Verschlüsselter externer Zugriff auf Geräte im Heimnetzwerk

kally0

Cadet 1st Year
Registriert
Apr. 2020
Beiträge
15
Hallo,

ich habe folgende Situation in meinem Heimnetzwerk und hoffe, dass ihr mir helfen könnt:

- Synology DS218+ --> Zugriff über Quickconnect

- 1 RPi (RPi1) für interne Spielereien, 433MHz FS steuern (auch übers Internet per Autoremote von Tasker) etc., PiHole, OpenVPN (aktuell nicht genutzt)
SSH Zugriff ist eingerichtet.

- 1 RPi (RPi2) mit Nextcloud, DAV Synchronisation mit Androiden
SSH Zugriff ist eingerichtet.

Ich habe von meinem Provider eine statische IP.

Somit habe ich aktuell kein DynDNS und auch kein SSL Zertifikat.
Synology hat ein solches ja integriert in ihrem Quickconnect. Somit wäre das sicher oder?

Wenn ich von extern über OpenVPN auf meinem RPi1 zugreife, dann ist es egal, dass ich keine SSL Zertifikat habe oder?
Von meine Android mit dem OpenVPN Client wird eine verschlüsselte Verbindung zu meinem RPi1 (OpenVPN Server) aufgebaut oder?

Beim Zugriff auf meine Nextcloud (RPi2) sieht es da anders aus oder?
Für eine verschlüsselte Verbindung und Synchronisation von Nextcloud und meinen Androiden, würde so ein Zertifikat benötigt werden oder?

Vielen Dank im Voraus für eure Hilfe!

Gruss kally
 
Habe das bei mir inzwischen über WireGuard realisiert, weil mir der QuickConnect Kram einfach zu doof war. Außerdem hab ich so auch Zugriff auf andere Geräte in meinem Heimnetz. WireGuard läuft bei mir auf nem RPi3. Installation ist super easy, Zertifikat erstellt und in die App auf dem entsprechenden Desktop oder Mobilgerät eingefügt bzw per QR gescannt. Fertig. Verbindungsaufbau ist super schnell und natürlich auch alles verschlüsselt. Für den Einsatzzweck imho sehr gut geeignet. OpenVPN war mich auch zu viel Bastelei
 
Ich habe noch nicht ganz verstanden, wie du von Außen auf welche Dienste zugreifen kannst.
QuickConnect,ok. direkt, oder über Synology? Welche Ports hast du alle freigegeben?

ich glaub, wenn man (aktuell) noch so wenig Ahnung von der Materie hat, ist es am "sichersten", nur OpenVPN nach Außen freizugeben und nur dieses direkt zu benutzen. Alle anderen Dienste dann nur, wenn man mit dem OpenVPN verbunden ist.

zu deinen Fragen:
"sicher" ist in der heutigen Zeit ein sehr dehnbarer Begriff. Sicher ist eigentlich nur, dass nichts wirklich "sicher" ist.
das SSL Zertifikat dient eigentlich mehr dem "der Server ist der, für den er sich ausgibt" als der Sicherheit der Daten während der Übertragung.
Eine entsprechend eingerichtete OpenVPN Verbindung mit passender Verschlüsselung ist "sicherer" als eine SSL/HTTPS Verbindung.
ja, wenn du über OpenVPN auf deine internen Dienste zugreifst, spielt SSL und entsprechende Zertifikate keine Rolle.
Wenn dein OpenVPN so eingestellt ist, dann wird eine verschlüsselte Verbindung aufgebaut. korrekt.
Wenn deine Nextcloud direkt von Außen erreichbar sein soll, macht ein SSL Zertifikat Sinn. Aber nur, wenn du auch eine entsprechende Domain dazu betreiben willst. Sonst wird es jedesmal Probleme / Fehler geben, dass dein Zertifikat nicht zur Domain passt.
 
  • Gefällt mir
Reaktionen: dj-melo
meinem Vorredner ist nichts hizuzufügen vpn bietet alles und das rel. sicher!

gibt auch noch
pivpn

Anleitung z B. von

damit lässt sich recht nice ein vpn server realisieren wenn kein pi mehr zur verfügung geht auch ne linux vm z.b. oder ne firewall wie ipfire vor's LAN die auch OpenVpn beherrscht.
 
Zuletzt bearbeitet:
Ich habe pivpn auf meinem RPi3 installiert und das funktioniert super. Damit komme ich von meinem Smartphone auf alle meine Netzwerkgeräte zuhause. Es ist auch einfach zu installieren.
 
Vielen Dank erstmal für die vielen und vor allem schnellen Antworten!

Quickconnect habe ich das von Synology. Das nutze ich aber nicht für andere Verbindungen, geht glaub ich auch nicht. Selbstständige Portfreigaben sind in der Fritzbox erlaubt.

OpenVPN habe ich auf RPi1 (PiVPN) und einem Android eingerichtet.
Die Verbindung klappt gut, auch wenn ein wenig langsamer. Evtl. wäre Wireguard hier besser?

Für mich ist Adblocking auf dem Android sehr wichtig. Dafür habe ich auf dem Android Adguard. Das ist spitze, denn es blockiert auch Werbung in Apps.
Das geht soweit ich weiss über PiHole (mit dem ich ja über OpenVPN oder Wireguard) verbunden bin, nicht oder?

Bzgl. Nextcloud:
Wäre das nicht ein sicherer und gangbarer Weg ohne VPN?
https://canox.net/2016/06/die-eigene-cloud-mit-dem-raspberry-pi-und-nextcloud/

Und wenn wir schon einmal dabei sind:
Ich würde auch gerne Remote Zugriff von meine Arbeits-PC (Win10) auf meinen Home PC (Linux Mint) haben und ungerne Teamviewer/Anydesk nutzen, da ich nicht weiss, was die mit meinen Daten machen.
Ein Zugriff von meinem Arbeits-PC wäre über VPN zwar möglich, da müsste dann aber mein ganzer Arbeits Traffic über mein Heimnetz gehen. Das kann man nicht trennen oder?

Ich habe auch bereits eine Verbindung durch einen Putty SSH Tunnel auf meinem RPi1 und dann RDP von Microsoft herstellen können. Leider war die Performance sehr mies.
Gibt es hierfür evtl. eine andere Möglichkeit?

Vielen Dank euch im Voraus für euer Hilfe!
Gruss kally
 
WireGuard ist schneller als OpenVPN ja. Gerade für den Pi1 wäre da vermutlich nen Vorteil drin (hab ich nicht ausprobiert, hab zwar nen Pi1 und 3 hier aber nie getestet. Kann dir nur sagen das der VPN-Zugang über ne Fritzbox abstinkt gegen WireGuard über den Pi3). In beiden Fällen sollte es möglich sein über ip routes lediglich den Traffic über den Tunnel zu leiten der wirklich in dein Heimnetz geht.
 
Ich habe zwei RPi 3B, habe mich nur falsch ausgedrückt.
Ich werde mal Wireguard mit PiVPN ausprobieren.

@Janz
Hast du einen Link wie ich die IP routes mit dem Wireguard VPN für meinen Arbeits-PC einstellen könnte?
Kenne mich da gar nicht aus.
Aber wenn das funktionieren würde, kann ich eine VPN Verbindung zu meinem Heimnetz aufbauen und per RDP dann vom Arbeits-PC auf meinen Home-PC zugreifen? Könnte Microsoft da etwas "mitschneiden"? Sollte ich da auf eine Open Source Lösung umsteigen?

Bzgl. Blocken der Werbung in Apps wie mit der Android Adguard App gibt es aber keine Alternative oder?
Da würden auch keine erweiterten Blocklisten in PiHole was bringen, da PiHole die ganze Domain blockiert und die Adguard App jede Verbindung in den Apps. So habe ich das verstanden.

@dj-melo
Den Sinn der VM habe ich nicht ganz verstanden.
Danke für den Tipp mit VPN und Nextcloud, werde das ändern.
 
Bin ich mir ehrlich gesagt nicht sicher, aber sollte funktionieren indem man bei der zuladenden Konfiguration in den Clients die AllowedIPs einfach auf die interne IP-Range des anderes Netzes setzt. Ist über nen stinknormalen VPN Client wie Shrew Soft auch möglich (hat also nichts mit WireGuard selber zu tun).

Wenn du mit RDP zufrieden bist kannste das natürlich nutzen, das läuft ja ausschließlich über den Tunnel.
 
Alles klar, danke. Ich werde das versuchen.
Willst du sagen, dass ich beim wireguard Client nicht den Client Download von wireguard nehmen muss sondern auch z.B. dieses shrew soft? Welchen Vorteil bietet das?
 
nene, für WireGuard brauchst du den WireGuard Client. Shrew Soft war nur nen Beispiel für nen VPN Client mit dem du das über OpenVPN realisieren kannst auch problemlos (nicht alle bieten Einstellungen dafür an)
 
Zurück
Oben