Raspi NextCloud zuhause hosten

[einfachpeer]

Moin zusammen,

nur eine kurze Frage.

Ich habe vor meine NextCloud aus dem Rechenzentrum auf den Raspi nach Hause zu holen.

Ich habe gedacht ich realisiere das über IPv6.

Kann ich dann trotzdem von außen auf Kalender und Dateien zugreifen ?

Ich nutzte eine Fritzbox.

Wie sieht es aus, wenn sich die Fritze neustartet ?

Würdet ihr das lieber in der Cloud lassen oder ist es ne gute Idee das auf den Raspi zu holen ?

 

[JumpingCat]

Von draussen würde ich pauschal immer ein VPN wie Wireguard benutzen.

Falls du mit Neustart des Routers eine sich ändernde public IPv4/IPv6 meinst: Dafür gibt es dyndns Dienste.

In der Cloud hast du mehr Rechenleistung. Wenn die Cloud gehackt wird, dann ist nur die Cloud gehackt und in deinem Zuhause ist der Angreifer dann nicht.

Dafür gehören deine Daten zuhause dir, daher würde ich ein VPN vorschalten.

 

[Simanova]

Im Rechenzentrum hast du wahrscheinlich eine höhere Geschwindigkeit. Zuhause zählt dein Upload. Und Upload ist kritisch für deine Latenz. Sprich: Jemand synct was mit deiner Cloud, und dein Ping schiesst in die Höhe. Musst du wissen

Ansonsten technisch alles möglich, am besten myfritz anmelden und die Adresse mit einem Letsencrypt absichern (in der Fritzbox verfügbar)

 

[einfachpeer]

Danke für die Antwort. Zu dem Thema hacken. Wenn ich nur die Porets für NextCloud freigebe ist der Angreifer ja nur in der Nextcloud nicht in meinem Zuhause ?!

Ergänzung (11. Juni 2024)

Ick hab noch ne Domain. Geht die auch dafür anstatt DYNDNS ? Und die Geschwindigkeit wäre mir relativ. Habe 100MBIT und habe eh nirgendwo mehr als 100MBIT Geschwindigkeit. Also Cloud oder Raspi ?

 

[madmax2010]

Wenn ich nur die Porets für NextCloud freigebe ist der Angreifer ja nur in der Nextcloud nicht in meinem Zuhause ?!

Und in welchem Netz ist die Nextcloud? In deinem Heimnetz,oder wo anders?

 

[einfachpeer]

Ja das wäre natürlich auch in meinem Heimnetz aber kann nur auf die Nextcloud Anwendung zugreifen ?

 

[BlubbsDE]

Einmal drin hat "er" auf alles Zugriff.

 

[madmax2010]

Davon sollte man jedenfalls aus Prinzip ausgehen.

Nach außen exposte Dinge sollten ohnehin in ein eigenes VLAN

Ick hab noch ne Domain. Geht die auch dafür anstatt DYNDNS

Ja.

 

[Krik]

Ich hatte NextCloud mal kurz auf einem Intel N100 in einer VM mit 2 Kernen und, glaub, 2 GB RAM ausprobiert. Es lief bescheiden. Auf einem Raspi kann ich mir das gar nicht vorstellen, auch wenn man es dort wahrscheinlich in einen Container setzt, der nicht so viel Overhead wie eine VM mitbringt.
Uff.
Aber es gibt Leute, die sind damit glücklich. 🤷‍♂️

 

[einfachpeer]

Ich rede nicht von Performance, sondern von sicherheit und den Problemen mit Hackern und IP Wechsel über Nacht :-)

 

[JumpingCat]

Zuhause zählt dein Upload. Und Upload ist kritisch für deine Latenz. Sprich: Jemand synct was mit deriner Cloud, und dein Ping schiesst in die Höhe.

QoS / Smart Queues aktivieren. Gerade bei einem VPN und/oder dedizierter IP-Adresse zuhause ist das sehr simpel.

Wobei das pauschal eh aktiviert sein sollte, weil sonst ein normaler Download schon zu hoher Latenz führt.

 

[bart1983]

Hatte früher eine Wordpress-Seite auf dem Raspi gehostet.

Dann bin ich aber aus Sicherheits- und Backupgründen zu Proxmox gewechselt.
Jetzt hoste ich noch ein Ticketsystem und ein Honeypot als unprivilegierte LX-container

Die virtuellen Maschinen hängen in einem eigenen Subnetz, das jeglichen Traffic ins das Heimnetz blockiert.
Und die virtuellen Server sind von einander isoliert und auch der Zugriff auf den Router. Dh, selbst wenn Jmd sich auf den Server hacken sollte, kann nix passieren.

Einen Hosting-Raspi ins Heimnetz hängen würde ich niemals machen, da solltest du zusätzliche Sicherheiten einbauen.

Wegen der IP: Lege dir eine DDNS-Adresse zu. In der Fritzbox kannst du über den Punkt DDNS ein Updatescript erstellen, mit dem die Fritzbox dem DDN-Anbieter deine neue öffentliche IP-Adresse automatisch zusendest, sollte sie sich mal ändern.

Aber zugegebenermaßen nutze ich nur IPv4, bei IPv6 hat jedes Gerät doch seine eigene, da ist die Internet-IP doch egal, oder?

 

[Mordi]

und IP Wechsel über Nacht :-)

Stichwort DynDNS. Ich würde mir da ein Bashscript als Systemd-Timer machen, welches die aktuelle IP Adresse zieht und dann meine Domain auf diese IP setzt. Ich hab mal ein wenig mit der Hetzner DNS API gearbeitet, die eignet sich ziemlich gut für solche Vorhaben.
Ich persönlich würde die Nextcloud aber draußen gehostet lassen. Ich hoste jede Menge selbst, vieles daheim und vieles im RZ auf verschieden VPS und Rootservern. Ich verfolge dabei die Maxime, dass (fast) alles was extern genutzt wird im RZ gehostet wird.

 

[Pyrukar]

Also ich habe seit kurzem endlich meine NAS mit NC im Internet Hängen mit Portforwarding ... kann bisher nur gutes berichten. Aber ein Raspi ist vermutlich noch ne ecke schwächer als meine Synology Nas

 

[Raijin]

Wenn ich nur die Porets für NextCloud freigebe ist der Angreifer ja nur in der Nextcloud nicht in meinem Zuhause ?!

Ein gekapertes System wird von einem Angreifer, der es darauf anlegt, als Brückenkopf genutzt. Der erste Angriff mag nur deine Daten in Nextcloud offenlegen, aber in der zweiten Welle wird dann möglicherweise der Rest des Netzwerks angegriffen. Jedes angreifbare System birgt immer die Gefahr, dass durch sie auch der Rest kompromottiert wird. Wie wahrscheinlich das ist spielt letztendlich nur eine untergeordnete Rolle, weil man im Falle eines Falles voll auf die Nase fallen kann und das "Gewinner-Los" zieht. Sonst würde auch niemand Lotto spielen bei 1:~140.000.000

Ick hab noch ne Domain. Geht die auch dafür anstatt DYNDNS ?

Jein. Es kommt darauf an ob dein Domain- bzw. DNS-Hoster eine API bietet. Bei DDNS-Anbietern ist das der Fall, weil das nun mal das Geschäftsmodell ist. Über eine Update-URL teilt man der API mit, dass die DDNS-Domain auf eine neue IP zeigen soll. Aber nicht jeder herkömmliche Domain-Hoster bietet dieses Feature an.

Stichwort DynDNS. Ich würde mir da ein Bashscript als Systemd-Timer machen, welches die aktuelle IP Adresse zieht und dann meine Domain auf diese IP setzt. Ich hab mal ein wenig mit der Hetzner DNS API gearbeitet, die eignet sich ziemlich gut für solche Vorhaben.

@einfachpeer : Genau sowas meine ich. @Mordi hat sich damit sozusagen seinen eigenen DDNS-Updater gebaut, mit einem herkämmlichen Domain-Hoster inkl. API.

 

[chrigu]

Hast du überhaupt die Möglichkeit von aussen zu dir zu verbinden? Stichwort ds-lite/cgn…
Du hast jetzt 24/7/365 kontinuierlichen Zugang ohne unterbruch… bei dir zuhause bist du auf stromlieferer und Provider angewiesen, die können auch mal Pannen haben, auch dein Raspi. Zudem wird dadurch, falls du mal ne runde zockn willst, dein Durchsatz verschmälert weil Server hosten auch was braucht.

 

[Engaged]

2 GB RAM Es lief bescheiden.

Den Grund lieferst du ja gleich mit.

 

[Mordi]

Gerade bei Nextcloud kannst auch gut was optimieren. Statt SQLite z.B. Postgresql oder MariaDB, und dann noch ein Redis rein. Bewirkt soweit ich weiß viel.

 

[Hammelkoppter]

An deiner Stelle würde ich in die "Cloud" gehen.

Vorschlag #1 Nimmste nen kleinen VPS bei irgendeinem Provider (ich war z.B. mit Contabo sehr zufrieden) und ziehst deine Domäne dann auch dahin um und fertig. Aktuell 4,70€ Monat für 4 kerne, 6 GB RAM , 400gb Storage und hast auch einen Snapshot mit drin. <- Sorry soll keine Werbung sein, wie gesagt ich war halt sehr zufrieden. Support war auch Klasse.

Vorschlag #2 - Keine Ahnung wie gut deine IT Kenntnisse sind. Wenn du eher unsicher bist dann gibt es auch Full-Managed Services. Vielleicht ist das ja auch was für dich. Gibt's z.B. bei Ionos für 6€ im Monat bei 500gb Storage. Wenn das auber läuft und du irgendwann mal an dem Punkt bist dir einen eigenen Server zuzutrauen, kannste ja dann einfach deine Daten und Domäne umziehen.

Fazit:
Wenn du zu Hause halt nicht die entsprechende Infrastruktur hast und auch so Themen wie DynDNS noch "Neuland" für dich sind, ist denke mal #2 besser geeignet. Da müsste dir dann auch "keine Sorgen" um die Sicherheit der Instanz machen.

 

[s1ave77]

Nextcloud läßt sich hinter einem Reverse-Proxy mit den nötigen Header-Einstellungen recht sicher betreiben. 2FA-TOTP und Bruteforce-Protection aktivieren (wahlweise Fail2Ban/CrowdSec) dann läßt sich das schon selber hosten. Setzt etwas Beschäftigung mit der Materie voraus. Der Security Check von denen sollte ein A+ für alle optionalen Härtungen bestätigen, dann geht das durchaus. Das System meldet alle Versuche, meins zeigt da keine Auffälligkeiten.