öffentliches WLAN Firewall Portweiterleitung

[waschoi]

Hallo zusammen,

bin mir nicht sicher, ob das Thema hier passt, aber ich versuche es einfach mal:
Ich habe einen alten Laptop der dauerhaft läuft als Backupsystem. Dieser befindet sich außerhalb meiner Wohnung, in einem öffentlichen WLAN.
Ich kann per AnyDesk drauf zugreifen und mittels ResilioSync meine Daten sichern. Es muss also möglich sein von außen durch die Firewall zu kommen.
Jetzt wollte ich gern noch einen FTP- und Plex-Server aufsetzen, doch bekomme ich zu diesen keine Verbindung.
Hat hier jemand eine Idee, was ich machen muss, um diese Dienste nutzen zu können?
Auf den WLAN-Router kann ich leider keinen Einfluss nehmen, was Portweiterleitung etc. angeht. AnyDesk und Resilio kommen ja aber auch irgendwie durch. In der Windows-Firewall habe ich die Programme auf erlauben gesetzt.

:/

Besten Dank

 

[chr1zZo]

Öffentliches WLAN heist meistens das nur diverse Sachen durchgehen. Scheinbar werden hier die anderen Protokolle geblockt.

 

[Donnidonis]

Diese Programme werden sich auf einen Server verbinden und dann ‚Rückwärts‘ genutzt, wie TeamViewer z.B.
Was du machen kannst: Notebook per VPN zu dir nach Hause verbinden und dann darüber drauf zugreifen.

 

[Sebbi]

DAS was du da vorhast ist kreuzgefährtlich!

in einen öffentlichen WLAN Ports öffenen zu wollen wie FTP etc für ein gerät dem du wichtig Daten anverstraust, auch wenn des "verschlüsselt" ist, ist wie mit einer Granate Ping Pong zu spielen.

 

[Raijin]

Erstmal willkommen im Forum

Leider muss ich dir gleich zu Beginn ein wenig den Wind aus den Segeln nehmen, sorry.

in einem öffentlichen WLAN

Jetzt wollte ich gern noch einen FTP- und Plex-Server aufsetzen

Wenn du in einem öffentlichen Netzwerk einen Computer betreibst, der Netzwerkdienste bereitstellen soll - also einen Server - dann kann jeder andere Teilnehmer in diesem Netzwerk diese Dienste benutzen, wenn sie nicht in irgendeiner Form durch einen Login abgesichert sind. Und selbst dann hängt es von der Sicherheit dieser Dienste ab. Nacktes FTP ist beispielsweise komplett unverschlüsselt, inkl. Login in Klartext. Da kann jeder x-beliebige andere Teilnehmer im öffentlichen WLAN deinen Login mitlesen, wenn er möchte, und schon sind deine Daten offen lesbar.

Daher ist ein öffentliches WLAN ausschließlich zur Nutzung des Internets empfohlen, nicht aber für den Betrieb irgendwelcher Server! Weder FTP, Plex oder sonstwas. Nicht ohne Grund ist die Windows-Firewall im Profil "öffentlich" so eingestellt, dass sämtliche Serverdienste blockiert werden. Nur im Privat- bzw. Domänenprofil schaltet die Windowsfirewall Dinge wie Freigaben, etc. frei. Das hat Gründe und sollte auf keinen Fall geändert oder umgangen werden, wenn man nicht ganz genau weiß was man da tut, und selbst dann ist davon abzuraten. Du gehst gerade ein ziemlich großes Risiko ein.

Die einzig sichere Methode, dein Vorhaben zu realisieren, wäre wie @Donnidonis schon erwähnt hat mit einer VPN-Verbindung. Der Laptop verbindet sich via VPN durch das öffentliche WLAN hindurch mit deinem VPN-Server und über diese Verbindung kannst du dann deine Serverdienste nutzen. Gleichzeitig müssen diese Dienste bzw. deren Ports in der Firewall dann aber so eingestellt sein, dass sie ausschließlich über die VPN-Verbindung genutzt werden können.


Wenn dir das jetzt Fragezeichen ins Gesicht gemalt hat, möchte ich dir raten, das Konzept mit dem "Backupsystem" mit einem Laptop im öffentlichen WLAN fallenzulassen. Das Risiko ist nicht zu unterschätzen und wenn du nicht weißt was du da tust, guckst du irgendwann richtig dumm aus der Wäsche.
Eventuell gibt es ja auch andere Möglichkeiten mit deinen Ressourcen. Möglichkeiten, die dir noch gar nicht bewusst sind. Es wäre daher hilfreich, wenn du vielleicht die Rahmenbedingungen näher erläuterst, das Warum und Wieso.

 

[whats4]

und, es verstößt mit größtmöglicher sicherheit gegen die AGB´s dieses öffentlichen wlans.
ist ja ned so, daß es die gibt, damit jemand auf billig irgendwelche server betreibt.

 

[waschoi]

Es wäre daher hilfreich, wenn du vielleicht die Rahmenbedingungen näher erläuterst, das Warum und Wieso.

Sinn ist einfach ein Backup im Fall eines Brandes, Einbruch etc zu haben. Dafür braucht es den Server ja aber nicht zwingend. Das mit der Sicherheit verstehe ich theoretisch, doch muss ich gestehen, dass es mir als gar nicht so gefährlich erscheint. Das System ist auf einem aktuellen Stand, alle diese Dienste sind per Passwort abgesichert. Auch FTP hätte ich mit einem zusätzlichen Schlüsselpaar gesichert. Unter Plex hätte nur Musik gelegen. Aber so wie ich die Antworten bisher lese ist es technisch wohl auch nicht möglich.


Die vpn Geschichte geht leider auch nicht, da ja dann mein Router immer laufen müsste. Dann könnte ich die Dienste auch gleich Zuhause laufen lassen.

 

[Raijin]

Sinn ist einfach ein Backup im Fall eines Brandes, Einbruch etc zu haben.

Da bietet sich allerdings auch Onlinespeicher an. Entweder direkt bei einem Cloudanbieter gemietet, auf einem selbst verwalteten Mietserver oder aber bei Bekannten/Verwandten untergestellt. Letzteres setzt natürlich Vertrauen voraus, aber allemal besser als den Server effektiv bei wildfremden Cafebesuchern, o.ä. ins Wohnzimmer zu stellen.

Das mit der Sicherheit verstehe ich theoretisch, doch muss ich gestehen, dass es mir als gar nicht so gefährlich erscheint

Das sagt sich leicht. Die Gefahren im Internet oder eben fremden, öffentlichen Netzwerken werden gerne ignoriert und kleingeredet. Sicher, es wird in gefühlt 99 von 100 Fällen gutgehen, aber wenn du der 100. bist, schlägst du hinterher trotzdem die Hände über den Kopf. Andersherum spielen viele Menschen Lotto, um nicht der 100., sondern der 46.000.000. zu sein. Das ist ein Widerspruch in sich

Man darf die Gefahren durch Hacker oder auch nur simple Skriptkiddies nicht unterschätzen. In einem öffentlichen Netzwerk ist schnell mal nach offenen Diensten gesucht und ein bischen rumprobiert. Mit google-Kenntnissen kommt man bei sowas schon sehr weit, weil es viele Quellen mit Anleitungen gibt. Dabei geht es auch nicht zwingend um gezielte Angriffe, sondern einfach nur darum, dass man es kann, egal wer oder was das Ziel ist.

alle diese Dienste sind per Passwort abgesichert

Bist du dir sicher, dass ALLES abgesichert ist? Ein normaler PC hat im lokalen, privaten Netzwerk zahlreiche Dienste offen, nicht nur wenn du einen FTP- oder Plex-Server installierst. Es ist eine Frage der Firewall wie das Betriebssystem damit in einem öffentlichen Netzwerk umgeht (Stichwort: öffentliches Profil bei Windows zum Beispiel) bzw welche Ausnahmen du definiert hast.

Aber so wie ich die Antworten bisher lese ist es technisch wohl auch nicht möglich.

Das stimmt nicht ganz. Eine Lösung wurde dir ja genannt, VPN. Wenn du abwinkst mit dem Argument, dass dein Router immer laufen müsste - was er bei 99,9999% aller Internetnutzer tut - ist das deine Entscheidung.
TeamViewer und ähnliche Programme arbeiten nun mal mit einem Zwischenserver. Sowohl TVServer als auch TVClient telefonieren zu TeamViewer nach Hause und erst dort wird die Verbindung verknüpft. Teilweise wird auch mit Holepunching ein "Loch" in die lokale Internetfirewall gemacht, um den TVServer erreichbar zu machen. Bei FTP und Plex gibt es so einen Mechanismus nicht, kein zentraler Server. VPN ist da die einzige Lösung, wenn du nicht deinerseits so einen Kommunikationsserver im www dazwischenschalten willst (viel KnowHow notwendig). Ein VPN geht aber auch mit Basiswissen und etwas externe Unterstützung.

 

[waschoi]

o.k., danke für die Rückmeldungen! Dann werde ich wohl eine andere Lösung ansteuern

 

[waschoi]

Ich habe jetzt eine ganz coole Lösung gefunden: ZeroTier, damit bekomme ich alles hin. Zum Thema Sicherheit eine Frage: ich habe mich mal mit dem Smartphone in das WLAN begeben und nach meinem Laptop gescannt. Dieser wird mir dort nicht angezeigt. Spricht das nicht gegen eure Aussagen bzgl. Der Gefahren oder übersehe ich das was?
Grüße

 

[Raijin]

Spricht das nicht gegen eure Aussagen bzgl. Der Gefahren oder übersehe ich das was?

Jein. Das wird ein Feature des Access Points sein, das sich "Client isolation" nennt. Dabei verhindert der AP direkten Datenverkehr zwischen den Clients, indem er eintreffende Verbindungen, die an einen WLAN-Client gerichtet sind, blockiert. Das lässt sich aber mit Methoden, auf die ich jetzt nicht näher eingehen möchte, umgehen, wenngleich das durchaus nicht soooo einfach ist. Allerdings wird Client isolation nicht zwingend in jedem öffentlichen Netzwerk eingesetzt. Wenn zB ein Cafe-Betreiber sich einfach einen 08/15 WLAN-Router hinstellt und seinen Gästen WLAN anbietet, wird das vermutlich nicht aktiviert sein, selbst wenn die Hardware das hergeben würde.

Abgesehen davon kann es aber auch sein, dass die Firewall deines Laptops eben auf "öffentlich" eingestellt ist und dann wird ein Ping einfach blockiert. Das heißt aber noch lange nicht, dass die Firewall-Regel für den FTP-Server, etc. nicht auch im öffentlichen Profil freigeschaltet ist, weil das öffentliche Profil ist nur ab Werk komplett zu, aber der Anwender oder die jeweilige Software kann jederzeit neue Regeln einfügen, die dann auch im öffentlichen Profil offen sind.


Das Problem ist einfach, dass in öffentlichen Netzwerken nicht nur Oma Puvogel mit ihrem Seniorenhandy bei Kaffee und Kuchen eingeloggt ist, sondern eben auch hier und da mal Jugendliche, die bei google was gefunden haben, oder eben auch fachkundige Menschen, die einfach mal ausprobieren wollen was so geht und im schlimmsten, wenn auch unwahrscheinlichsten Fall Kriminelle mit handfesten Absichten. Wie groß ist die Wahrscheinlichkeit, dass das jemals passiert? Keine Ahnung, tendenziell eher gering. Aber wie hoch ist die Wahrscheinlichkeit, dass man einen Wasserrohrbruch in der Bude hat? Oder dass jemand einbricht und deine Wertsachen klaut? Es reicht, wenn es einmal passiert, egal wie (un)wahrscheinlich es vorher war, weil wenn es passiert, ist die Wahrscheinlichkeit bei dir genau 1,0 oder auch 100%.


ZeroTier ist eine Art Miet-VPN. Ja, damit wäre sowas machbar, weil der Laptop sich mit diesem VPN verbindet und der Client ebenso. Beide sind dann über ein separates Netzwerk bei ZeroTier miteinander verbunden, im Prinzip nicht wirklich anders als wenn man sich selbst einen eigenen OpenVPN- oder Wireguard-Server im www mieten würde - oder eben ähnlich wie bei TeamViewer, wo Server und Client sich ebenfalls mit einem übergeordneten Server im HQ von TeamViewer "treffen".