Gids voor toegang tot server van buiten het thuisnetwerk

Hallo

00

Ik ga 3 maanden op reis voor werk en ik wil veilig toegang krijgen tot mijn server van buiten mijn thuisnetwerk. Ik heb momenteel WireGuard geïnstalleerd, maar heb ik ook een VPN en reverse proxy nodig? Zo ja, kan iemand me verwijzen naar een gids die ik kan gebruiken om het op te zetten?

00

Dank je wel!

Ik heb momenteel WireGuard geïnstalleerd, maar heb ik ook een VPN nodig

Umm.. WireGuard is een VPN… als je dat op je server hebt draaien en je hebt het correct ingesteld met de juiste poorten doorgestuurd, dan is dat alles wat je nodig hebt.

Bewerking: ik ga ervan uit dat je net de WireGuard client hebt geïnstalleerd op je laptop en dat je geen WireGuard server op je thuisserver hebt draaiende..

Als dat het geval is, dan (weer aangenomen dat je niet de kennis/tijd hebt om WireGuard op te zetten en te dealt met een statisch IP of dynamische DNS) ga je voor tailscale.

Zerotier is een goede optie.

WireGuard en DDNS.

Je kunt een UDP WireGuard-poort blootstellen aan WAN zonder angst. Het is onzichtbaar.

Nog een stem voor Tailscale. Ik probeer het voor het eerst op afstand en het werkt net zo goed als wanneer ik op mijn LAN ben. Ik zou controleren of je services een URL in hun instellingenbestand hebben vastgelegd – dit gebeurt bij mij bij Gitea en de Bookstack wiki. Om dat te omzeilen, ben ik van plan Caddy in te stellen om het te gebruiken tijdens mijn volgende reis. Het idee is dat Caddy communiceert over mijn LAN met de services. Dan hoeft alleen Caddy over Tailscale te worden benaderd.

Ook kon ik VNC gebruiken om een thuiscomputer te benaderen die een DNS-invoer had via TailScale’s MagicDNS-functie. Geen werk aan mijn kant.

Tot nu toe, ik ben er dol op!

Nou, eerst, zorg dat je naar een lokaal koffiehuis gaat om te testen voor de reis! Eerst moeten we weten, welk firewall/router gebruik je?

Ik maak me zorgen omdat je het niet hebt vermeld, misschien heb je gewoon de apparatuur die je ISP heeft geleverd. Als dat zo is, is je externe toegang beperkt tot port forwarding met een dynamische DNS-update tool die binnen je netwerk draait zonder derde partij software zoals Tailscale. DAT is als de ISP je toegang tot hun apparatuur toestaat. Niet goed, plus deze methode is vrij beperkt in het opzetten van goede beveiliging. GEEN manier dat iemand de setup veilig zou noemen.

Als je alleen ISP-apparatuur hebt, zou ik de aanbevelingen volgen om Tailscale te gebruiken. Ik heb het nog nooit gebruikt, maar je installeert software, het belt naar huis. Je springt erdoorheen via een tunnel die het creëert. Aangezien ik niet denk dat je tijd hebt om je thuisnetwerk opnieuw te configureren, firewall/router te installeren/leren, te configureren en testen op afstandstoegang, is dit waarschijnlijk de beste oplossing voor nu.

Over een specifieke gids zoals je hebt gevraagd, kan niemand je een link geven naar een gids zonder de firewall die je hebt te kennen. Je vraag is een beetje als “Heb je een gids voor het vervangen van de elektrische ventilator in mijn keukenapparaat.” Het bevat veel goede info, zoals dat het in de keuken is, en het een ventilator is, en ventilatoren blazen lucht. Maar gaat het om een blender, oven of magnetron? Elke firewall heeft zijn eigen tools voor externe toegang die het kan gebruiken.

Ik heb pfSense op een oude pc als mijn firewall thuis, de ISP-apparatuur is geconfigureerd om het publieke IP-adres door te geven aan zijn WAN-interface. Ik heb een residentieel account, dus het is DHCP. DHCP verandert het publieke IP-adres voortdurend. Dus, ik gebruik ZoneEdit en laat mijn pfsense firewall zijn DNS-record bijwerken voor mij. Dit heet dynamische DNS. Daarna heb ik de native VPN-server van pfsense geconfigureerd, OpenVPN. Dus, wanneer ik op afstand ben, gebruik ik de ZoneEdit DNS-record in mijn OpenVPN-client om verbinding te maken met thuis. Het ZoneEdit-record wordt bijgewerkt door mijn firewall wanneer het publieke IP-adres wijzigt, zodat de client altijd het juiste IP-adres krijgt dat mijn ISP aan mijn firewall thuis geeft.

Ik heb hun remote warrior gids gevolgd met certificaten, dus behoorlijk veilig.

Self hosting is bedoeld om de controle over je gegevens terug te brengen, niet om de praktische bruikbaarheid te verwijderen. Ga en zet een Let’s Encrypt, poort 443 open en CrowdSec als je echt paranoïde bent.
Het is veel eenvoudiger, en ja, mensen kunnen brute-force aanvallen op formulieren, maar ze kunnen ook brute-force aanvallen op WireGuard!

Tailscale voor slechts een paar klikken setup.

Als je iets hebt zoals pfSense, heeft het een ingebouwde wizard om OpenVPN op te zetten.

Als je al een WireGuard-server hebt opgezet en je er buiten je netwerk bij kunt, dan heb je al VPN. Derde partij VPN-providers zoals Mullvad of NordVPN worden gebruikt om “anonymiteit” te bieden, waar niemand buiten degenen waarmee je verbinding maakt weet wie jij bent. Het opzetten van WireGuard of OpenVPN thuis is hetzelfde concept, het is een VPN, maar je bent niet echt anoniem omdat het naar je THUIS-netwerk gaat versus een VPN-aanbieder.

3e partij VPN = Het lijkt alsof je op internet surft vanaf hun servers, wat het lijkt alsof je anoniem bent omdat een goede 3e partij VPN-provider geen logs bijhoudt. Geeft je niet echt toegang tot je thuisnetwerk zonder andere dingen op te zetten (reverse proxy, VPN, enz.)

VPN thuis = Het lijkt alsof je op internet surft vanaf je thuisnetwerk, wat niet echt anoniem is omdat het terug te traceren is naar jou. Niet te zeggen dat het niet versleuteld is, dat is het nog steeds, maar omdat het uit je huis komt, weten ze dat dit verkeer van jouw netwerk is. Deze optie geeft je ook toegang tot je interne netwerk.

Tailscale = VPN thuis maar makkelijk gemaakt. Geen firewallregels hoeven te instellen, enzovoort.

Reverse Proxy = geen VPN. Je opent de server voor de wereld en laat de server het verkeer intern doorgeven aan je netwerk. Moet worden gebruikt met een SSL-certificaat (gratis te krijgen van Let’s Encrypt)

Mijn advies, gebaseerd op je kennisniveau zoals ik uit je reacties begrijp (geen insult): Gebruik Tailscale. Weinig leercurve, snel op te zetten. Heeft een kleine afhankelijkheid van externe servers genaamd lighthouses, dus het is niet precies zelf gehost, maar die lighthouses weten niet wat er wordt verzonden.

Als je wilt leren, begin dan met WireGuard-server of OpenVPN. Later kun je kijken naar reverse proxies.

cloudflared en Kasm of Teleport of Guacamole. Er zijn een paar walkthroughs op YouTube, ik denk dat NetworkChuck er een goede heeft.

Ik gebruik de ZeroTier naderhand als mijn “vpn” om toegang te krijgen tot mijn thuisserver en andere dingen, misschien de moeite waard om eens te bekijken? Volgens mij werkt het best goed, tot nu toe is het vrij stabiel, genoeg dat ik het gebruik om robots op het werk te beheren.

Tailscale is handig, maar tenzij je ook je eigen coördinatieserver draait, zou ik niet helemaal zeggen dat het een “self hosted” oplossing is. Je bent nog steeds afhankelijk van het bestaan van tailscale voor die eerste connecties.

Dit soort mesh VPNs zijn de laatste tijd vrij populair omdat het een ‘batterijen inbegrepen’ oplossing is, maar ik zou het afraden voor zelfhosting zonder wat kanttekeningen.

Ik vind Tailscale geweldig. Het is echt fantastisch voor beheer op afstand.

Ik vond Tailscale heel leuk toen ik het gebruikte, maar het kwam met één vervelend probleem. Ik kon niet Parsec gebruiken om op afstand een VM op mijn Unraid-server te verbinden vanaf mijn laptop.

Als je iets meer zelf wilt hosten, kun je SSH gebruiken, maar dat vereist dat je netwerkconfiguratie regelt en dat je beveiligingsinstellingen hebt zoals geen zwakke wachtwoorden of, nog beter, publieke/privé-sleutels.

Tailscale

Ik bedoel zoals een VPN zoals NordVPN of Surfshark. Heb ik dat nodig?

Beveiliging door obscuriteit is geen beveiliging. Je moet ervoor zorgen dat alles wat je blootstelt correct is geconfigureerd, hoe ‘verborgen’ of moeilijk te vinden het ook mag zijn.

Ik zie in je postgeschiedenis “Netgear Router MR60”

Het belangrijkste ‘mentaal’ te begrijpen is dat je thuis ISP je een IP-adres geeft dat op elk moment kan veranderen. De eerste link laat zien hoe je de VPN-server inschakelt. De tweede is een link om dynamische IP in te stellen. “NETGEAR werkt samen met NoIP om gratis MyNETGEAR DDNS-diensten te bieden.”

De struikelblok in deze configuratie is of je dubbel NAT hebt. Dat is ALS je NetGear een 192.x.x.x-adres krijgt van je ISP in plaats van een Publiek IP. Als je NetGear WAN een IP heeft van 192.168.x.x, 172.16.x.x, 10.x.x.x, dan zit je achter de ISP-uitrusting.

Dank je!! Dit is heel logisch

Dat is echt helemaal niet het makkelijkst.

Wat voor robots? Vraag voor een vriend. Lol