Warum nicht ein VPN (wireguard)?

Bei mir läuft der Apache Reverse Proxy und stellt alle Verbindungen nach Extern her.
Läuft als VM auf einem QNAP und lässt nur Anfragen auf Port 443 zu, je nach aufrufender Subdomain erfolgt dann die Verteilung auf die einzelnen Endpunkte.

Dahinter liegt dann „versteckt“ der Mailserver und sonstige Webserver, die von außen einsehbar sein dürfen und auch müssen.
Die erste simple Firewall sitzt in der FRITZ!Box und lehnt alles ab, was nicht Port 443 ist; der Rest landet auf dem Apache. Diese macht dann noch zusätzlich weitere Prüfungen mit Geoblocking (kann die FRITZ!Box halt nicht) u.ä.
Wer es bis dahin schafft, landet auf den Webservern mit entsprechend schwierigen Zugangsdaten.
Bedingt durch den Reverse-Proxy kann jedoch keiner direkt bis auf die Maschine.
Läuft seit 5 Jahren und bisher ohne Störung.

Wenns einer hackt - egal. Alles was man zu sehen bekommt, sind im schlimmsten Fall meine Emails. Wenn das Passwort einer herausbekommt, ist die Wahrscheinlichkeit groß, dass er auch das bei einem externen Hoster hinbekommen hätte.

Ansonsten kann er mir noch über den Homeassistant das Licht an und ausschalten, aber auch die Gefahr hat man bei einem gehackten Passwort eines VPN-Tunnels.

Denn grundsätzlich ist es egal ob der Bösewicht ein Passwort/Benutzer von einem Webserver in die Hände bekommt, oder das gleiche vom VPN-Tunnel.
Letzteres wäre noch dümmer, denn dann hat derjenige Zugriff auf alle Geräte, die eine IP-Adresse in deinem Netzwerk haben…

Kannst du so auch auf dem Raspberry betreiben; der dürfte das hinbekommen…

Alternativ gabs auch mal von Sophos die UTM als Software für eigene Geräte (gibts aber glaube ich nicht mehr).
Da könntest du direkt eine Anmeldung starten; mit Benutzer und Passwort, bevor du auf andere Geräte zugreifen darfst.
Gibt noch eine freie Version davon; ob die das heute noch beherrscht, kann ich nicht sagen (benötigt aber auch mehr als einen Raspberry: https://www.sophos.com/en-us/free-to...l-home-edition

Ich habs wie tsb2001 laufen

• FritzBox läuft nur als Modem (Bridge-Mode)
• dahinter ein UniFi Gateway welches 443 an einen
• reverse proxy weiter leitet (nginx)
• nginx läuft unter proxmox auf einer vm
• Home Assitant ebenso in einer vm
• hab aber dennoch OpenVPN auch noch laufen
• Da ich im 2. Haus keine fixe IP habe, läuft noch ein Script welches die dynamische IP immer wieder prüft und die DNS-Recods bei Hetzner updated falls notwendig. Script gibts fix fertig auf GitHub.

Das stimme ich dir überhaupt nicht zu. Die Sicherheitsproblematik entsteht nicht aufgrund gestohlener Passwörter. Da wären beide Varianten gleich sicher, wenngleich man bei OpenVPN das Problem mit einem private Key massiv entschärfen kann.

Die Sicherheitslücke entsteht, wenn die Software, welche öffentlich zugänglich ist, selbst Sicherheitslücken hat. Ich weiß, dass HomeAssistant als sicher gilt und immer wieder Security-Audits durchgeführt werden. Andererseits bietet es enorm viele Schnittstellen. Die ganzen Plugins die man da installieren kann usw. Ganz toll dann die Amazon-Integration bei welcher man das Securtiy-Token hinterlegt, damit sich HA selbstständig mit 2-Factor Authentifizierung anmelden kann. Da hab ich schon sehr viel Bauchweh. Bei Amazon sind meine Zahlungsdaten hinterlegt. Der Hacker kann da munter zu sich nach Hause bestellen (nicht nur bei Amazon, sondern bei jedem Shop der Amazon Pay anbietet). Da Amazon das mit 2-FA absichert kann ich mir nicht vorstellen, dass die mir eine Kulanzlösung anbieten.

OpenVPN ist hingegen viel verbreiteter, nicht so offen und Sicherheit der Grund warum is diese Software überhaupt gibt.

PS:
Und natürlich schlägt meine Firewall durchgehend an. Was da gescannt und versucht wird hätte ich mir nicht gedacht.

Naja, für den von dir genutzten Zweck ist das mit Sicherheit völlig Ok, einen S1 kann das so jedoch nicht ersetzen. Einer der großen Vorteile, den ich beim S1 sehe, sind die recht geringen Anforderungen an den Internetzugang (DS-Lite etc.). Für den S1 muss ich nicht von außen ins Netz kommen, es reicht wenn der S1 die Verbindung nach außen aufbauen kann.

So what?
Die Frage des Threaderstellers war genau die, einen S1 NICHT verwenden zu wollen und stattdessen Alternativen aufgezeigt zu bekommen.

Ich habe ihm aufgezeigt, wie ich das ohne S1 löse. Zwar nicht in vollem Funktionsumfang, dafür aber Opensource und umsonst. Denn Fernwartung benötige ich nicht, das mache ich dann lieber direkt aus dem Heimnetzwerk; da bin ich ohnehin den größten Teil meiner Zeit.

Interessant wäre eher die Auflistung des Threaderstellers, für was er das genau benutzen möchte.
Dann wäre die Frage einfacher zu beantworten…

ja, das würde mir auch bei der Antwort helfen.
Ohne kommen wir hier kaum weiter

Meine Variante besteht aus:
ISP Router mit einzelnen Portforwardings auf meinen "Security Gateway", ein AP mit OpenWrt dual-homed und diesen Inbound Services:
nginx als Reverse Proxy mit Client Zertifikatsanmeldung auf Port 443 mit Weiterleitungen auf interne GUIs für verschiedene Subdomains
wireguard für Netzzugriff - mit der Feller KNX V2 App kann ich damit steuern.
SSH Service mit Einschränkung auf einzelne Source-Blöcke (z.B. Geschäftsbereich, gewisse Server im Internet, Mobile Provider)
emailrelay für den Empfang von Emails auf meiner privaten Maildomain.

Hat hier jemand überhaupt den Eingangspost gelesen?

Hier geht es nicht um selbstgehosteten Mailserver, HA etc.

Mr. Busfahrer sucht ein DIY-Pedant zu S1+Gira-Geräteportal bzw. das 1:1-Pedant von ISE zum Zweck der Fernwartung/-programmierung auf verschiedene, wahlweise ausgewählte Installationen. Er möchte damit Fernwartungszugänge einrichten können, bei deren Netzwerken er KEINEN Zugriff auf Routereinstellungen hat - weil sonst gings ja mit VPN recht zügig.

Ich habe den Post erneut gelesen, würde ihn so aber nicht interpretieren.

Lassen wir die Spekulation und warten auf eine genauere Problembeschreibung durch busfahrer79

Oh, hier gehts ja los ... GLT hat recht, ich such im Prinzip einen "Do-it-yourself-S1" für Fernwartungs- und Überwachungszwecke ohne Router zu konfigurieren. Beispiele gibts da viele, das Zennio Z41 macht das z.Bsp. für den App-Zugriff, der S1 natürlich, die BASALTE COREs, eigentlich jeder PV-Wechselrichter. Anstecken, registrieren, von der Ferne eben über das "Portal" administrieren und evtl. sogar noch einen VPN-Tunnel initiieren.
Was läuft da im Hintergrund bei den Herstellern? WIe nennt sich diese Art der Anwendung überhaupt? Mit welcher Software könnte man diesen Server zu Hause hosten und was müsste dann remote auf den Geräten laufen?

Du gehst von einer falschen Annahme aus. Das Funktioniert nur, weil die Geräte nach hause telefonieren. Als von deinem Zuhause in ihr zuhause und ihr trefft euch dann beide in dessen zuhause.

Wenn das verwirrend ist:
Dein Zuhause - S1/Zennio/Whatever -> Router -> Zuhause Server das Gerätes -> Dein Endgerät.

Weil der Tunnel von dir zuhause über deren Server aufgebaut wurde, funktioniert die Kommunikation auch wieder zurück und wird i.d.R. von der Firewall nicht blockiert im Router, weil sie Ports wie 80 oder 443 verwenden.

Willst du das machen, brauchst du neben deinem Zuhause, noch ein extra Zuhause. Alternativ ist es so wie es tsb2001 beschreibt.

Genau. Und kann ich so einen "Nach-Hause-Telefonier-Dienst-Gerät" samt "Zu-Hause-Empfänger-und-Bereitsteller-für-externe-User-Gerät" selbst bauen und was brauch ich dazu (Software)?

Daniel, was Du vergessen kannst ist i.d.R so eine "Vermittlungsstelle" bei Dir zuhause hinter deinem Privatanschluss betreiben zu wollen, wenn es sich nicht gerade um ein handvoll Baustellen-VPN-Router handeln soll.

Du bräuchtest einen Root*-Server im Internet mit fixen IP-Adressen, entsprechender Domain - kein Webhostinggedöns.
Die "Vermittlungsstelle" deiner VPN-Verbindungen wären dann mit SoftEther zu realisieren. Ich vermute mal, dass die Lösung von ISE auch darauf fusst.

Die "Vermittlungsstelle" stellt für jeden Fernwartungskanal ein eigenes Vermittlungsnetz zu Verfügung - 1x verbindet sich dein Fernwartungsgerät damit, auf der anderen Seite dann Du mit dem PC. Durch Auswahl des jeweiligen Vermittlungsnetzes kommst Du dann in die verschiedenen Anlagen.

*Root
Normalerweise sind das DNS-Router, aber inzwischen hat sich die Begrifflichkeit auch für dedizierte Rechner mit Root-Zugriff durchgesetzt u. genau so ist das auch hier zu verstehen.

Bei solchen Servern muss man sich i.d.R um Aufsetzen, Config, Härtung, Wartung, Administration, Einbruchserkennung,...... selber kümmern. Falls mal ein Einbruch stattfindet, kann man sich auch Ärger ans Bein binden - weil der Server selbst von Fremden missbraucht wird oder mit den möglichen VPN-Zugängen Unfug getrieben wird.

Aha, Danke Dur für die ausführliche Beschreibung. Über Softether war ich als Name schon gestolpert, hab da aber nicht weiter reingeleuchtet. Ich guck mal, aber wenn das so ne Riesennummer wird ... ist ja nur aus Spaß und Interesse.