Verbindung von außen zu unsicherem Server zuhause? VPN?

[fiestaforever]

Hi,

eine konzeptionelle Frage:

Angenommen, ich habe zuhause einen Fileserver, der nicht sicher ist, weil es dafür keine Security-Patches (mehr) gibt und der deshalb "eigentlich" nicht mit dem Internet verbunden sein soll. Also keinen FTP- oder Web-Server anbieten und eigentlich auch keine eigenen Internetverbindungen aufbauen soll.
Trotzdem will ich von unterwegs auf die Dateien zugreifen können, wie wenn ich zuhause im Netzwerk wäre.

Bekomme ich das hin, wenn ich eine VPN-Verbindung zu ihm aufbaue? Wenn ja, wie? Direkt per Port-Fowarding im Router oder besser per VPN zum Router und dann den Server als Netwerkfreigabe benutzen wie zuhause?
Was ist, wenn der andere Rechner "draußen" (Client) gleichzeitig in einem anderen Netzwerk ist?

Aus dem Wikipedia-Artikel (ja, habe ich gelesen, und zwar sogar mehrmals) und anderem, was ich so zusammengegoogelt habe, werde ich leider nicht schlau.
V.a. verstehe ich die verschiedenen Implementierungen und ihre Funktionsweise nicht.

Ich habe mir schon einen Wolf gesucht und hatte erst über FTP, SFTP/FTPS, WebDAV etc. nachgedacht, das funtioniert aber wahrscheinlich nicht, weil ich ihn da immer angreifbar mache, jetzt bin ich bei VPN gelandet, weiß aber nicht, ob das funktionieren kann.

Betriebssystem für den Server ist wahrscheinlich Windows Home Server v.1 oder OpenSolaris, beide haben im Prinzip das gleiche Sicherheitsproblem. Um das Betriebssystem (ja, ich weiß, dass es neuere Versionen der genannten gibt, aber mit denen komme ich aus anderen Gründen nicht weiter) soll es hier aber nicht gehen, sondern um die prinzipielle Frage: Kann ich so eine Kiste, die eigentlich unsicher ist, über ein VPN - ggf. über eine "Mittelsmann"-Kiste - ausreichend sicher bekommen, um von draußen auf die Dateien zuzugreifen?

Falls es irgendwie relevant für die Frage ist: Dateizugriff muss auch schreibend möglich sein.

Grüße

 

[Lawnmower]

naja Du bräuchtest einfach einen VPN Server, das können mittlerweilen einige Router von Haus aus (z.B. gehören die Fritzboxen dazu sowie einige Draytek Router). Dazu noch ein Dynamic DNS Name wegen der wechselnden WAN IP (ist ebenfalls am Router einzurichten). So eine Lösung ist einiges einfacher als da noch zusätzlich einen seperaten VPN Server hinzustellen.
Und wenn Du mal eingewählt bist kannst problemlos auf alle Geräte im LAN zugreifen, dazu brauchst kein Port Forwarding einzurichten oder sowas (bringt ja nix weil der Server ja aus dem Internet nicht erreichbar sein soll). FTP, SFTP, etc kannst vergessen weil der Server dazu ebenfalls am Internet hängen müsste (ausser Du machst das irgendwie via Netzlaufwerk-Freigabe Sharing über einen weiteren Server aber da wirds schon viel zu kompliziert).

Je nach (Upload)-Geschwindigkeit deiner Leitung ist aber diese Lösung nicht immer allzu performant.

 

[DeusoftheWired]

Mit einem VPN kannst du dein Vorhaben umsetzen. Solltest du sogar, wenn es keine Aktualisierungen mehr für den FTP gibt. Der sollte nur Verbindungen von lokalen IPs akzeptieren.
VPN baut dem Namen nach ein virtuelles privates Netz auf. Bist du mit dem VPN verbunden, kannst du auf alles zugreifen, was auch im lokalen Netz (LAN) verfügbar ist, z. B. eben deinen FTP.

Knackpunkt ist meist die Einrichtung, weil dafür ständig der VPN-Server auf Verbindungsversuche von außen lauschen muß. Wenn das dein Router nicht von Haus aus oder mit einer alternativen Firmware kann, müßtest du zusätzlich einen (Kleinst-)Rechner 24/7 laufen lassen, der die VPN-Geschichte erledigt. Bequem einrichten läßt sich das aber z. B. auf allen FRITZ!Boxen, auf älteren Klassikern wie dem WRT54GL oder allen neueren, die mit DD-WRT klarkommen. Bei der Sicherheit solltest du dich für zertifikatsbasierte Authentifizierung entscheiden, da somit sogar brute force wegfällt.

 

[Merle]

Wenn du einen VPN Tunnel in dein Netzwerk aufbaust, verhält sich der Tunneladapter so, wie eine Netzwerkkarte in deinem Netzwerk.
Das heisst, du hast eine IP von dir daheim und kannst das Share einfach per IP im Explorer verbinden.
Dementsprechend ja: VPN ist eine Lösung. Zur Implementation brauchts aber sicher 2 Tunnelenden. Das eine kann dein Laptop von aussen, das andere der Router sein. Sollte aber auch Clients für einen (immer aktiven) PC in deinem Netzwerk geben. Da musst du dann aber tatsächlich einen VPN Port von aussen auf diesen PC offen lassen. Und (z.B.) DynDNS solltest du auch haben.

 

[fiestaforever]

Danke für die Antwort, Fritzbox wollte ich eigentlich in den Post reinschreiben, habe ich dann aber vergessen.
Will ich mir auch noch anschaffen, aber erst mal muss ich es fertigbringen, die Zugangsdaten aus der O2-Drecksbox rauszukriegen.
Portforwarding kann der O2-Eimer, VPN aber m.W. nicht.

OT: Das einzig Gute an Klein-Philipps Plänen für seine Anti-Netzneutralitätsverordnung ist, dass er anscheinend diese Zwangsrouter verbieten will. Soll er mal bitte, und zwar pronto! /OT

Egal, es geht bei meinem Post ja eigentlich ums Prinzip. Ich kann also mit VPN (über den Router) das Ganze so sicher kriegen, dass ich keine Angriffsflächen öffen wie z.B. bei einem WebDAV-Server?
Irgendwie stehe ich bei dem Thema VPN gedanklich auf dem Schlauch.

Was für eine VPN-Implementierung ist das denn z.B. in der Fritzbox?
Was für einen Client brauche ich dann für Win/Mac/Linux?
Und was ist, wenn ich gleichzeitig in einem anderen Netzwerk hänge?

Zusatzfrage: Welche Lösungen gibt es, die über HTTP/HTTPS und die zugehörigen Ports tunneln? (Thema fremde Firewall, Firmennetzwerk, Hotel etc.).

Performance ist sekundär, mein Hauptproblem ist, das ich drei verschiedene Standorte habe und fasst wahnsinnig werde beim Versuch, meinen riesigen verstreuten Datei-Sauhaufen in Ordnung zu halten. Von Sync & Co. habe ich genug. Zentralisierung muss her. Das Ziel ist die eigene "Cloud".

EDIT: Hat sich jetzt leider mit anderen Antworten überschnitten. Danke auch für die anderen Antworten. Aber die meisten meiner Nachfragen sind wohl noch offen.

 

[chrigu]

schau dich schlau... bei avm.de gibt es vpn anleitungen.....

nachtrag: deine verbindung mit vpn ist relativ sicher, ist wie ein eigener zusätzlicher "kanal" zum internet. die geschwindigkeit ergibt sich beim kleinsten gemeinsamen nenner, der upload-rate beider vpn anschlüsse... hast du 50mbit/s down und 1.5mbit/s up, wirds desaströs... noch schlimmer bei 16k anschluss

 

[dup]

Direkt per Port-Fowarding im Router oder besser per VPN zum Router und dann den Server als Netwerkfreigabe benutzen wie zuhause?.

Besser letzteres.

Was ist, wenn der andere Rechner "draußen" (Client) gleichzeitig in einem anderen Netzwerk ist?

Dann muss der Client so eingestellt werden das er das VPN nicht als Standardgateway benutzt.

Falls es irgendwie relevant für die Frage ist: Dateizugriff muss auch schreibend möglich sein.

Das hängt nur von den Berechtigungen ab.

Ich kann also mit VPN (über den Router) das Ganze so sicher kriegen, dass ich keine Angriffsflächen öffen wie z.B. bei einem WebDAV-Server?

Ja. Wobei auch der VPN Server eine Angriffsfläche darstellt.

Was für eine VPN-Implementierung ist das denn z.B. in der Fritzbox?

IPSec. AVM hat übrigens ein umfangreiches Portal zum Thema VPN.

Was für einen Client brauche ich dann für Win/Mac/Linux?

Einen IPSec Client. Für Windows bietet sich FRITZ!Fernzugang an.

Und was ist, wenn ich gleichzeitig in einem anderen Netzwerk hänge?

S.o.

Zusatzfrage: Welche Lösungen gibt es, die über HTTP/HTTPS und die zugehörigen Ports tunneln? (Thema fremde Firewall, Firmennetzwerk, Hotel etc.).

Das Stichwort lautet SSL-VPN.