5
Freigabe ins WWW
Guten Tag zusammen,
ich habe folgende - gut funktionierende Konfiguration daheim:
Hinter einer Fritzbox läuft eine OPNsense Firewall mit vielen VLANS, VLANSWITCHES und einigen Servern wie piHole, Nagios, Proxmox, Docker, Nextcloud etc.
Ich verbinde mich zur Zeit per VPN in mein Netz wenn ich unterwegs bin und auf irgendwas zugreifen möchte.
Nun liebäugle ich aber mit dem Nginx Proxy Manager um meine Server nach außen hin freizugeben.
VPN geht über OpenVPN auf die FB mit einer Portweiterleitung an die OPNsense.
Nun sind leider mit der FB keine mehrfachen Portweiterleitungen auf "ein" Gerät zulässig - außer ich würde die Firewall als Exposed Host einrichten.
Ich hab ein ungutes Gefühl das zu machen - die FB gibt mir zumindest ein besseres Gefühl nicht direkt am bösen Internetz zu hängen.
Was für eine Möglichkeit habe ich den Nginx Proxy Manager nach außen sichtbar zu machen?
Ich würde ihn ja in das FB Netz hängen - ist aber ein LXC auf Proxmox (Docker).
Vielleicht gibt es ja einen einfachen Tipp auf den ich nicht komme, weil ich den Wald vor lauter Bäumen nicht sehe.
Vielen Dank
Grüße
ich habe folgende - gut funktionierende Konfiguration daheim:
Hinter einer Fritzbox läuft eine OPNsense Firewall mit vielen VLANS, VLANSWITCHES und einigen Servern wie piHole, Nagios, Proxmox, Docker, Nextcloud etc.
Ich verbinde mich zur Zeit per VPN in mein Netz wenn ich unterwegs bin und auf irgendwas zugreifen möchte.
Nun liebäugle ich aber mit dem Nginx Proxy Manager um meine Server nach außen hin freizugeben.
VPN geht über OpenVPN auf die FB mit einer Portweiterleitung an die OPNsense.
Nun sind leider mit der FB keine mehrfachen Portweiterleitungen auf "ein" Gerät zulässig - außer ich würde die Firewall als Exposed Host einrichten.
Ich hab ein ungutes Gefühl das zu machen - die FB gibt mir zumindest ein besseres Gefühl nicht direkt am bösen Internetz zu hängen.
Was für eine Möglichkeit habe ich den Nginx Proxy Manager nach außen sichtbar zu machen?
Ich würde ihn ja in das FB Netz hängen - ist aber ein LXC auf Proxmox (Docker).
Vielleicht gibt es ja einen einfachen Tipp auf den ich nicht komme, weil ich den Wald vor lauter Bäumen nicht sehe.
Vielen Dank
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4223024127
Url: https://administrator.de/contentid/4223024127
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
5 Kommentare
Neuester Kommentar
N'Abend.
Mein Tipp lautet: Bleib beim VPN.
Cheers,
jsysde
Mein Tipp lautet: Bleib beim VPN.
Cheers,
jsysde
1
Nabend.
Prinzipiell würde ich ein ungutes Gefühl haben, wenn die Fritzbox mein Gateway fürs Internet ist
Mit der OpnSense hast du doch eine potente Firewall.
Diese als Gateway zu haben ist nichts, wo man ein ungutes Gefühl haben müsste.
Wenn du die Fritzbox als "nur Modem" konfigurieren möchtest, kannst du auf der OpnSense die Internet Einwahl vornehmen (sofern DSL oder Glasfaser).
Den Nginx Proxy Manager Container kannst du dann schön in ein eigenes VLAN verfrachten / DMZ und Zugriffe entsprechend schön nach innen auf weitere Container oder Ressourcen regeln.
Gruß
Marc
Prinzipiell würde ich ein ungutes Gefühl haben, wenn die Fritzbox mein Gateway fürs Internet ist
Mit der OpnSense hast du doch eine potente Firewall.
Diese als Gateway zu haben ist nichts, wo man ein ungutes Gefühl haben müsste.
Wenn du die Fritzbox als "nur Modem" konfigurieren möchtest, kannst du auf der OpnSense die Internet Einwahl vornehmen (sofern DSL oder Glasfaser).
Den Nginx Proxy Manager Container kannst du dann schön in ein eigenes VLAN verfrachten / DMZ und Zugriffe entsprechend schön nach innen auf weitere Container oder Ressourcen regeln.
Gruß
Marc
hmm - und wieder einer von den experten die zwar nicht wissen was du hast und warum - aber erstmal zeigen müssen das die ja so gut sind und natürlich _nur_ mit profi-equipment arbeiten können und nich mit ner fritte... naja, typisches IT-Problem, jeder ist der wichtigste halt...
Gibt es nen grund warum du nicht per VPN arbeiten kannst? Denn das ist natürlich noch immer die beste Version wenn irgendwie machbar. Wenns gar nicht geht musst du halt Ports direkt durchschalten (dann eben ohne VPN) - was jetzt nicht "per se" immer gleich das Verderben selbst ist... Wenn du zB. nen Webserver wie Apache aufsetzt und richtig konfigurierst ist der auch sicher - das Internet steht schließlich voll von erreichbaren Webservern ;)
Gibt es nen grund warum du nicht per VPN arbeiten kannst? Denn das ist natürlich noch immer die beste Version wenn irgendwie machbar. Wenns gar nicht geht musst du halt Ports direkt durchschalten (dann eben ohne VPN) - was jetzt nicht "per se" immer gleich das Verderben selbst ist... Wenn du zB. nen Webserver wie Apache aufsetzt und richtig konfigurierst ist der auch sicher - das Internet steht schließlich voll von erreichbaren Webservern ;)
Vielen Dank für Eure Antworten.
@maretz den ersten Absatz hättest Du Dir einfach sparen können ^^
Zum zweiten Absatz - per VPN funktioniert fast alles - jedoch wenn es um die Migration von Daten aus einer Google Cloud geht - dann weigert sich Google zu akzeptieren, dass mein Ziel einfach in meinem lokalen Netzwerk liegt. Die wollen dann schon eine öffentliche Adresse.
Dann würde ich mich gerne mal an einem eigenen Mailserver probieren und noch so einige andere Dinge / Projekte. Immer am Tüfteln. Sonst ist man ja keiner von diesen "Experten"
@ jsysde Das ganze läuft ja nun auch schon ne Zeit per VPN ohne Probleme. Nur einige Dinge brauchen dann halt doch ne öffentlich erreichbare Adresse. Und da komme ich im Moment nicht weiter.
@radiogugu
ich denke, so werde ich das machen. Die "FRITTE" als Modem und die OPNsense einwählen lassen.
Mit einer guten Planung sollte ich eine kleinstmögliche Angriffsfläche bieten.
@maretz den ersten Absatz hättest Du Dir einfach sparen können ^^
Zum zweiten Absatz - per VPN funktioniert fast alles - jedoch wenn es um die Migration von Daten aus einer Google Cloud geht - dann weigert sich Google zu akzeptieren, dass mein Ziel einfach in meinem lokalen Netzwerk liegt. Die wollen dann schon eine öffentliche Adresse.
Dann würde ich mich gerne mal an einem eigenen Mailserver probieren und noch so einige andere Dinge / Projekte. Immer am Tüfteln. Sonst ist man ja keiner von diesen "Experten"
@ jsysde Das ganze läuft ja nun auch schon ne Zeit per VPN ohne Probleme. Nur einige Dinge brauchen dann halt doch ne öffentlich erreichbare Adresse. Und da komme ich im Moment nicht weiter.
@radiogugu
ich denke, so werde ich das machen. Die "FRITTE" als Modem und die OPNsense einwählen lassen.
Mit einer guten Planung sollte ich eine kleinstmögliche Angriffsfläche bieten.
Hallo,
die Fritz!Box als Modem und dahinter dann die OPNSense kann man sicherlich machen, nur zum einen
würde ich dann auch zwei Switche benutzen wollen und zum anderen zu dem LAN auch einen Caching-Proxy
verwenden und die Server nicht nur in ein VLAN packen! Der tiefere Sinn von einer Dual Homed Lösung ist
eigentlich alle was Server sind, die Internetkontakt haben hinter die erste Hardware zu packen und mit der
zweiten das LAN abzusichern.
Und Server heute direkt im Internet zu positionieren machen fast keine Leute mehr die ich kenne.
- Firewall --- Reverse Proxy --- DMZ (Server)
- Firewall --- Caching Proxy --- LAN
- Alle öffentlichen IPs direkt auf der Firewall und auf den Servern dann private Adressen
- IDS einsetzen (Snort & Suricata)
- eventuell ClamAV einsetzen
- Auf den Servern fail2ban einsetzen
Ich würde das lieber mit dem VPN regeln und mir den Aufwand sparen.
zum Internet. Und dann mittels APPs auf die AVM FB zugreifen, ist sicherer.
braucht nämlich keiner von den Admins hier im Forum der dann damit leben muss aber auch sein Geld
verdient ein Firmennetzwerk gegen so etwas zu schützen!!!
Dobby
die Fritz!Box als Modem und dahinter dann die OPNSense kann man sicherlich machen, nur zum einen
würde ich dann auch zwei Switche benutzen wollen und zum anderen zu dem LAN auch einen Caching-Proxy
verwenden und die Server nicht nur in ein VLAN packen! Der tiefere Sinn von einer Dual Homed Lösung ist
eigentlich alle was Server sind, die Internetkontakt haben hinter die erste Hardware zu packen und mit der
zweiten das LAN abzusichern.
Und Server heute direkt im Internet zu positionieren machen fast keine Leute mehr die ich kenne.
- Firewall --- Reverse Proxy --- DMZ (Server)
- Firewall --- Caching Proxy --- LAN
- Alle öffentlichen IPs direkt auf der Firewall und auf den Servern dann private Adressen
- IDS einsetzen (Snort & Suricata)
- eventuell ClamAV einsetzen
- Auf den Servern fail2ban einsetzen
Ich würde das lieber mit dem VPN regeln und mir den Aufwand sparen.
Nun liebäugle ich aber mit dem Nginx Proxy Manager um meine Server nach außen hin freizugeben.
Private Adressen für den Server und öffentliche bleiben auf der Firewall.VPN geht über OpenVPN auf die FB mit einer Portweiterleitung an die OPNsense.
Die Server würde ich hinter die AVM stellen ohne geöffnete Ports und direkten Kontaktzum Internet. Und dann mittels APPs auf die AVM FB zugreifen, ist sicherer.
Nun sind leider mit der FB keine mehrfachen Portweiterleitungen auf "ein" Gerät zulässig
außer ich würde die Firewall als Exposed Host einrichten.
Lass es sein! Bleib beim VPN und gut ist es.außer ich würde die Firewall als Exposed Host einrichten.
Ich hab ein ungutes Gefühl das zu machen - die FB gibt mir zumindest ein besseres Gefühl
nicht direkt am bösen Internetz zu hängen.
Wie viel Ahnung hast Du denn von dem Allen zusammen! Noch einen Spamhost oder eine Virenschleudernicht direkt am bösen Internetz zu hängen.
braucht nämlich keiner von den Admins hier im Forum der dann damit leben muss aber auch sein Geld
verdient ein Firmennetzwerk gegen so etwas zu schützen!!!
Was für eine Möglichkeit habe ich den Nginx Proxy Manager nach außen sichtbar zu machen?
Ich würde ihn ja in das FB Netz hängen - ist aber ein LXC auf Proxmox (Docker).
Ist halt heute alles schick bi es Probleme damit gibt, falls Du das dann überhaupt mitbekommst.Ich würde ihn ja in das FB Netz hängen - ist aber ein LXC auf Proxmox (Docker).
Vielleicht gibt es ja einen einfachen Tipp auf den ich nicht komme, weil ich den Wald vor lauter
Bäumen nicht sehe.
Lass es sein und nimm VPN.Bäumen nicht sehe.
Dobby
