Netzwerkplan mit Heimserver so sicher?

Wäre mein Netzwerk mit einem Heimserver laut diesem Plan hier sicher (Website wird in einer VM auf Proxmox hinter einer Opnsense Firewall gehostet und soll mit cloudflare tunnel öffentlich zugänglich sein)

Bild zum Beitrag

4 Antworten

Vom Beitragsersteller als hilfreich ausgezeichnet

PunishersLaw

27.12.2024, 15:22

Statt cloudflare könntest du dir Tailscale ansehen/ respektive Headscale.
das macht Sinn, wenn du deine Services nur für dich hostest und nicht für das gesamte Internet.

Woher ich das weiß:Studium / Ausbildung – Studium der Informationssicherheit

headlessdev

Beitragsersteller

27.12.2024, 15:22

Tailscale hatte ich mir auch schon kurz angeschaut aber zB die Website soll ja öffentlich zugänglich sein

PunishersLaw

27.12.2024, 15:23

@headlessdev

Dann ist cloudflare besser

Thomasg

Nutzer, der sehr aktiv auf gutefrage ist

im Thema WLAN

19.01.2025, 10:34

Wenn du den Cloudflare Tunnel direkt von der Webserver VM aufbaust, umgehst du damit die OPNSense Firewall für dein eingehenden Traffic komplett.

Wenn es jemandem gelingt, Zugriff auf deinen webserver zu bekommen, kann die opnsense Firewall den Traffic vom Webserver ins Heimnetz und Internet regulieren, aber die anderen beiden VM's kann er dann direkt erreichen.

Am besten, den Webserver in eine eigene Zone im OPNSense tun und sämtlichen ausgehenden und eingehenden Verkehr dieser Zone strikt reglementieren.

Woher ich das weiß:Berufserfahrung – Seit langer Zeit als Systemadministrator tätig

MichaelSAL74

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Internet, Router, Netzwerke, WLAN & Router

27.12.2024, 15:11

Kommt auf den Angreifer an und wie sicher cloudfare ist…

Woher ich das weiß:Berufserfahrung – Im Job seit gut 30J

kevin1905

27.12.2024, 15:15

Da musst aber lräftig NAT betreiben, wenn du es über IPv4 erreichbar machen willst.

Wo ist dein Backup (PBS, Veeam, etc.)?

Woher ich das weiß:Hobby

headlessdev

Beitragsersteller

27.12.2024, 15:19

Soweit ich weiß kümmert sich cloudfare tunnel um das nat etc. Ich muss im Endeffekt nur den Tunnel per script auf meinem server einrichten und kann dann die lokale url im heimnetzwerk zur website (zB http://LokaleIP:80) mit einer domain verbinden im cloudflare panel. Backup muss ich mir noch überlegen wie ich das realisiere

kevin1905

27.12.2024, 15:21

@headlessdev

Proxmox Backup Server wäre die nativste Lösung, wenn du eh über pve virtualisierst.

Und du hast da ja noch einen physischen Host (WOL).

headlessdev

Beitragsersteller

27.12.2024, 15:23

@kevin1905

Schaue ich mir mal an, danke!

Ähnliche Beiträge

Cloudflare Tunnel - Sichere Möglichkeit?

Mal angenommen man hat einen Heimserver auf dem eine Website läuft. Diese Website soll jetzt nicht nur im lokalen Netzwerk erreichbar sein, sondern von überall.

Ist dort ein Cloudflare Tunnel eine sichere Wahl, sodass das Heimnetz trotzdem noch geschützt ist? Oder muss man noch irgendwelche weiteren Vorkehrungen treffen.

...zum Beitrag

Firewall umgehen mit Tunneling?

Wenn ich zum Beispiel Zuhause einen Server habe und möchte, dass andere Leute darauf zugreifen können, muss ich ja den Port im Router freigeben.

Aber wenn ich jetzt zum Beispiel auf dem Heimserver eine Website gehostet habe und ich nur möchte dass ich selber oder nur bestimmte Personen außerhalb des Netzwerkes darauf zugreifen kann, zum Beispiel von dem Handy aus in einem öffentlichen oder fremden WLAN Netzwerk, reicht es dann Tunneling zu benutzen?

Und kann man das auch auf andere Dinge übertragen, also dass man nicht nur eine Website besucht, sondern zum Beispiel auch einen eigenen VPN Service hat, mit dem man sich ins Heim Netzwerk verbinden kann?

...zum Beitrag

Proxmox: Warum bekomme ich in meiner Windows VM maximal 10mbps fullduplex ethernet speeds?

Hi,

mein Proxmox (gehostet auf nem ThinkCentre Tiny von Lenovo mit i7 7700 und 16gb RAM) ist über ein gigabit netzwerk mit meinem pc verbunden.

In habe eine windows vm welche mir für testzwecke als auch zum hosten eines smb shares dient. der netzwerkadapter in dieser vm ist auf 1000mbps full duplex gestellt und das limit beim virtuellen netzwerkadapter in proxmox is auf 256mbps gestellt. warum bekomme ich nur 10mbps hin (so wohl senden als auch empfangen)?

Screenshots:

...zum Beitrag

Wireguard VPN zwischen Unifi UDM Pro und Windows Server?

Hallo zusammen,

ich habe ein etwas komplexeres Anliegen zum Thema Wireguard bei welchem ich nicht mehr so ganz weiter komme...

Rahmenbedingungen:

Unifi UDM-Pro mit diversen VLANs

-- nicht von extern Erreichbar

-- keine feste IP Adresse

-- Anbindung über wechselnde Provider

Windows Server (gehostet im Rechenzentrum)

-- feste IP Adresse

-- Erreichbar von außerhalb

-- kein Router vorgeschalten auf welchem die Verbindung eingerichtet werden könnte

Funktionalität:

Auf dem Windows Server soll ein Wireguard Server gehostet werden. Von der DreamMaschine soll eine Client Verbindung zu diesem aufgebaut werden.

Auf dem Windows Server laufen local diverse andere Anwendungen welche von einem Gerät im VLAN der DreamMaschine erreichbar sein soll.

Diese Verbindung muss bidirektional möglich sein (Windows Server -> Endgerät im VLAN; Endgerät im VLAN -> Windows Server). Der Zugriff vom Windows Server auf das Endgerät im VLAN soll auf bestimmte Ports beschränkt sein.

Die anderen VLANs und Geräte im Netzwerk der UDM dürfen nicht über den Tunnel erreichbar sein. Ebenfalls soll kein generelles Routing des gesamten Traffics über den Tunnel erfolgen.

Wie kann das ganze nach diesen Vorstellungen und Wünschen in der UDM konfiguriert werden?

Wie muss die config Datei vom WireGuard Server (Windows Server) und vom Client (UDM) aussehen?

...zum Beitrag

Habe ich kaum oder schlechte Beruferfahrung gesammelt?

Ich habe eine 3 Jahre Ausbildung zum IT-Systemelektroniker gemacht, sowie 2.5 Jahre Beruferfahrung als lokaler Netzwerk und Telefonie Administrator.

Grund warum ich das frage, ist dass ich ja bei der Arbeit mehr und mehr merke, dass meine Aufgaben auf Dreckasarbeit (auf guten Deutsch gesagt) gesunken wird.

Aktuell mache ich Umstellungsarbeiten in der Netzwerkinfrastruktur. Ich kriege Lob dafür, aber mehr nicht und wenn diese fertig sind....Naja...Netzwerkports automatisiert von unseren Cisco ISE Server, die ganze Security von unsere Firewall und die ganze Außenkommunikation von unseren WAN Admin...

So, und all diese Tätigkeiten sind von unseren Security Team verwaltet....Früher habe ich die Security über ACL gemacht oder Netzwerkports über PortSecurity verwaltet...

Und die neue Firewall blockiert sogar features wie die ARP Tabelle auf die Switches zu lesen. Habe es satt. Die Firma hat null Interesse dass ich da auch einsteige, da die Posten bereits verteilt sind und die Kollegen, die diese Posten belegen, haben mich indirekt frech angesprochen....

Ich habe gesagt ich will eine Stelle in ein anderes Betrieb um Cisco ISE, DNA, ACI und Firewall lernen kann....Aber ich bin ständig abgelehnt weil ich keine "gute" Berufserfahrung erworben habe und eine schlechte Qualifizierung habe.

Ich hab ein der Ausbildung schulisch das gelernt:

Systeme planen
Geräte installieren
Fehler beheben
Kunden beraten

90% Schwerpunkt in der Berufsschule war Netzwerktechnik.

In meinen jetzigen Job habe ich das alles gemacht:

- Verwalten Sie Anfrage-, Incident-, Demand- und RfC-Tickets gemäß ITIL-Standards.

- Recherche und Fehlerbehebung bei komplexen Vorfällen im Netzwerkbereich

- Verwaltung, Wartung, Überwachung und Aktualisierung der 3-stufigen Unternehmens-, Rechenzentrums- und Telefoninfrastruktur auf Basis von Cisco Catalyst/Nexus und Alcatel OmniPCX

- Konfiguration von Telefonie-Nebenstellen, Pickup- und Sammelgruppen sowie Access-, Distribution- und Core-Switches (Catalyst 2960-X, 9300/LM, 9500 und Nexus)

- Nutzung von Cisco Prime und Cisco ISE

- Grundlegende Standard-/erweiterte ACL-Verwaltung

- Lokale Verwaltung der WLAN-Infrastruktur und des Gäste-WLAN-Dienstes

- Dokumentation der Hardware und Verkabelung

- Planen, Bereitstellen und Implementieren hardware-/softwarebasierter Migrations- und Lebenszyklusprojekte

- Verwalten, konfigurieren und warten Sie die NAC- und Port Security-Endpunktfunktionalität mehrerer Standorte/Standorte

- Verwalten Sie DNS-Einträge, DHCP-Pools und Active Directory-Gruppenmitgliedschaften

- Zusammenarbeit mit internen und externen Beratern/Dienstleistern – Produktion, Logistik und Facility Management

- Schulung der Benutzer zu Netzwerk- oder Telefonie-bezogenen Fragen

- Verantwortung für die Anschaffung der Netzwerk-/Telefonie-Hardware und -Materialien.

D.h.: Switches, IP-Telefonie, Glasfaser, CAT5/6-Kabel, Lizenzen

...zum Beitrag

Wie greife ich von außen in ein öffentliches Netzwerk ein?

Ich wohne in einer Mietwohnung und es gibt ein Netzwerk für das gesamte Haus. Wählt man sich ein, wird man auf eine Website gelenkt, auf der ich ein Passwort eingeben muss (ein persönliches Passwort, nicht für den gesamten Wohnblock) und dann hat man WLAN. Jetzt geht es darum, dass ich mich gerne von außen über ein VPN Tunnel auf mein Netzwerk zugreifen möchte. Zusätzlich dazu möchte ich z.b meine Alexa und mein Thermostat für meine Heizung in dieses Netzwerk einbinden. Da möchte ich von außen drauf zugreifen. Meine Idee war nun ein ausrangiertes Handy dauerhaft mit dem WLAN zu verbinden und dann einen Hotspot einrichte, mit dem ich dann die Geräte verbinden kann. Außerdem könnte ich von außen darauf zugreifen. Welche Idee gibt es noch? Gibt es vllt spezielle Geräte für mein Problem?

...zum Beitrag

SSH server - nur von lokalem Netz erreichbar?

Guten Abend,

ich (Anfänger) hatte vor mein Notebook (mit openSuse) als kleinen SSH-Server zu nutzen um unterwegs auf meinem Tablet programmieren zu können.

Die anfänglichen Tests liefen gut, aber als ich dann wirklich weg war und mein Tablet mittels mobilem Hotspot betrieben habe, konnte ich leider keine Verbindung einrichten. Wie sich herausstellte funktioniert es nur innerhalb meines lokalen Netzwerks.

Ich hab es mittels meiner lokalen IPv4 Addresse versucht, sowie meiner öffentlichen IPv4 und IPv6 Addresse. Mit der lokalen IPv4 und der öffentlichen IPv6 konnte ich über mein lokales Netz verbinden, mit der öffentlichen IPv4 wiederum nicht. Über das Internet ging es mit keiner der genannten Addressen. (Anm.: habe immer den Standardport verwendet und dieser müsste [laut verfolgter Anleitung] auch in der Firewall freigeschalten sein)

Was kann ich tun um dieses Problem zu lösen? Wäre port forwarding an meinem Router eine Option und was müsste ich dafür einstellen?

Über Antworten würde ich mich sehr freuen!

...zum Beitrag

Meine IP ist gesperrt! um diese zu entsperren soll ich ein paar Einstellungen umändern. Kann mir jemand das hier in einfacher Sprache übersetzen?

Anmerkung: Meinen Router habe ich von Vodafone. An den Voreinstellungen habe ich nichts geändert. Mein PC Betriebssystem ist Windows 11.

Wie mache ich das ? Was muss ich genau tun? Bitte in einfacher Sprache erklären

Vielen Dank, dass Sie Spamhaus CSS Removals kontaktiert haben.

xx.xxx.x.xxx wurde als Teil eines Proxy-Netzwerks klassifiziert. Es gibt eine Art Malware, die diese IP verwendet und einen Drittanbieter-Proxy installiert, der für fast alles verwendet werden kann, einschließlich des Versendens von Spam oder des Stehlens von Kundendaten. Dies sollte besorgniserregender sein als ein Spamhaus-Eintrag, der ein Symptom und nicht das Problem darstellt.

Wichtig: Wenn diese IP als Mailserver fungiert, sollte sie wie ein Mailserver aussehen und sich wie ein Mailserver verhalten. So wie es aussieht, scheint das verwendete HELO dynamisch zu sein. Dieses Verhalten wird häufig in Malware-/Proxy-Netzwerken beobachtet.

(IP, UTC-Zeitstempel, HELO-Wert)

ip-xx.xxx.x.xxx um26.pools.vodafone-ip.de

xx.xxx.x.xxx.um26.pools.vodafone-ip.de

xx.xxx.x.xxx.dynamic.adsl.gvt.net.br

Der Proxy ist auf einem Gerät installiert – normalerweise einem Android-Handy, Firestick, einer intelligenten Türklingel usw., aber auch iPads und Windows-Computern – das Ihre IP verwendet, um Spam DIREKT über Port 25 ins Internet zu senden: Dies ist sehr oft das Ergebnis von „kostenlosen“ Apps von Drittanbietern wie VPNs, Kanal-Freischaltungen, Streaming usw., die auf dem persönlichen Gerät einer Person, normalerweise einem Telefon, installiert werden.

Dies ist eine einfache Erklärung, wie das funktioniert:

Überprüfen Sie zunächst alle Geräte, auf denen „kostenlose“ VPNs, TV-Streaming, Kanalfreischaltung oder Apps von Drittanbietern installiert sind.

Wie dieses Problem gelöst werden kann, hängt davon ab, ob diese IP statisch ist und für die geschäftliche Nutzung mit einem internen Mailserver zugewiesen wird oder ob sie dynamisch für die private Nutzung ist. Wenn Sie sich nicht sicher sind, rufen Sie Ihren ISP an und fragen Sie ihn.

HEIMBENUTZER: Dynamische Einzel-IP für nichtkommerzielle Nutzung. Es gibt eine Reihe von Möglichkeiten:

* Möglicherweise haben Sie ein Problem vom vorherigen Benutzer der IP geerbt. Bitte überprüfen Sie die oben angegebenen Zeitstempel. War diese IP zuletzt Ihre?

* Dynamische IPs sind nicht für den Betrieb von Mailservern gedacht. Wenn Sie dies tun, suchen Sie bitte bei Ihrem Anbieter nach einer Lösung. Eine wirksame NAT-/Firewall-Konfiguration ist erforderlich.

* Für den Fall, dass Sie keinen eigenen Mailserver betreiben – was für die meisten Menschen der Fall sein dürfte – konfigurieren Sie bitte Ihren Router so, dass er jeglichen Zugriff auf Port 25 blockiert, und verwenden Sie SMTP AUTH beim Anbieter Ihrer Wahl. Ihr ISP kann Ihnen dabei helfen und die meisten Router-Benutzerhandbücher sind online verfügbar.

Bitte wenden Sie sich an Ihren ISP oder Ihre IT-Abteilung, um Hilfe bei der korrekten Konfiguration Ihres Routers oder Ihrer Firewall zu erhalten. Sie können die meisten Router-Konfigurationshandbücher auch online finden.

Wenn die IP statisch ist, liegt im Netzwerk ein Malware-Problem vor. Es ist sehr unwahrscheinlich, dass es sich um den eigentlichen Mailserver handelt, aber es handelt sich um etwas, das dieselbe öffentliche IP-Adresse verwenden kann.

Bedenken Sie die Auswirkungen, wenn ein Proxy, der unter der Kontrolle einer anderen Person steht, in Ihrem Netzwerk aktiv ist: Böswillige Betreiber kontrollieren ein Gerät in Ihrem Netzwerk. Für sie ist Spam ein Extra. Ihr Geschäft ist ihr Geschäft.

Wir empfehlen dringend, Ihre Firewall so zu sichern, dass keine ausgehenden Pakete über Port 25 zugelassen werden, außer solchen, die von einem oder mehreren E-Mail-Servern in Ihrem lokalen Netzwerk stammen. Das Remote-Versenden von E-Mails an Server über das Internet sollte weiterhin funktionieren, wenn webbasiert oder ordnungsgemäß für die Verwendung von Port 587 mit SMTP-AUTH konfiguriert. Wir empfehlen auch, alle Gastnetzwerke auf die gleiche Weise zu sichern. WICHTIG: Durch die Begrenzung von Port 25 wird verhindert, dass Verbindungen Ihr Netzwerk verlassen, der Proxy wird jedoch nicht neutralisiert. Es muss gefunden und entfernt werden.

Da wir weder NAT noch die Firewall durchschauen können, liegt die Fehlersuche ausschließlich in der Verantwortung des IT-Managers. Die Protokollierung am Router oder an der Firewall, um zu sehen, was versucht, Port 25 zu verwenden, sollte zu den kompromittierten Geräten führen.

Die einfachere Vorgehensweise wäre, den ausgehenden Port 25 auf Mailserver zu beschränken und so Ihr Netzwerk zu sichern und die Einträge zu stoppen. Anschließend können Sie nach den Geräten suchen.

HINWEIS: Es kann mehr als ein betroffenes Gerät geben. Es kann auch mehr als ein Problem geben. Bitte überprüfen Sie alle Ihre technischen Einstellungen, einschließlich DNS (Forward und Reverse) und HELO-Werte. Auch Gastnetzwerke müssen gesichert werden.

Unsere FAQ :

https://www.spamhaus.org/faq/section/Hacked...%20Here's%20help

...zum Beitrag

Was habe ich falsch gemacht?

Hallo,

ich habe einen Minecraft server erstellt und der war auch kurz öffentlich erreichbar aber dann wollte ich mehr und habe noch einen 2. Server erstellt und am ende hat keiner mehr funktioniert. Ich komme wirklich immer 2 Schritte weiter und dann ein Schritt zurück.
Ich habe die DNS Einträge auf Cloudflare gemacht und das hat auch funktioniert und dann habe ich einen A eintrag und einen SRV record eintrag gemacht um die beiden Minecraft Server öffentlich erreichbar zu machen.
Nun konzentriere ich mich aber erstmal wieder auf den einen server der am ende unter der domain xevex.net erreichbar sein sollte. Ich habe vom 2. Server die DNS einträge und den Server (welchen ich auf einem Pufferpanel verwalte) gelöscht.

Jetzt die eigentliche Frage:

Ich bekomme immernoch die folgende Fehlermeldung wenn ich versuche den Server zu starten (auf Pufferpanel):

Mein DNS eintrag auf Cloudflare sieht nun so aus:

Und auch der Port den ich auf pufferpanel eingestellt habe ist sowohl in den UI einstellungen als auch in der

server.properties

Datei auf den Port 25565 eingestellt.

Auch in der router firewall habe ich eine regel hinzugefügt und den

entsprechenden port freigegeben:

und ebenfall in der UFW firewall auf meinem Server habe ich den entsprechenden port freigegeben:

Ich weiss ehct nicht was ich falsch gemacht habe, und wie ich dieses Problem beheben könnte, klar server komplett löschen aber das ist immer so die not lösung und da gibt es bestimmt andere Lösungen und vllt weiss ja jemand was ic hhier tun muss.

Der port für diesen Server sollte 25565 sein und so zur Info ich habe eine statische öffentliche IP adresse deswegen habe ich das so auch im DNS Eintrag angegeben.

...zum Beitrag

Windows Firewall für Programm ändern?

Wenn ich einem Programm in der Firewall bei installation öffentliches netzwerk gegeben habe aber jetzt privates netzwerk will wie stelle ich das um?

...zum Beitrag

Minecraft: Adressen funktionieren nicht?

Hallo, ich habe einen Minecraft Server mit dem ich mich normal verbinden kann und in der Konsole sind auch keine Fehler. Dort steht auch

Listening on /************:25565

als wenn die Adresse eigentlich erreichbar sein sollte. Aber ein Freund, der mit dem gleichen Wlan Netzwerk verbunden ist, kann den Server nicht betreten. Bei ihm sieht es so aus als ob es den Server nicht gibt. Die Serverkonsole wird auch nicht von ihm angepingt. Ich habe den Port in der Windows Firewall freigeschaltet 2x als eingehende und ausgehende Regel und jeweils TCP und UDP. Und ich habe javaw.exe auch zu öffentlichen Verbindungen berechtigt. Aber trotzdem geht es nicht. Es liegt auch denke ich nicht am Server selbst weil ich einen anderen Server auf meinem PC erstellt habe und es dort auch nicht geht. Ich habe auch schon probiert andere Ports zu nutzen. Aber mit meinem Server wird nie eine Verbindung hergestellt. Woran kann das liegen?

...zum Beitrag

x86-64-v2-aes vs x86-64-v3 Performance und Stabilität Proxmox VM?

Hallöle, ich habe in Proxmox eine VM erstellt, nur weiß ich nicht ob ich x86-64-v2-aes oder x86-64-v3 benutzen soll. Der Dedicated Server hat einen I9-9900k. Mir geht es vor allem um Performance und Stabilität, da auf der VM ein, von der Leistung her, Anspruchsvolles Minecraft Netzwerk laufen soll.

Was ist den da genau der Unterschied zwischen den Beiden? V3 hört sich für mich neuer an.

Und welches ist für meine Zwecke das beste in Sachen Performance & Stabilität. (Kompatiblität ist nicht wichtig)

...zum Beitrag

OPNSense OpenVPN | CA CRT und KEY Dateien erstellen... wie?

Moin Moin,

ich muss für meine Arbeit einen OpenVPN Server erstellen auf den sich dann Geräte der Marke Teltonika und InsysIcom verbinden. (Mobilfunkrouter)

Ziel ist es am ende mit Port-Weiterleitungen, die WebUIs der angeschlossenen Geräte zu erreichen.

Einen Wireguard Tunnel mit dieser Funktion habe ich schon realisiert.

(Tunnel-IP des Gerätes):(Eingestellter Port) --> Erreicht bestimmtes Gerät in dem Netzwerk des Routers.

Das ganze soll jetzt nur mit OpenVPN umgesetzt werden, da leider nicht alle Geräte die Wireguard funktion unterstützen vorallem diese InsysIcom nicht.

Jetzt ist dann nur die Frage wie ich das hinbekomme das ich von dem Server für jeden Client folgende Dateien erhalte:

CA.crt

Clientname.crt

.Key

Danke im vorraus

...zum Beitrag

SSH Tunnel zu einem IPv6 Heimserver?

Ich habe schon viel gegoogelt und einiges gefunden, allerdings bekomme ich keine Ergebnisse.

Ich möchte einen SSH Tunnel zwischen meinem vServer im Internet und meinem Webserver im Heimnetzwerk herstellen.

Der vServer hat eine Statische IPv4 und IPv6 Adresse. Der Webserver hat eine statische öffentliche IPv6. Firewall wurde eingestellt.

Ich möchte nun folgendermaßen zugreifen können:

[vServer]:28002 -> [IPv6 des Webservers Zuhause]:80.

Also wenn ich in der Urlzeile eingeben meinedomain.de:28002, will ich über den SSH-Tunnel auf meinem Webserver zuhause landen

gruss

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen