ich schau mal, was noch so an weiteren Meinungen zur Hauptfrage reinkommt. Auf ein paar mehr hoffe ich noch.

 

[Bob.Dig]

Auf ein paar mehr hoffe ich noch.

Wird wohl nicht viel kommen, da das nicht groß korreliert. Wenn ich der einzige Nutzer bin, dann würde ich immer ein VPN vorziehen. Ich hab für meine Nextcloud aber eine deaktivierte Firewall-Freigabe, für den seltenen Fall, dass da doch jemand anderes zugreifen soll.

 

[Grimba]

Wird wohl nicht viel kommen, da das nicht groß korreliert.

Jetzt sei mal nicht so pessimistisch Danke dir!

 

[M-X]

Split DNS brauchst du bei IPv6 normal nicht wenn der Router mitspielt. Musst eher schauen das du dein IPv6 in docker sauber aufgesetzt bekommst. Ggf noch authelia mit 2FA vor die Nextcloud setzen wenn du keinen VPN willst.

 

[Grimba]

Danke dir, aber ich habe ja oben explizit erwähnt, dass es um IPv4 geht, IPv6 ist für das Thema völlig irrelevant. Und um SplitDNS geht es hier nicht, das wäre nur ggf. eine Optimierungsidee. Daher vielleicht an dieser Stelle die Bitte, doch beim Thema zu bleiben.

 

[M-X]

Was genau ist denn dann deine Frage? IPv6 einfach zu ignorieren halte ich für unklug. Mit so einer kaskade hast du die Isolation die du willst so lange die Firewall des Asus sauber konfiguriert ist. Also dein Ziel wäre erreicht.

 

[Grimba]

Ich ignoriere es nicht, ich habe einfach keine IPv6 Adresse :-/ Bei mir läuft weder Dual-Stack noch DSLite. Die Frage steht doch da:

Jetzt stellt sich mir vor dem Hintergrund die Frage, welche Variante hier bei meinem Setup wohl aus Sicherheitsaspekten vorzuziehen ist, wenn man eine Nextcloud ins Netz stellen will.

 

[qiller]

Es ist letztendlich eine Abwägung aus Sicherheit und Komfort, die nur du beantworten kannst. Die Reihenfolge nach Sicherheit geordnet sieht so aus:

1. intern "Spar-DMZ" wie oben geschildert, NC nur per VPN erreichbar (keine extern offenen Ports außer für VPN)
2. intern "Spar-DMZ" wie oben geschildert, extern NC über Portweiterleitung im Internet erreichbar
3. interne LAN-Geräte und NC-Server im selben Netzwerk, extern NC über Portweiterleitung im Internet erreichbar (nicht empfohlen^^)