Cool, danke. Du/Ihr hab also auch eine Fritzbox/anderen Router mit allen Sicherheitsfunktionen (FW,...) und nur ein Portforward auf den reverse proxy dahinter und nicht eine UTM-Lösung mit dem Proxy statt einer Frtitzbox? Damit hatte ich fast nicht gerechnet... Gut für mich, da dann "irgendwie umsetzbarer" mit meinem Wissen... Das könnte also auf einem Ubuntu-Server laufen? Und alle Requests über den Port an den reverse proxy, die kein Zertifikat haben, werden alle(!) "kugelsicher" verworfen?

Könnte man auch (zur dezenten Sicherheitsverbesserung auch auf einen Port weit oben (50xxx?) ausweichen oder ist alles, was nicht 443 ist unpraktikabel. Ich denke mir, dass Portscans tendenziell auf die Standard-Ports eher/öfter klopfen, als weit ab vom üblichen.

Hi,
klar - heute hast du den VPN-Port offen - der wird vom VPN-Serverdienst (auf der Fritzbox) geöffnet und die verbindungen beantwortet. Passiert automatisch.
Bei meiner Konstellation muss port 443 offen sein. Da der Reverse-proxy üblicherweiße nicht auf der Fritz direkt läuft - musst du die verbindung weiterleiten (portforward) zu dem Host auf dem der Apache läuft.
In unternehmensumgebungen macht man genau das in der DMZ - im privaten Umfeld wäre das aber übertrieben.
Von der Sicherheitsthematik ist das ähnlich: auf der Fritz läuft auch ein Linux. Richtige konfiguration vorausgesetzt kann da nichts passieren.
Gleiches beim Reverse-Proxy: solange der sicher ist - kann da auch keiner ausbrechen. Apache ist millionenfach eingesetzt... daher denke ich das passt.
Generell ist ein Problem die sicherheit des "Ziel"-Servers - also EDOMI. Ein Angreifer könnte natürlich dort versuchen sich reinzuhacken...
Da allerdings der Apache-Proxy zuerst ein gültiges Client-Zertifikat sehen will - kommt der Angreifer nicht weiter.
Ergo: die sicherheit basiert auf
a) dem sicheren aufbewahren und nicht verlieren von Client-Zertifikaten
b) dem sicheren Aufsetzen & Configurieren des Reverse-Proxies.

Für mehr details referenzier ich mal auf die Schritt-für-Schritt-Anleitung für den HS: https://knx-user-forum.de/forum/%C3%...hentifizierung - wobei durch den neuen Apache man das ganze jetzt auf den regulären ports (443) machen kann - was damals noch nicht beschrieben war.

Gruß
Thorsten

Hallo Thomas,
ja, so kann ich das einordnen und nachvollziehen: Danke. Insbesondere die Säulen a) und b) liegen auf der Hand und da muss man seiner Verantwortung gerecht werden. Mal angenommen, der reverse-proxy-Server ist genauso sicher wie die FB, steigt mein Risiko dadurch also nicht.

Die Sicherheit von edomi sehe ich recht entspannt, da ich einerseits nicht wirklich sicherheitsrelevante Dinge darauf laufen lasse (so kann z.B. zwar mein WW ausgeschaltet werden, aber im Aktor habe ich das Ausschalten der Gas-Therme unterbunden; der Aktor dient so nur der Leistungsmessung) und zum anderen denke, dass meine IT-SIcherheit durch Router/FW/... an der Schnittstelle WAN/LAN erfolgen soll und muss. Wer drin ist, ist drin. Daten sind zwar zusätzlich berechtigt (NAS) aber da stünden das Portfolio offen für Trojaner,Ransomware... mit viel mehr Schadenspotential. Ich vertraue da halt auf die Fritzbox und die NASe mit aktueller FW

Danke auch für den Link. Jetzt vollziehe ich noch den Umzug vom (bereits abgeschalteten HS) - das wird noch eine Weile dauern, da ich nicht "huddeln" will. Ich möchte die Dinge im Unterbau (KO/GA/Logik/..) nur noch soweit möglich einmal anfassen und richtig machen. Darauf kann man später viel Freunde und gerne auch regelmäßigen Wandel an der Visu haben. Dann gehe ich das proxy-Thema mal an. Hört sich doch nach einer kalten, langen, schönen Winternacht Anfang 2017 an, nach der man übernächtigt seiner Frau Kaffee ans Bett bringt und beginnt mit "Schatz, schau mal was heute neu ist..."...

Hach, das kommt mir doch irgendwie bekannt vor. Bin ich also nicht der Einzige...

nicht gesund - aber genau mein Ding!

Hi,
ich habe mich an diese Anleitung gehalten, wie gesagt iPhone in Verbindung mit einer Fritzbox 7490. Du musst zwei Konfigurationsfiles erstellen (sind als Kopiervorlage im Link enthalten), eines für die FB und eines im iPhone installieren.

Hallo allerseits,

irgendwie bin ich angefixt von der reverse-proxy-Lösung... um es zumindest gedanklich mal langsam vorwärts zu bringen für IT-afine Menschen, wie mich, aber ohne tieferes Wissen zu Sicherheitslösungen, UTM und mit oberflächlichem Linux-Wissen.

1. Als Alternativen habe ich verstanden...
   • "große UTM-Lösungen" wie Sophos oder pfSense (die ich persönlich noch nie gehört habe)
   • "kleinere" (millionenfach genutzte) Lösungen wie Apache, aber auch nginx und - zumindest früher - Squid. Weitere?
   • Für mich lesen sich Artikel so, dass Apache verlässlich und "altgedient" ist, aber mir scheint für den Hausgebrauch nginx (durch ein anderes Arbeitsprinzip) viel schlanker und HW-schonender (=energiesparender und weniger Hitze im Gehäuse) beschrieben. Subjektiv würde ich daher eine nginx-Lösung als reverse-proxy bevorzugen, nicht die oben beschriebene Apache-Lösung. Squid scheint seine besten Tage hinter sich zu haben. Eine Sophos-Lösung scheint mir für mich viel zu groß: zu viele Optionen und damit auch viele Möglichkeiten, etwas falsch oder nicht zu tun, dass dann Lücken reißen würde. Genau die will ich ja nicht.
2. Hat hier jemand schon nginx als Apache-Alternative erfolgreich im Einsatz als reverse-proxy? Oder gibt es gute Gründe, trotz der (relativen) Schwere des Apache genau nur Apache zu nehmen?
3. Eigentlich steht ein reverse-proxy wohl in der DMZ und sichert so den Zugriff aus WAN auf das LAN ab. Ich plante jetzt nicht, noch eine zweite Firewall-Ebene in mein LAN einzuziehen, um eine echte DMZ zu schaffen. Folgende Fragen unter der Annahme, dass man den proxy ordentlich konfiguriert hat:
4. Hingegen habe ich (und sicher der ein oder andere hier auch) im LAN einen Debian oder Ubuntu-Server laufen für "so allerlei". Ist es sicherheitstechnisch sinnvoll oder ein Risiko, auf dem ohnehin 24/7 laufenden System den reverse-proxy produktiv zu fahren?
5. Wäre ein eine VM auf einem ebenfalls 24/7 laufenden NAS auch eine gute Alternative? Oder ist dies ein erhöhtes Risiko für Daten auf dem NAS?
6. Ist eine Docker-Lösung im Vergleich zu einer VM-Lösung weniger sicher? Docker wäre halt wieder sparsamer...
7. Grundsätzlich: Bei einer Firewall/NAT ist es nach meinem Verständnis unumgänglich, zwei LAN-Adapter zu haben für LAN und WAN und eine saubere Trennung, z.B. Fritzbox, Router oder eigene Lösung. Wie sieht es bei einem reverse proxy aus? Ist es ein Risiko, dies auf einer HW laufen zu lassen, die nur eine LAN-Adapter hat oder ist das völlig okay? Der Port-Forward hat ja ohnehin ein kleines Loch ins LAN gebohrt hat und genau dort säße der proxy (im LAN) und routet weiter bei korrekten Zertifikaten auf den edomi oder next-/ownclod (im LAN). Richtig?
8. Spräche etwas dagegen, den offenen Port auf irgendwas weit oben weg vom Standard zu legen, also z.B. <meine-domain.de>:65432?
9. Zertifikate von Letsencrypt: yepp, das sollte ich schaffen.
10. Aber noch ganz plakativ die Global-Frage an die Erfahrenen: Bekommt man einen einfachen reverse proxy als Durchschnitts-Linuxer sicher(!) zum laufen oder sollte man es besser nicht tun? Ich habe lieber eine sicher VPN-Lösung als eine fast sichere proxy-Lösung...

Hat alles keine Eile; schön wäre aber ein - gerne auch kontroverser Dialog - mit unterschiedlichen Ansichten von erfahrenen Usern, um hier ein paar Infos zu zusammen tragen für ein eigenes Bild auf diesen alternativen Zugriffsweg auf edomi, der über die bereits wirklich sehr hilfreichen Infos/Links von Thorsten und Lapheus hinaus gehen. Ich freue mich auf Antworten auf meine - vielleicht zum Teile banale erscheinden - Fragen. Gerne auch z.B: mit "zu x)." nur auf einzelne Fragen...

Danke und viele Grüße,
Carsten

da ich relativ viel Krams laufen habe.... Privat... Gastnetz.... Firma... Test.... blablabla... hab ich
(abgesehen von dem ganzen Wahnsinn dahinter) für kleines geld einen VPN-Router aktiv.... atm sieht das dann so aus:

Fritz-Box (mit aktivem GuestWLAN, demnächst wird das abgeschaltet und durch unifi-AccessPoints ersetzt)
dahinter der VPN-Router mit Splittung von Privat / Firma / Test / DMZ

Fritz-Box "vorne" weil so wenig Stress mit Provider... da diese das Produkt alle kennen und unterstützen... und wegen GuestWLAN einfach gelöst...

Herstellerlink: http://www.tp-link.de/products/detai...TL-ER6020.html
Preisinfo: http://geizhals.de/tp-link-tl-er6020...r-a874615.html

Das Teil ist ein Invest von 150€.... bei dem was die ganzen "Hesteller-Gateways" kosten (Heizung, PV usw. usw. usw.) bzw. die KNX-Installation an sich....
war dieser Invest aus meiner Sicht einfach... unbedeutend... die Möglichkeiten sind aber ganz nett....

(Es gibt besseres, es gibt schlechteres, will das garnicht diskuttieren... sondern einfach einen einfachen Weg aufzeigen denn man als
nicht Netzwerkexperte problemlos hinbekommt...)

Hab außerdem als VM noch ein "openvpn" laufen... das ist ja für bis zu zwei parallele VPN-Verbindungen ebenfalls gratis, und out of the
Box auch sehr einfach '"produktiv" zu nehmen und durchaus mächtig in seinen Möglichkeiten.
( https://openvpn.net/index.php/access...vpn-as-vm.html )

Danke, ein anderer VPN-Ansatz. Solche Erfahrungsberichte sind immer wertvoll, wenn man Infrastruktur-Maßnahmen entscheiden will.

Aber am Ende auch "nur" VPN und das schient mir mit dem Fritzbox-VPN hinreichend umfangreich unsicher gelöst und das Gäste-Netz der FB scheint mir im Gesamtkontext auch hinreichend/angemessen. Auf dem Handy muss ich weiterhin ein VPN starten - wie jetzt auch. Die 150€ würden mich in keiner Weise schrecken, wenn ich out-of-the-box einen nachvollziehbaren Mehrwert habe. Vermutlich habe ich mangels eines umfangreichen Firmennetz-Bedarfs andere Anforderungen oder ich habe das Funktionsspektrum des Geräts nicht hinreichend begriffen.

Ich freue mich über eine Einordnung dessen und ob ich da etwas unterschätze bzw. die FB überschätze.
Grundsätzlich geht es mir aber hier um den VPN-losen Ansatz per reverse-proxy...

der router bietet eine DMZ-Funktionalität.... das war der Punkt denn ich unabhängig vom VPN hier als echten Mehrwert sehe
(die Zusätze wie die Netzsplittung in Privat / Firma ... oder bei Dir ggf. Privatnetzwerk / Edomi - sowie reglementiere Zugriffe zwischen diesen sind auch nicht
zu verachten).

Die Frage für mich ist aber generell:
Warum muss egal welcher Server (Edomi in diesem Fall) sichtbar nach außen funken ? Dies ist doch nur für Dich bzw. ggf. Deine Familie interessant.


Mehrwert VPN in Relation zur FritzBox ist for allem die viel höhere Flexibilität. VPN ist halt nicht gleich VPN
(IKE, IPsec, L2TP, PPTP usw.)

Bzgl. VPN auf dem Handy starten... ähm nein.... mann kann sowas "dauerhaft" einstellen... als Beispiel hier mal kurz "perfect -privacy"
(geht mir nur darum wie einfach sich VPN dauerhaft auf smartphones etc. einrichten lässt, nicht um den Anbieter):
https://www.perfect-privacy.com/germ...nd-ipad-ikev2/
bzw.
https://www.perfect-privacy.com/germ...hone-und-ipad/

ah, ich sehe Mehrwert. Danke!

Ergänzung zum reverse-proxy: Es geht es in keiner Weise darum, dass die Services nach draußen "funken", sondern ich/wir bei Bedarf rein kann (Edomi, nextcloud) - mit reverse-proxy statt VPN eben nahtlos und trotzdem sicher.

Das der Mehrwert für einen Zugang von Außen überschaubar ist bei edomi, hatte ich weiter oben schon mal erwähnt: Tatsächlich muss ich fast nie von außen auf edomi und will es auch nicht öfter - ist genau deshalb heim-automatisiert. Nur wenn, dann ist das schon chic mit der Lösung...

Hallo Carsten,

• zur UTM, die hatte ich ausprobiert.
  Das hat es für mich zu komplex gemacht. Die UTM erschlägt Dich mit Möglichkeiten. Ich habe keine Zeit mich in zig Systeme einzuarbeiten.
  Ich nutze eine Fritzbox weil die am Provider Anschluß am einfachsten funktioniert. Dahinter hängt ein OpenWRT Router als ExposedHost. Die Firewall davon reicht mir aus.
• zu apache/nginx:
  Bei mir lief schon der apache2.2 auf dem Server, deshalb hab ich den genommen. Dann benötigte ich für die Konfiguration mit einem Port (443) den apache 2.4. Der lief eine ganze Zeit lang in einer virtuellen Maschine in meiner Umgebung. Habe auch gelesen das der nginx in einige Fällen schneller sein soll. Wir sprechen hier aber nicht von einer Website mit x-tausend Zugriffen, daher wird es der apache2.4 wohl tun.
• auf welchem System: bei mir läuft ein Ubuntu Trusty Server für einige Sachen. Der macht den Reverse-Proxy mit.
• zu DMZ, siehe Komplexität wird erhöht weiter oben
• zu andere Dinge auf gleichem System: Mein Ubuntu Server macht auch NAS Dienste und mehr.
  z.B. Syology bietet für Ihr NAS alle möglichen Dienste an, auch VPN alles auf einem System.
  Für mich sind da die Energiekosten mit entscheidend.
• Ich bin nicht der Sicherheitsexperte, wenn du bei der Sicherheit so viele Probleme hast dir einen Port auf den Server zu öffnen, dann lass es.
  Ich meine das ich meine Zugang schon sicherer gemacht habe als ein direktes Portforwarding, auch auf einen unbekannten Port.
• zu Ports: Ja, jedes Gäste-Wlan von einer FritzBox verhindert das du über einen anderen Port als 80 und 443 nach draussen kommst.
  Da wäre dann schon mal wieder Ende für Dich. In Firmen Netzwerken mit Internet Proxy würdest Du da auch nicht raus kommen.
  Deshalb ja der Reverse Proxy mit einem Port 443.
• zum letzten Punkt: Wie schon geschrieben auf ssllabs mit Note A bewertet.
  Meine ersten Anfragen dort waren F. Da steht in der Doku was du wo konfigurieren mußt um die Lücken zu schliessen. Mit der Beschreibung hier, sollte noch ein A+ raus kommen.

meine 2ct.

Hallo,

ich leite per dyn-dns meine offizielle IPv4 per Portforwarding über meine Fritzbox zu meinen internen Hyper-V System. Dort läuft unter anderem ein virtueller KEMP Load Balancer, der hier als Reverse Proxy die Anfragen entgegen nimmt . Die Authentifizierung am KEMP läuft per Zertifikat, welches ich von meiner internen PKI Struktur habe (Windows Server 2012 R2). Der KEMP kann dann ein URL basiertes Routing zu den Backend Systemen (Edomi, Kameras, RDP etc.) durchführen. Den KEMP kann man für diesen Fall im übrigen als kostenlose Version herunter laden. Man muss sich allerdings schon ein wenig auskennen, um so ein Konstrukt aufzubauen. Einfach ist anders ...

rakst danke für den Tipp, ist ja cool dass die eine VHD bereitstellen

Apache 2.4 installieren
-------------------------------
Ich habe versucht den Apache 2.4 parallel zu installieren, damit ich mit dem aktuell funktionierenden Apache 2.2.15 noch ein Backup habe. Ich bin wie folgt vorgegangen:

cd /etc/yum.repos.d/ wget http://repos.fedorapeople.org/repos/...l-httpd24.repo yum install httpd24.x86_64
/opt/rh/httpd24/root/usr/sbin/httpd -version chkconfig httpd off chkconfig --list | grep httpd httpd 0ff 1ff 2ff 3ff 4ff 5ff 6ff httpd24-httpd 0ff 1ff 2ff 3ff 4ff 5ff 6ff
und dann den Apache 2.4 wie folgt starten

service httpd24-httpd start

nachdem das dann fehlgeschlagen ist, habe ich den Apache 2.2 wie folgt gestoppt

service httpd stop

und den Apache 2.4 wieder versucht wie folgt zu aktivieren

service httpd24-httpd start

Eine Abfrage mit "httpd -v" hat mir dann allerdings gezeigt dass Apache 2.2.15 installiert ist, Edomi hat aber dann nicht mehr funktioniert.

Was habe ich vergessen bzw. wo ist mein Fehler und was muss ich noch konfigurieren?

Danke Euch im Voraus