Client-Dateifreigabe für Server + Proxy am Server

[Nijam]

Tag,

ich habe das folgende Setup:
Client: Windows 8 x64
entfernter Server: Debian 7 x64
und möchte damit folgendes erreichen:
- auf einige Verzeichnisse des Clients per Webserver am Server zugreifen
- Server als SOCKS5-Proxy am Client nutzen
- verschlüsselte Kommunikation für beides

Bisher:
Webserver auf VM + SSH Tunnel als Dateifreigabe -> VM muss ständig laufen und der eigentliche Webserver (auf dem Server) dient nur als Reverse Proxy für den Webserver auf der lokalen VM
SSH Tunnel als Proxy -> Unterstützt kein UDP

Worüber ich noch nachgedacht habe:
- VPN: ich könnte am Client nicht mehr nahtlos zwischen direkter und Proxy-Verbindung wechseln, außerdem hat mein Server nicht genügend CPU-Ressourcen
- Windows-Dateifreigabe: Unverschlüsselt
- SOCKS5-Server am Server: Unverschlüsselt

Jemand eine Idee, wie ich die 3 Anforderungen am besten erreichen könnte?

 

[h00bi]

Hast du auf Clientseite die Möglichkeit eine feste IP zu bekommen?

 

[Nijam]

Nicht möglich, höchstens DynDNS.

 

[schumischumi]

ich versteh die problematik noch nciht ganz.

du hast einen windows 8 rechner auf dem dateien liegen, oder?
du hast auch einen debian server der irgendwo im internet steht, oder?

du möchtest daten vom client auf den server laden, oder? (manuell, automatisch, sync, copy...?)
du möchtest den server als proxy server nutzen, oder?
die ganze kommunikation zwischen server und client soll verschlüsselt sein, oder?

warum benötigst du über den proxy udp?

 

[Nijam]

du hast einen windows 8 rechner auf dem dateien liegen, oder?
du hast auch einen debian server der irgendwo im internet steht, oder?

Richtig.

du möchtest daten vom client auf den server laden, oder? (manuell, automatisch, sync, copy...?)

Nicht auf den Server laden, sondern nur für den Server verfügbar machen. Wenn ich eine 100MB .zip-Datei in einen freigegebenen Ordner lege, soll diese per HTTP-Server auf dem Server sofort herunterladbar sein (natürlich meinen Heim-Upload dabei nutzend).

du möchtest den server als proxy server nutzen, oder?
die ganze kommunikation zwischen server und client soll verschlüsselt sein, oder?

Richtig.

warum benötigst du über den proxy udp?

Weil ich Programme per Proxy lassen möchte, die UDP-Verbindungen benötigen.

 

[schumischumi]

hmm wenn du daten von deinem lokalen PC auf einem webserver (im internet) zum DL anbieten willst, ist das bissl problematisch.
wie soll den dann später der "link" aussehen. http:\\win8client\file.xy oder http:\\debianserver\file.xy? sprich wie soll der download ablaufen?

ich sehe hier zwei möglichkeiten:
entweder sync der lokalen daten (z.b. ssh oder ieine software) auf den server und dann download direkt von da oder vpn.
alles andere macht meiner meinung nach keinen sinn.

das mit dem proxy ist dann noch offen. wobei mir da keine elegante lösung einfällt.
wenn dann ssh forward zum debianserver (link) aber das macht dann mit vpn keinen sinn.

bei dem filethema könnte man auch bei dir lokal einen zb owncloud server aufstellen und vom debianserver dahin verweisen. das geht dann auch verschlüsselt, aber du benötigst einen server bei dir zuhause. also wieder eine vom oä.

ist schon ein komisches konstrukt mit dem server im internet und den lokalen daten. würd ich an deiner stelle evtl nochmal überdenken.

 

[Nijam]

Der Link soll nach h​ttp://debianserver/file.xy aussehen, sprich der Server soll als Reverse Proxy fungieren. Mit der lokalen VM funktioniert das soweit auch problemlos, nur muss eben stets die VM nebenbei laufen. Sync ist keine Alternative und sonst fällt mir auch nichts ein, wie ich sofortige Downloads von großen Dateien realisieren könnte. ownCloud würde wohl ähnlich funktionieren wie die lokale VM. Es würde im Grunde ja schon eine simple Dateifreigabe reichen, wenn diese nur verschlüsselt wäre.
Der Server ist, wie gesagt, zu schwach für VPN und hat anscheinend überhaupt keine interne IP-Adresse, deshalb fehlt mir per VPN auch eine IP. Ich hatte testweise SoftEther mit virtuellem Routing eingerichtet, aber ob ich so auf den Client überhaupt zugreifen könnte, weiß ich nicht...

Zum Proxy: Bei deinem Link ist zwar von "sämtlichem TCP/IP-Traffic" die Rede, aber es wird ein SSH-Tunnel benutzt. Kann Proxier UDP-Traffic in TCP kapseln oder funktioniert das auch nur für TCP?

 

[schumischumi]

udp ssh forwarding link

warum ist es eigentlich ein problem, wenn die vm die ganze zeit läuft? der rechner auf dem die daten liegen läuft ja auch die ganze zeit sonst wäre die daten ja nicht verfügbar, oder?
du könntest ja natrülcih noch einen webserver ohne vm sondern direkt auf dem win8 client aufsetzten. sicherheitstechnisch find ich allerdings keine der lösungen schön. auch schon die aktuelle vm lösung ist imho bedenklich. man könnte halt noch den webserver bzw. die firewall conifg härten aber das ist ein anderes thema.

 

[Nijam]

Hatte ähnliche Lösungen auch gefunden, sind ja aber für Linux. Anscheinend gibt es socat aber auch für Windows, werde ich mir anschauen.
Finde es aber schon etwas merkwürdig, dass es keine einfache Möglichkeit gibt, den Traffic bestimmter Programme durch einen Proxy verschlüsselt zu leiten. Ich hätte erwartet, dass mehr Leute so etwas tun.

Das mit der VM ist ein Problem, weil es ein weiterer Server ist, den ich warten muss und der Platz und Ressourcen lokal belegt.
Warum ist das sicherheitstechnisch ein Problem? Von außen sieht man nur den Server, Dateien sind sofort verfügbar und der einzige Nachteil ist, dass der Upload auf meinen Heim-Upload beschränkt ist.

 

[schumischumi]

naja die meisten leute und gerade firmen verwenden vpn.

sicherheitstechnisch ist es ein problem, da du in deinem heimnetzwerk einen webserver laufen hast der von aussen(freiem internet) erreichbar ist. und der webserver hat auch noch zugriff auf die daten deines win8 clients.
sprich wenn der webserver fällt, fällt alles. und webserver sind gut dokumentierte ziele^^ hier sollte man schon eine sehr gehärtete konfig haben damit nix schief geht. nicht umsonst steht das ding normal in einer dmz mit dicker/richtiger firewall.
man kann das schon relativ sicher konfigurieren, aber man muss halt wissen wie.

ideen wie man bei dir weitermachen könnte habe ich ehrlich gesagt keine mehr. typische lösungen wäre eben wie gesagt vpn für die verbindung zum debianserver, wobei auch hier die filethematik wieder problematisch ist. aber vpn geht ja nicht.

sry bin da erstmal mit meinem latein am ende.

 

[Nijam]

Der lokale Webserver ist nicht von außen erreichbar. Die Verbindung läuft per SSH-Tunnel (Ports in Router zu) und er hat auch nur Zugriff auf die Ordner, die freigegeben sind. Um Unheil außerhalb dieser Ordner anzurichten müsste ein Angreifer schon durch den Reverse Proxy auf den eigentlichen Webserver und dort noch aus VirtualBox ausbrechen. Würde also schon meinen, das Setup ist sicher.

Schade, dann habe ich wohl schon alle Möglichkeiten ausgeschöpft. Off-topic, aber es wundert mich dann nicht, dass trotz NSA und co. kaum jemand auf Sicherheit wert legt, wenn es sogar für einen Informatiker sehr kompliziert bis unmöglich ist, überhaupt erst Programmverbindungen verschlüsselt über einen Server zu leiten.
Aber danke für die Hilfe.

 

[schumischumi]

naja mit vpn is wie gesagt nicht kompliziert^^

du baust praktisch von der vm nen ssh tunnel zum debianserver auf und greifst dann vom debianserver aus auf die shares des win8 clients zu, oder?

dann ist halt der debianserver der angreifspunkt und der hängt per tunnel ja im prinzip im heimnetz^^

 

[Nijam]

Mit VPN kann man aber nicht frei zwischen direkter und VPN-Verbindung wechseln. Für Firmen wohl kein Problem, privat möchte ich aber für vieles weiterhin die direkte Verbindung nutzen.

Ja, wobei dieses Heimnetz sich aber auf die freigegebenen Ordner beschränkt. Für alles andere müsste der Angreifer noch durch VirtualBox durch. Dass diese freigegebenen Dateien im Internet verfügbar und somit irgendwie angreifbar sind, ist mir natürlich klar. Lässt sich nicht ändern.

 

[schumischumi]

sind das windows freigaben, sprich über ip/tcp oder shared folder per virtualbox schnittstelle?
wenn ersteres isses wurst, dann isser im heimnetz und kann fröhlich angreifen. beim zweite müsste er durch die vm, ob das n großes oder kleines risiko ist, ka.

 

[Nijam]

Shared Folder per VirtualBox. Aber im Grunde alles nicht so wichtig. Die Links sind alle privat und ich erwarte da keine großen Angriffe. Nur direkt meine IP vergeben ist mir zu riskant, deshalb der Server dazwischen.

 

[schumischumi]

uh was mir gerade noch einfällt: evtl weg vom webserver und ne lösung wie bittorrent sync einrichten. kann man glaub ich verschlüsseln und für die user is wie download.

aber musst du dir überlgen. sry dass ich nicht mehr beisteuern konnte.

 

[Nijam]

Wie ich das sehe, bräuchten die Leute dafür dann ein extra Tool und meine IP würde wohl bei der Übertragung auftauchen. Es sei denn der Server hat schon die komplette Datei gesynct, dann kann ich aber gleich auf den Server hochladen.
Was mir noch eingefallen ist: SSH-Server auf Windows und sshfs auf Debian. Müsste ich auch noch probieren.

Kein Problem, scheinen ja nicht häufig vorkommene Anforderungen zu sein.