Dienste aus Heimnetz sicher nach außen funken lassen

[Tech.Adm]

Hallo zusammen,

mich beschäftigt noch eine Sache in meinem Heimnetz.

Zur Zeit greife ich von Außen mit einer TLD sowie mit VPN zu.
(TLD - Luxus, sieht einfach schöner aus als IP und MyfritzCryptoURL; VPN - Um Ports nicht nach außen funken zu lassen.)

Ich komme mit dieser Lösung prima zurecht.
Jedoch kommen meine Eltern langsam auf den Smart Home trichter und finden es angenehm, auch mit ihrem Handy gewisse Sachen zu steuern.
Im internen Netz klappt das auch, wie erwartet. Sobald sie von außen auf das Netz zugreifen wollen, sind sie mit VPN überfordert. Anschalten und Abschalten wird vergessen, bzw nicht wiedergefunden.
- Hoffnung aufgebenen, nach vielen Versuchen.

Hauptsächlich handelt es sich dabei um Webifs von versch. Devices. Also Port 80 bzw. 443, oder individuell.


Gern würde ich meinen Eltern die TLD an die Hand geben z.B. tv.wohnzimmer.domain.de, oder tv.huette.domain.de, oder fritzbox.router.domain.de.
"Von Haus aus" sind die WebIfs mit *.htaccess geschützt, und ggf. mit indivuellen Ports.

Jedoch hab ich bedenken das dies für einen Freigabe zu wenig ist?
Gibt es hier Erfahrungen oer vielleicht noch Hilfestellung?

 

[Skaro]

Man könnte auch, vorausgesetzt man hat guten Upload, einfach den VPN am Handy durchgehend aktiv lassen. In den Android VPN Settings ist dafür extra eine Checkbox und dann verbindet er sich immer mit den VPN von allein.


Deine Eltern werden ja nicht so viel Daten Mobil verschicken.

 

[derChemnitzer]

mit einer Fritzbox kannst du einen kostenlosen Account Einrichten
An der Fritzbox kannst du anschließend einen VPN User erstellen

 

[Raijin]

Ich würde nie beliebige SmartHome-Geräte oder sonstige Dienste direkt vom www aus erreichbar machen. https hin oder her. Was weiß ich ob der Hersteller, der potentiell aus Fernost kommt, auch wirklich seine Hausaufgaben gemacht hat. Zudem kommt man in Schwierigkeiten sobald mehrere Geräte im Netzwerk dieselben Ports nutzen, zB 80/443. Zwar kann man die Portweiterleitung im Router dann zB Port 10000 --> 80@Gerät1 und 10001 ---> 80@Gerät2 machen, aber dann müsste man auch in der App bzw. dem Browser stets "myhomeblabla:10000" eingeben. Das ist auch wenig praktikabel.

Grundsätzlich würde ich Verbindungen von außen in mein Netzwerk ausschließlich via VPN realisieren. Etwaige Sicherheitslücken in den Geräten im LAN sind dann auch nur auf das LAN beschränkt und können nicht von x-beliebigen Skriptkiddies vom www aus genutzt werden...

Wenn für deine Eltern schon das ein-/ausschalten des VPNs ein Problem darstellt, werden sie mit den verschiedenen Ports wohl erst recht nicht klarkommen - da gebe ich dir Brief und Siegel drauf

 

[Yuuri]

Wenn es sich nur im Webinterfaces handelt, kannst du auch jeden beliebigen Webserver als Proxy verwenden. Im Apache geht das bspw. über die ProxyPass-Direktive. Somit kannst du beliebige HTTP-Server im Netzwerk per Proxy nach außen abbilden. Mache ich so auf meinem Windows Server mit zwei Linux Maschinen (HTTP + PHP + MySQL + anderer Kram) und ner Gitlab Instanz (nur über IPv4, v6 hat jede Maschine ne eigene IP).

Aber auch das was Raijin sagt: Bei dem ganzen Smart Home Dreck würde ich tunlichst drüber nachdenken, das nach außen zu geben. Erklär denen das mit dem VPN nochmal in aller Ruhe, sonst haben sie halt Pech gehabt. Entweder ihr Netzwerk bleibt ihr Netzwerk oder sie müssen mit den Konsequenzen rechnen, wenn was passiert. Da können sie dann so oft "ich hab den VPN-Knopf nicht mehr gefunden" sagen wie sie wollen, wenn plötzlich die "gesamte" Heimsteuerung ausfällt und die Geräte die Grätsche machen oder Teil eines Botnets sind.