NGINX und HAProxy sind laut Aussagen beides gute Möglichkeiten, sind aber auch kein Allheilmittel. Außerdem ist die Konfiguration alles andere als Simpel.
Was sind denn eure Empfehlungen und Erfahrungen?2FA + NGINX + Firewall rules für mein "Server" Subnetz.
Für eine DMZ bräuchte ich eine extra Kiste. Außerdem habe ich da mehr bedenken um die Sicherheit meiner persönlichen Daten.
Worauf müsste ich bei der Proxy config achten, bzw. was welches Produkt wäre besser geeignet? > NGINX/HAProxy
Beide sind einfach und brauchen keine 10 Minuten wenn du keinen Let's Encrypt support brauchst. Ansonsten sollte es in ner Stunde erledigt sein.
Wenn du hier 2Fa von OPNsense meinst: Das kannst du zwar mit dem nginx plugin nutzen aber ich würde dir aufgrund der kurzen Passwortgültigkeitsdauer davon abraten. 2Fa auf der nextcloud wäre ziemlich sicher OK.
Patches einspielen sollte in der Regel reichen. Den PI als DMZ Host anschließen?
HAProxy ist eher was für den Load Balancer Einsatz. Nginx würde ich nehmen, wenn ich tiefer eingreifen will. Zum Beispiel hast du dort ne WAF. Ich würde ja da auf die Security Header Hinweise in der Admin-Seite von nextcloud verweisen.
In der tat brauche ich Lets Encrypt, aber ich habe gestern erfolgreich Zertifikate für meine Domain bezogen. Habe eben auch festgestellt, dass ACME nur HAProxy integration anbietet. Da die Frage, was müsste ich bei NGINX beachten? Ich habe bei den TLS settings die Letsencrypt Zertifikate auch auswählen können. Reicht das?
Soll ich also den Host als alleinigen DMZ Host im internen LAN deklarieren? Wie geht das und bringt mir das zusätzlichen Schutz? ^^
Das WAF Feature ist mir bei den Settings auch aufgefallen und ist definitiv ein geiles feature. Bei den Security Headern bin ich mir aber unschlüssig ob ich das nur auf dem Reverse Proxy machen sollte, oder sowohl als auch auf dem Webserver.
Hier auch noch eine Frage zu Zertifikaten. Ich habe intern ein selbstsigniertes Zertifikat. Aussteller ist meine interne OPNsense CA. Was wäre denn hier sinnvoller? Soll ich das interne Zertifikat auf dem Pi lassen, oder auf dem Pi selber auch Lets encrypt einrichten? Wenn ich das interne Zertifikat darauf belassen würde, würde ich dann eine Zertifikatswarnung bekomme, wenn ich von extern kommen würde?
Und noch eine Frage bzgl. IP ACL. Kann man in NGINX auch URL's angeben die Listen angeben? quasi so: https://www.cloudflare.com/ips-v4
Moin moin,Ich versuche momentan herauszufinden was die sicherste Methode wäre, um auf meine Daten (unkompliziert) zuzugreifen.Ich habe einen kleinen Nextcloudpi bei mir stehen und möchte gerne auch plex von außerhalb erreichbar machen. Derzeit habe ich Wireguard konfiguriert, aber Frau und Kind haben 2 linke Hände was Technik betrifft, darum die Frage, was wäre die sicherste Methode um idiotensicher über eine einfache URL auf seine Cloud zuzugreifen? Geht auch darum das wir z.B. auch Bilder von unterwegs aus übers Handy in die Cloud syncen wollen, oder Musik streamen. Oder z.B. auch mal für den Notfall, falls die Brieftasche im Ausland verloren geht.Ich habe diverse doku's gefunden und mir auch mal die OPNsense Doku angesehen und bin unschlüssig was denn nun besser geeignet wäre. Eine DMZ ist ja im prinzip wie es der Name schon sagt, demilitarisiert und hat nur den Vorteil das interne Netz vor schnüfflern zu schützen. Der Webserver in der DMZ ist aber nur so gut geschützt wie seine config es zulässt. Sprich Fail2ban.. SELinux, Apache config etc. Gleiches gilt auch für den Proxy, aber dafür brauche ich keinen extra Router.NGINX und HAProxy sind laut Aussagen beides gute Möglichkeiten, sind aber auch kein Allheilmittel. Außerdem ist die Konfiguration alles andere als Simpel. Was sind denn eure Empfehlungen und Erfahrungen?2FA + NGINX + Firewall rules für mein "Server" Subnetz.Für eine DMZ bräuchte ich eine extra Kiste. Außerdem habe ich da mehr bedenken um die Sicherheit meiner persönlichen Daten.Worauf müsste ich bei der Proxy config achten, bzw. was welches Produkt wäre besser geeignet? > NGINX/HAProxy
Direkt am PI kannst du ein self signed lassen. Deinem LAN solltest du ja trauen können. Eine andere Frage ist, ob du intern überhaupt HTTPS brauchst. Wenn du über den LB gehst, macht der ja das HTTPS. Das ist dann aber Geschmackssache und vom internen Netzwerk abhängig.
also, sorry aber in der heutigen zeit und auch in zukunft sind vpn keine technik die man nicht LERNEN kann, um so besser wenn die personen es JETZT bei dir lernen, so bekommen nur leuter die daten zu sehen denen du die konfig gibst. ausser du konfigurierswt was falsch. also deine argumente sind für mich kein grund auf vpn zu verzichten.alles ander (haproxy oder nginx als revers proxy, kann man machen)das ist meine persönliche meinung.
Die Zert Auth Variante klingt interessant, kannst du kurz umreißen, wie der Ablauf ist?Zert erstellen, Rule in HA, Zert im Handy (oder wo auch immer) im Zert Speicher ablegen -> fertig?p.s.Meine persönliche Meinung ist eine DMZ, GeoIP Block, firehol Block UND VPN.Aber auch wenn du VPN weglässt, hast du damit schon einige Bösewichte ausgesperrt. Sollte sich ein Familienmitglied im Ausland aufhalten, müsste man natürlich das Land kurzfristig freischalten
Tatsache, mit einem bereits funktionierendem HA sind es genau 3 Klicks und es läuft. (hab die bestehende VPN CA plus Zert genommen)Jedoch funktioniert die NC App nicht - aber ein nettes Feature
Interessant was es für Möglichkeiten gibt. Finde ich prinzipiel auch einen guten Lösungsansatz, aber da ist dann wieder die Frage, gibts noch mehr authentifizierungsmethoden? Weil bei den Zertifikaten bist du auch an die Geräte gebunden. Somit wäre das schon mal für meine Frau auf Dienstreise nur übers Handy, aber nicht über das Notebook möglich.
Was würde denn gegen 2FA sprechen oder FIDO2, bzw. wären mehre methoden möglich? Quasi ein Optionsmenü beim anmelden, wo man die gewünschte Art auswählen kann.
Ich gehe oft vom Wurst-Käs szenario aus, wo das Handy verloren geht und man nur noch seine Credentials im Kopf hat, aber dafür das Firmennotebook (wo keine zertifikate installierbar sind).
