Nextcloud zugriff: VPN statt Portfreigabe

[ZuseZ3]

Ich habe mich zuletzt etwas mit den VPN Möglichkeiten der Fritzbox beschäftigt, da meine Eltern auf Gigabit umgestellt wurden und dabei eine neue FB bekamen.

Nun habe ich die Möglichkeit wieder über fritzdns und Portfreigabe (443) die neue Fritzbox so einzurichten wie die letzte.
Allerdings gefiel mir der Punkt mit der Portfreigabe schon damals nicht, aus Sicherheitsgründen.
Nun überlege ich die Portfreigabe wegzulassen und NextCloud so umzustellen, dass sie nur noch Zugriffe aus dem eigenen Netzwerk zu lässt.
Von meiner FB2 würde ich demnach eine VPN Verbindung zu der FB1 meiner Eltern nutzen, um dort auf die Cloud zuzugreifen.
Ergibt das so Sinn (sicherheitstechnisch), übersehe ich was, gibt es bequemere Vorschläge?

So sieht das setup aus:

FB1 (Eltern):
PC1
PC2
Handy1
Handy2
PC3 (Nextcloud)

FB2 (Meine):
PC4
Handy3
Laptop

Von allen Geräten möchte ich auf die NextCloud zugreifen.
Spannend ist die Frage für Handys/Laptops die nicht direkt im (W)LAN der FB sind.
Aus Performancegründen möchte ich nicht, dass sämtlicher Traffic durch das VPN über FB1 läuft.
Da z.B. mein handy automatisch eine Bildersicherung auf die NAS durchführt, möchte ich mich aber auch nicht dauernd ins VPN ein und ausloggen. Gibt es bei ungerooteten Handys die Möglichkeit nur einzelne apps über ein VPN zu leiten?
Auf die schnelle habe ich nichts gefunden.

Für Ubuntu/Windows auf dem Laptop bekomme ich es noch eher hin.

 

[Wilhelm14]

Spannend ist die Frage für Handys/Laptops die nicht direkt im (W)LAN der FB sind.

Welche Fritzbox?
Eine Fritzbox ist bei dir, die andere bei deinen Eltern? Wenn beide Fritzboxen gekoppelt sind, geht nur das durchs VPN, was auch entsprechend auf der anderen Seite ist. "Internet" geht weiterhin direkt von den Clients durch die entsprechende Fritzbox und nicht erst zur anderen. Sind zwei Fritzboxen VPN gekoppelt, muss man die sich wie "ein" Heimnetz vorstellen. Am Smartphone z.B. muss man gar nichts installieren oder einen VPN einrichten. Bist du allerdings außerhalb beider Fritzboxen, z.B. bei Freunden, dann sieht das Smartphone natürlich nicht das Heimnetz. In dem Fall müsste man sich manuell per VPN nach Hause "einwählen". Wegen der Sicherung wäre mir das egal. Sobald du in einem Netz beider Frtizboxen bist, "sieht" das Smartphone ja wieder dein Nextcloud.

 

[ZuseZ3]

@Wilhelm14 Danke für den Hinweis, das habe ich oben nicht gut beschrieben.
Bisher nutze ich das direkte FritzVPN und nicht die Koppelung die sie anbieten.
Daher, so lange es aktiv ist, geht der gesamte Traffic aus meinem FB2 Netzwerk über die FB1
Ich habe aber nach dem einrichten des VPNs schon gesehen, dass die Koppelung für mich wohl mehr Sinn ergibt und würde es dann die Tage umstellen.

Das Problem mit Handys/Laptops außerhalb der Heimnetzwerke bleibt aber für mich.
Ich nutze die Cloud nicht nur für Backups, sondern auch zur Datensynchronisation nutze und möchte nicht immer erst alle Geräte ins WLAN der FB2 bringen, damit die Daten abgeglichen werden.

 

[Mickey Mouse]

ich verstehe dein Problem nicht?!?
wenn du außerhalb eines "deiner" beiden WLANs bist und den Zugriff "von draußen" explizit dicht machen möchtest (das ist ja die Idee hinter der ganzen Sache), dann bleibt dir doch nichts anderes übrig als das entsprechende Gerät (per VPN) auch in das eigene Netz einzubinden.
vielleicht sehe ich den Wald vor lauter Bäumen nicht, aber du kannst doch "ganz normal" (wie jetzt auch) eine VPN Verbindung vom Handy zur Fritzbox aufbauen und dann auf die Nextcloud zugreifen?!?
ich habe noch nicht ausprobiert, ob neben einer Kopplung zweier FBs auch noch weiter VPNs möglich sind. Da man aber mehrere VPNs parallel an einer FB betreiben kann, sollte das doch auch funktionieren.

 

[ZuseZ3]

@Mickey Mouse
Ich möchte eben nicht das ganze Handy/den Laptop ins VPN hängen, da ich dadurch für meinen gesamten Internet-traffic eine entsprechende Latenz bekomme.
Die Nextcloud app alleine per vpn weiterzuleiten wäre daher für mich wünschenswerter.
Habe aber gerade selbst die Lösung gefunden: https://android.stackexchange.com/questions/22959/how-to-vpn-only-a-single-application

 

[till69]

da ich dadurch für meinen gesamten Internet-traffic

Das ist reine Konfigurations-Sache ... es muss nicht der gesamte I-Net Traffic durchs VPN

 

[snaxilian]

@ZuseZ3 Die verlinkte Lösung mag dir bei Android helfen aber nicht aufm Laptop. Da wäre dann eher der Vorschlag von @till69 vorzuziehen.

Bei VPNs kannst du entweder den kompletten Traffic durchs VPN schicken oder nur Traffic zu bestimmten Subnetzen, sogenanntes Split Tunneling. Häufigster Anwendungsfall dürfte die aktuelle Homeoffice Situation sein. Traffic der in Subnetze der Firma gehen soll/muss, geht in den Tunnel und jeglicher anderer Traffic geht direkt ins Internet.