Portforwarding vs. VPN

[Bennyaa]

Hallo, ich bin gerade am überlegen, ob ich ein paar Services auf meiner synology (einige Docker Container ) über subdomains online verfügbar mache.
Die zweite Variante wäre ein VPN einzurichten (was natürlich beim entfernten Client dann auch laufen müsste)

Was meint ihr? Wären subdomains bedenklich? Würde es dann über einen reverseproxi laufen lassen (wahrscheinlich Nginx)

 

[madmax2010]

Was aus dem Internet erreichbar ist, ist angreifbar.
Expose nur, was du musst. Alles andere ins VPN.

ob ich ein paar Services auf meiner synology (einige Docker Container ) über subdomains online verfügbar mache.

geht auch im VPN

Ein DNS eitrag kann auch
benyaa.example.com kann auch nach 192.168.42.1 aufloesen

 

[redjack1000]

Was meint ihr?

Mach einfach.

Wären subdomains bedenklich?

Nein, warum auch.

Sei dir einfach im klaren darüber, das alles was du online stellst, sicher ein muss. Diese Sicherheit hast du zu gewährleisten.

Würde es dann über einen reverseproxi laufen lassen (wahrscheinlich Nginx)

Auch kein Problem, bei richtiger Einrichtung, kann dieser gut zur Sicherheit beitragen.

CU
redjack

 

[Bennyaa]

ok.
@madmax2010 und @redjack1000 .
Eure Meinungen würde ich mal als unterschiedlich auffassen 🙃

Ich habe auch schon eine openVPN Instanz laufen (Bauch ich für den FirmenPC damit ich von extern auf mein Heimnetz komme). nur meldet die seit kurzen:

Tue Feb 27 06:27:34 2024 read UDP: Unknown error (code=10054)

 

[mae1cum77]

Wenn das eine Firmen-VPN ist, nicht rumfummeln sondern der IT melden.

Wenn VPN nutzt man heute Wireguard, ist bei höherer Sicherheit auch noch wesentlich performanter als openVPN.

Bei Freigabe via Reverse-Proxy eher etwas moderneres wie Caddy oder Traefik2 nutzen, die die Einbindung zusätzlicher Auth-Methoden (OAuth2/Authelia) erlauben. Zusammen mit Fail2Ban/CrowdSec kann man das recht sicher gestalten.

 

[h00bi]

über subdomains online verfügbar mache.
Die zweite Variante wäre ein VPN einzurichten (was natürlich beim entfernten Client dann auch laufen müsste)

Das beantwortet die Frage ja quasi schon.
Wenn alle User deiner Dienste VPN nutzen können, dann solltest du das per VPN lösen.
Wenn du das auch public erreichbar machen willst, dann über einen reverse proxy.

VPN hat eben nur 2 Nachteile:
Du brauchst volle Kontrolle über den Client, weil du das VPN einrichten musst.
Du bist darauf angewiesen, dass das externe Netzwerk deinen VPN Port ungefiltert nach außen durch lässt.

Für mich ist VPN z.B. raus, weil Android Auto damit nicht funktioniert. Ich hab keinen Bock das VPN ständig vor dem Autofahren aus und bei Bedarf wieder an zu machen.
Ich habe trotzdem mehrere VPN Zugänge für den Fall der Fälle. Nur nutze ich diese nicht im Alltag.

 

[Bennyaa]

Also zur einen Frage… Nein es ist KEIN Firmen VPN. Sondern mein VPN auf dem Client der Arbeit. Habe Open VPN, da das eh dort installiert ist.