Nextcloud extern erreichbar machen
- Ersteller Tom111222333
- Erstellt am
Mr.Highping
Lt. Junior Grade
- Registriert
- Okt. 2011
- Beiträge
- 467
Was spricht denn gegen Cloudflare Tunnel? https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/
Damit hast du genau das Konzept was du haben möchtest, einen Reverse Proxy (Der halt bei Cloudflare läuft) und von dort aus wird dann ein Cloudflare-Tunnel (VPN) zu einem Docker Container bei dir zuhause aufgebaut.. So habe ich das für statische Dienste gelöst und bisher keinerlei Probleme.
Damit hast du genau das Konzept was du haben möchtest, einen Reverse Proxy (Der halt bei Cloudflare läuft) und von dort aus wird dann ein Cloudflare-Tunnel (VPN) zu einem Docker Container bei dir zuhause aufgebaut.. So habe ich das für statische Dienste gelöst und bisher keinerlei Probleme.
- Registriert
- Mai 2019
- Beiträge
- 195
Cloudflare wäre natürlich auch eine Variante.
Der VPN Datenverkehr ist sehr wohl verschlüsselt soweit ich das richtig sehe.
Der VPN Datenverkehr ist sehr wohl verschlüsselt soweit ich das richtig sehe.
@gaymor it depends. Nutzt er z. B. Zwischen reverse proxy und internem service auch https?
Egal.. Eine zusätzliche Maschine im Internet ist unsicherer als nur ein Port hinter dem Router (hinter = im Heimnetz). Der Service der dort Arbeitet (beliebiger reverse proxy) ist ja der gleiche, nur hab ich sonst eben noch nen Server, den ich administrieren muss und alle ports im internet zugänglich sind
Egal.. Eine zusätzliche Maschine im Internet ist unsicherer als nur ein Port hinter dem Router (hinter = im Heimnetz). Der Service der dort Arbeitet (beliebiger reverse proxy) ist ja der gleiche, nur hab ich sonst eben noch nen Server, den ich administrieren muss und alle ports im internet zugänglich sind
scooter010
Commander
- Registriert
- Sep. 2014
- Beiträge
- 2.539
Die eigentliche Lösung ist Folgende:
Auf dem v-Server richtest du den proxy manager für die Domain (könnte auch kostenlose dyndns sein) ein. Der Zielhost ist dann derjenige, der über das Wireguard-VPN erreichbar ist, also deine Nextcloud.
Also haben dannndein vServer und dein Heimnetz eine permanente Direktverbindung. Der vServer bzw. der nginx Proxy manager reicht gültige Webanfragen dann an dein Heimnetz via VPN durch. Fertig.
Natürlich muss am wireguard-Endpunkt noch die IP-Konfig so gemacht werden, dass die Nextcloud erreicht werden kann.
Aber das ist eine Sache der Wireguard-Konfig und sollte, wenn es keine exotischen subnet Konfigs geht, quasi von alleine klappen.
Der vServer muss dann durch WG so konfiguriert werden, dass er Anfragen an 192.168.178.0/24 über den WG Tunnel schickt. Der Tunnelendpunkt muss die Pakete aus dem Tunnel dann ins lokale Heimnetz weiterleiten.
Auf dem v-Server richtest du den proxy manager für die Domain (könnte auch kostenlose dyndns sein) ein. Der Zielhost ist dann derjenige, der über das Wireguard-VPN erreichbar ist, also deine Nextcloud.
Also haben dannndein vServer und dein Heimnetz eine permanente Direktverbindung. Der vServer bzw. der nginx Proxy manager reicht gültige Webanfragen dann an dein Heimnetz via VPN durch. Fertig.
Natürlich muss am wireguard-Endpunkt noch die IP-Konfig so gemacht werden, dass die Nextcloud erreicht werden kann.
Aber das ist eine Sache der Wireguard-Konfig und sollte, wenn es keine exotischen subnet Konfigs geht, quasi von alleine klappen.
Der vServer muss dann durch WG so konfiguriert werden, dass er Anfragen an 192.168.178.0/24 über den WG Tunnel schickt. Der Tunnelendpunkt muss die Pakete aus dem Tunnel dann ins lokale Heimnetz weiterleiten.
- Registriert
- Mai 2019
- Beiträge
- 195
So, ich hab es geschafft. Es war letztendlich ein Firewall Problem am VServer. Port 443 war nicht freigegeben, weshalb logischerweise alle Anfragen ins leere führten. Ich habe jedoch nun vorerst die Website über den Nginx Proxy Manager wieder deaktiviert, um weitergehende Sicherheitseinstellungen vornehmen zu können.
Da der Server im Internet zugänglich ist, und ich verhindern möchte, dass Mails, Daten etc. irgendwo landen, wo Sie nicht landen sollen, brauche ich nochmals eure Unterstützung. Wie kann ich den Server vernünftig absichern? Ich habe beim VServer bereits Fail2ban installiert, und den SSH Port geändert, sowie ein sehr sicheres 16 Stelliges Passwort, generiert mit dem Bitwarden Passwortmanager hinterlegt. Das selbe habe ich mit dem Nextcloud Server getan. In Nextcloud ist die 2 Faktor Authentifikation aktiviert. Zusätzlich habe ich automatische Updates mittels dem "unattended-upgrades" Paket auf allen Servern aktiviert.
Da der Server im Internet zugänglich ist, und ich verhindern möchte, dass Mails, Daten etc. irgendwo landen, wo Sie nicht landen sollen, brauche ich nochmals eure Unterstützung. Wie kann ich den Server vernünftig absichern? Ich habe beim VServer bereits Fail2ban installiert, und den SSH Port geändert, sowie ein sehr sicheres 16 Stelliges Passwort, generiert mit dem Bitwarden Passwortmanager hinterlegt. Das selbe habe ich mit dem Nextcloud Server getan. In Nextcloud ist die 2 Faktor Authentifikation aktiviert. Zusätzlich habe ich automatische Updates mittels dem "unattended-upgrades" Paket auf allen Servern aktiviert.
Evil E-Lex
Commander
- Registriert
- Apr. 2013
- Beiträge
- 2.619
Security through obscurity. Kann man machen, ob es hilft ist fraglich.Tom111222333 schrieb:
Das würde ich abschalten. Öffentlich erreichbare SSH-Server nutzt man nur mit Public-Key-Authentifizierung. Dann können dir auch die fehlgeschlagenen Loginversuche in den Logfiles herzlich egal sein.Tom111222333 schrieb:
Ähnliche Themen
