FTP oder VPN

[Absinthe]

Guten Morgen CB’ler,

ich habe mir nun einen kleinen Heimserver zusammengebastelt der mir hauptsächlich als zentrales Datengrab und Backuport dient.
In meinem kleinen Heimnetzwerk ist schon alles passend eingerichtet, nur möchte ich aber aus der Ferne darauf zugreifen. Mir stellt sich jetzt die Frage was mehr Sinn macht, VPN oder FTP?

Um ehrlich zu sein kenn ich mich mit beiden Themen nicht gut aus, daher suche ich eine simple, sichere, wenn möglich kostenfreie, Lösung um auf der Ferne auf meine Daten zuzugreifen.

Hier die Konfiguration von dem Kleinen und Netzwerk:
OS: Win 7 Pro x 64
Plattform: ASrock E350 M1
Router: D-Link DIR 655
I-Net Anbieter : Kabel BW

 

[Kampfwurst Hugo]

vpn

 

[h00bi]

VPN oder FTP?

Um ehrlich zu sein kenn ich mich mit beiden Themen nicht gut aus

Das merkt man. VPN und FTP sind 2 paar Schuhe.

VPN baut einen (sicheren, privaten) Tunnel zu deinem Router auf. Nur mit VPN kommst du an keine Daten. Du kannst dann DURCH diesen VPN Tunnel mit FTP arbeiten oder du lässt den Tunnel weg und leitest einen FTP Port direkt weiter an den Server (MASSIVES Sicherheitsrisiko!).

Was willst du denn aus der Ferne machen? Einfach nur Daten von A nach B kopieren, streamen? Von welchen Betriebssystemen aus?

 

[dflt]

Ich würde sagen sFTP (ssh ftp) reicht ja vollkommen aus, VPN macht eher Sinn wenn man von daheim aus mit VPN auf einen externen Server zugreift um von dort aus zu "surfen", damit man bei einer Überwachung nur sieht, wie verschlüsselter Datenverkehr nur zu diesem Server aufgebaut wird (natürlich kann man auch versuchen den Server zu belauschen, hat nur wenig Sinn wenn es ein VPN-Anbieter mit dutzenden und hunderten Kunden ist..). Hat halt Sinn wenn man nicht will, dass die eigene Regierung oder Stalker sehen, auf welchen Pornoseiten man sich rumtreibt etc.

Für Datenübertragungen hat man dann sFTP, dass du dich zu deinem Homeserver/Netzwerk verbindest willst du ja nicht verschleiern.


Und korrigiert mich wenn ich falsch liege.

 

[GuaRdiaN]

Für solche Zwecke würde ich immer SSH mit RSA-2048 Bit encryption verwenden. In deinem Fall: Eine VM mit einem minimal-Linux, der via Windows Freigabe auf deine Daten zugreift. Dann einen SSH-Deamon auf das Linux.
Mit diesem Setup kannst du mit Putty / WinSCP komfortabel auf alles zugreifen und bist mit dem aktuellen Stand der Technik abgesichert. Sonst ist FTP (oder SFTP) via VPN sicherlich die zu empfehlende Wahl. (Wenn z.B. dein Router mit ddwrt openVPN kann.)

 

[Yuuri]

Der Sinn von VPN ist es, dass man extern aufs komplette eigene Netzwerk zugreifen kann, wie wenn man direkt vor Ort am PC sitzt... Stells dir als ein 100 km langes LAN-Kabel vor. Werdet doch nicht gleich paranoid.

edit: @ GuaRdiaN:

Brauch es dafür wirklich gleich ein Zweitsystem (und wenn es nur eine VM ist), die mit Linux läuft? Die muss immerhin auch administriert werden und wenn man sich hier nicht auskennt, würde ich dort keinen Finger rühren. Man kann auf einem Windows System auch einfach OpenSSH installieren. Gibt ja viele Alternativen: Cygwin (als kompletten Linuxunterbau), FreeSSHd, BitVise uvm. oder man kann sich auch einen Powershell SSH Server aufsetzen. Mit Key-Files und ohne Passwort sollte man für den Anfang relativ sicher sein.

 

[Absinthe]

Okay, scheint ja schonmal ne recht eindeutige Richtung zu sein^^
Ich dachte das ich mich mit nem VPN Zugang in mein Netzwerk komm und so dann auf meine Daten zugreifen kann.

Mir geht eis eigentlich nur um den Datenzugriff, streamen wäre natürlich ne Richtig feine Sache.

Was für Programme etc wären denn dafür sinnvoll?

 

[GuaRdiaN]

Für das Streaming bietet sich der minidlna an. Ich glaube da gibt es einen Java-Server für Windows. Für diesen Fall brauchst du aber definitiv ein VPN. Videos direkt ins Netz streamen wäre sicherlich nicht das gelbe vom Ei. VPN muss man aber unterscheiden, es gibt die Möglichkeit, dass du dich gegen deinen Router verbindest. Dann hast du das, was Yuuri beschreibt, bzw. du annimmst. Wenn du dich gegen deinen Server verbindest (via VPN) kannst du es auch so konfigurieren, dass du nur und ausschließlich auf den Server zugreifen kannst. Wenn das reicht, solltest du es auch dabei belassen. Man sollte nie mehr freigeben als man benötigt.

 

[Yuuri]

Ich dachte das ich mich mit nem VPN Zugang in mein Netzwerk komm und so dann auf meine Daten zugreifen kann.

Wie gesagt: Kommt drauf an wie du es willst und ob überhaupt deine Hardware dafür ausgelegt ist. Nicht jeder Router leitet mal eben die VPN-Pakete weiter, manche sind nicht mal in der Lage dazu. Die nächste Frage wäre: PPTP, IPSec, ...? Das muss deine Hardware können.

Wenn es dir nur um die gesicherte Verschlüsselung geht, reicht ein FTPs- (FTP über SSL) oder SFTP-Server (FTP über SSH) vollkommen aus. Für ersten, musst du im FTP-Server einfach nur einen Schlüssel erzeugen, für letzteren einen SSH Server aufsetzen und über diesen lässt du die Verbindung zum FTP-Server tunneln.

VPN nutzt man eher wie gesagt um eine entfernte Infrastruktur an einen PC anzubinden. Ich würde daher eher auf FTPs oder SFTP setzen, da es einfacher aufzusetzen ist und die Wartung ebenso nicht komplex ist.

 

[ynfinity]

wenn du per VPN verbunden bist, kannst du ganz normal dieselben Freigaben nutzen die du aktuell benutzt, wenn du zuhause in deinem Netzwerk bist. VPN verbindet, vereinfacht gesagt, quasi dein Netzwerk zuhause mit dem netzwerk von wo du dich per VPN verbindest. Unter Umständen musst du dich aber per IP und nicht per Servername verbinden, weil im entfernten Netz die Namensauflösung nicht funktioniert.

 

[GuaRdiaN]

Gerade mal geschaut, DDwrt ist für deinen Router leider nicht verfügbar, da dieser nicht von dem Projekt unterstützt wird. Daher fällt die Option auf VPN zwar nicht raus, du hast aber zusätzlich Hürden, denn einen Router mit seinem Portforwarding so zu konfigurieren, dass das funktioniert ist schon eine kleine Herausforderung. Ich würde tatsächlich den Weg über FTPs oder SFTP gehen. Hier brauchst du i.d.R. nur einen Port und kannst sicher auf deine Daten (nur deine Daten) zugreifen.

Ich würde dir hier noch einmal zu einer kleinen LinuxVM raten. Es gibt mitunter SEHR gute Tutorials, mit denen man i.d.R. alles hin bekommt. Vorausgesetzt man ist da offen. Linux mit Shell ist nicht jedermanns Sache.

 

[DaZpoon]

Es gibt zahlreiche Varianten. Aber eins kann ich dir raten: Sofern du nicht irgendwelche exotischen Sachen mit dem Heimserver machen willst, verwende ein Linux dafür. Das erscheint mir deutlich mächtiger.

FÜr deine konkrete Fragestellung gibt es nun diverse Möglichkeiten. Variante 1 wäre ein SSH Zugang, man kann dann von den Clients aus mit WinSCP darauf zugreifen. Das ist sicher, hat aber auch dne Umstand,dass auf dem Client WinSCP installiert sein muss.

Variante 2 wäre FTP mit TLS: Man kann sich eigene - eigens signierte - SSL Zertifikate erstellen, welche zumindest eine Verschlüsselung ermöglichen. Die Authentifizierung ist nicht gewährleistet da das Zertifikat natürlich nicht durch eine Root-Stelle beglaubigt ist.

Variante 3: Owncloud mit eigenem SSL Zertifikat (wie aus Variante 2). Man kann verschlüsselt auf die Dateien über den Browser zugreifen, ähnlich DropBox. Außerdem noch Kalender/Kontakte und Zugriff über WebDAV. Diese Variante habe ich nun genommen und auf meinem RasPI läuft das einigermaßen schnell. Auf deiner Hardware sollte es aber halbwegs flüssig laufen.

Variante 4: VPN und einfacher Zugriff über SMB-Share. Das klappt auch gut und ist sicher, aber die Clients müssen eben jeweils eine VPN Verbindung aufbauen.

Edit: Abraten kann ich erstmal nur davon, einen reinen FTP-Server/Port unverschlüsselt nach außen zu routen.
Das mit der VM auf dem Server würde sicher funktionieren, aber frisst auch Ressourcen und wird auch den Energieverbrauch ansteigen lassen.

 

[GuaRdiaN]

Gut Zusammengefasst, allerdings zu Punkt 2: Natürlich gibt es keine offizieller CA (Certificate Authority), aber da du selbst deine CA bist, obliegt es dir, dir selbst zu vertrauen. Daher ist das keine echte Einschränkung. Wenn du Freunden und Familie Zugang gewähren möchtest, dann könnte es ein Thema sein.

So gibts da aber kein Problem. Und natürlich frisst eine VM einiges an Leistung, hat aber den Vorteil, dass der Basisdienst (SMB vermute ich einfach mal) egal wie erhalten bleibt, wenn man sich das Linux zerschießt. Ich würde natürlich selbst auch ein natives Linux (verwende Debian) nutzen, da es i.d.R. noch viel weniger Ressourcen als Windows verschlingt. Mein aktueller SVN Server braucht 11Mb RAM

 

[Absinthe]

Okay, das ist jetzt doch etwas umfassender als vermutet, ich werde mich mal an der "normalen" SFTP Lösung versuchen und schauen was ich so gebacken kriege, das mit dem streaming war ja eh nur so ein "nice to have" Feature.

Vielen dank für eure Hilfen!

 

[GuaRdiaN]

Ich denke, dann wird es das hier tun:

https://en.wikipedia.org/wiki/FileZilla_Server#FileZilla_Server

-> Nur um die Zertifikate musst du dich ggf. noch kümmern. Sollte aber straight-forward sein.

 

[Yuuri]

Der macht aber nur FTPs, kein SFTP.

 

[DaZpoon]

Und natürlich frisst eine VM einiges an Leistung, hat aber den Vorteil, dass der Basisdienst (SMB vermute ich einfach mal) egal wie erhalten bleibt, wenn man sich das Linux zerschießt. Ich würde natürlich selbst auch ein natives Linux (verwende Debian) nutzen, da es i.d.R. noch viel weniger Ressourcen als Windows verschlingt. Mein aktueller SVN Server braucht 11Mb RAM

Mich würde im Serverbetrieb eher stören, dass die CPU nicht wirklich schlafen gehen kann wenn eine VM läuft. Der AMD ist zwar nicht ganz schwachbrüstig für die gedachten Aufgaben, aber ein wenig sollte man die Leistung kalkulieren.

Der Unterschied zwischen SFTP und FTPS ist praktisch die Umsetzung von Variante 1 (SFTP) oder Variante 2 (FTPS). Da bin ich anfangs auch drübergestolpert...