Geräte des Heimnetzwerks von außen zugänglich machen

Anzeige

Na toll. Den Ersten, bei dem ich Fernwartung mache, hat es jetzt auch erwischt. Nix geht mehr.

 

VPN over HTTPS geht immer!

 

Ja ich muss erst mal hin, das ist nicht um die Ecke. Ich habe ihm schon das vorgefertigte Schreiben an Vodafone geschickt.

 

So, ich habe heute morgen mal mit der Hotline geredet und die haben mir tatsächlich eine ipV4 gegeben. Als ich gerade nachnHause kam, wars schon umgestellt. Aber wie gehts jetzt weiter? Habe im Router die no-ip Daten eingegeben, aber wenn ich das dann im Browser aufrufen möchte, erscheint nix.
Und wie genau kann ich über die Portwweiterleitung einstellen, dass ich auf das Gerät mit der internen IP 10.0.0.12 zugreifen möchte. Der will da immer einen Dienst definiert haben...

 

Jeder Port ist ein potentieller Dienst. Dafür ja die Weiterleitung.

Welche Ports du mit dem Raspi verbinden musst, kommt darauf an, was du dort für Dienste bereitstellen willst.

Und wenn du kannst, solltest du nicht unbedingt die Standarddienste (Ports) nach außen verwenden, weil die nämlich ständig abgescannt werden und dann dein Raspi antworten würde, mitsamt aller Sicherheitslücken, die er hat oder auch nicht hat. Also Beispielsweise nach außen eine selten verwendete Portnummer und zum Raspie die 80, wenn da ein Webinterface auf 80 laufen soll. Dann kannst du mit ddns-anbieter.tld:12345 auf den Webserver vom Rasp zugreifen. Analog dazu alle anderen Dienste. Einfach schauen, auf was die Dienste im Raspie lauschen.

--

Mir war das alles zu kompliziert, ich hab mir schlicht einen vpn-Zugang in mein Heimnetz gelegt (Fritzbox) und wenn ich unterwegs auf meine Freigaben zugreifen möchte, klinke ich mich ein und tue dann so, als ob ich im Heimnetz wäre. Ansonsten hätte ich die Ports meiner Windowsfreigaben öffnen müssen, welche auch immer das sind. Aber ganz gewiss fang ich nicht an, mein Windows derart ins Netz zu hängen. Bei nem rapsi mag das was anderes sein.

 

Du solltest dann auch irgendwo sicher stellen, dass die IP immer nur an das selbe Gerät vergeben wird.

 

1 FTP 20 21 20 21 10.0.0.12

Also, so ist das im Router eingetragen, wobei das 20 jeweils als erster Üort und das 21 jeweiks als letzter Port aufgeführt ist. Warum das zweimal drin steht, weiß ich leider nicht...

 

Im Zweifel die Anleitung lesen für deinen Router.

Sieht so aus, als ob du damit den Bereich eingehend 20-21 auf den Bereich 20-21 auf die genante ip abbildest. FTP braucht zwei Ports, das wär schon richtig.

Aber ich würde dir raten, den Port nach außen nicht auf 20/21 zu lassen. Standardports werden immer wieder abgescannt.

Du solltes dir wirklcih darüber im klaren sein, dass nicht nur du in Zukunft dann Anfragen an den raspi senden wirst. Auf alle Anfragen an den Port wird der raspi antworten. Falls du irgendwelche Standardbenutzer hast, die halt im heimischen Netz bequem waren, da kann jeder rumprobieren und falls für den Dienst mal eine Sicherheitslücke bekannt wird und du die nicht reparierst, sind deine Daten in Gefahr. Ein Router bietet nur deswegen soviel Sicherheit, weil der die ganzen Anfragen schlichtweg ignoriert und somit effektiv eine Firewall bildet. Dein raspi ist nach der portforwarding-Sache nicht mehr auf der sicheren Seite der Firewall, sondern auf der unsicheren Seite.

 

Ja, das ist mir schon alles klar, was du in Bezug auf die Sicherheit sagst. Aber bevor ich mich darum kümmere, muss das Ganze ja überhaupt erstmal funktionieren...

 

Ich würde sagen, erst macht man den Raspi sicher und dann hängt man ihn ins Netz!
Ich habe das Gefühl, dass der Raspi nicht lange "ungekapert" bleibt!

Ein paar grundlegende Sachen die auf dem Raspi schon offline (hinter dem Router ohne Portweiterleitung) passieren sollten.

- alles updaten
- neuen user anlegen und user pi deaktivieren, für neuen user sicheres Passwort vergeben.
- falls ssh aktiviert, root login per ssh verbieten und user nur mit key authentication
- fail2ban installieren und einrichten
- nur Dienste laufen lassen, die wirklich benötigt werden

Wenn dieses Minimum passiert ist erst dann das Ding ins Internet und die Portweiterleitung einrichten (wie schon geschrieben) mit anderen Ports, ausserhalb der "well known ports".

Ich habe nach aussen nur ssh offen (mit key und passwort authentifizierung) auf Dateien, die auf dem Raspi liegen kann man so z.B. von einer Windows Maschine via WinSCP zugreifen. Webinterfaces im LAN (also http/https) werden hier über ssh getunnelt.