3
Nextcloud, Letsencrypt, OpenVPN und PiHole mit mehren Portweiterleitungen zusammen auf dem Pi
Hallo werte User und Wissende,
ich habe eine sehr allg. Frage zu den Programmen in der Headline.
Da ich in der Linux Welt noch nicht so fit bin.
Jedoch möchte ich die oben genannten Programme/ Hilfsprogramme auf einem Pi installieren und frage mich an einer Stelle ob da geht.
Zu diesem Punkt gibt es viele Meinungen im Netz und keine durchgängige Anleitung, die die Verbindung klar stellt.
Auf dem Pi werden alle nötigen Programme installiert, damit am Ende mittels Nextcloud von mehreren Endgeräten auf einem Server Daten benutzt werden können.
Damit der Zugriff sicher erfolgen kann soll Letsencrypt, dann OpenVPN mit PiVPn und zum Schluss PiHole installiert werden.
Damit das Ganze klappt sind sowohl für Letsencrypt und OpenVPN Protweiterleitungen nötig.
Ich frage mich nun ob ich die Portweiterleitungen in Letsencrypt (Port 80 und 443) auf meinen Router wirklich benötige.
Schließlich sollen ja alle Verbindungen um Pi über den VPN Tunnel (Port UDP xxx) laufen.
Hierzu gibt es ca. 20 verschiedene Standpunkte, weswegen ich mir keine klare Meinung bilden kann.
Habt Ihr Erfahrungen in welcher Reichenfolge und welche Ports wirklich geöffnet werden müssen?
Gruß Gertine
ich habe eine sehr allg. Frage zu den Programmen in der Headline.
Da ich in der Linux Welt noch nicht so fit bin.
Jedoch möchte ich die oben genannten Programme/ Hilfsprogramme auf einem Pi installieren und frage mich an einer Stelle ob da geht.
Zu diesem Punkt gibt es viele Meinungen im Netz und keine durchgängige Anleitung, die die Verbindung klar stellt.
Auf dem Pi werden alle nötigen Programme installiert, damit am Ende mittels Nextcloud von mehreren Endgeräten auf einem Server Daten benutzt werden können.
Damit der Zugriff sicher erfolgen kann soll Letsencrypt, dann OpenVPN mit PiVPn und zum Schluss PiHole installiert werden.
Damit das Ganze klappt sind sowohl für Letsencrypt und OpenVPN Protweiterleitungen nötig.
Ich frage mich nun ob ich die Portweiterleitungen in Letsencrypt (Port 80 und 443) auf meinen Router wirklich benötige.
Schließlich sollen ja alle Verbindungen um Pi über den VPN Tunnel (Port UDP xxx) laufen.
Hierzu gibt es ca. 20 verschiedene Standpunkte, weswegen ich mir keine klare Meinung bilden kann.
Habt Ihr Erfahrungen in welcher Reichenfolge und welche Ports wirklich geöffnet werden müssen?
Gruß Gertine
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 586525
Url: https://administrator.de/contentid/586525
Printed on: April 25, 2024 at 07:04 o'clock
3 Comments
Latest comment
frage mich an einer Stelle ob da geht.
Warum sollte es deiner Meinung nicht gehen ? Unter Winblows kann man das ja auch... 
am Ende mittels Nextcloud von mehreren Endgeräten auf einem Server Daten benutzt werden können.
Ein millionenfacher Klassiker den viele Datensicherheits bewusste Benutzer so umsetzen für eine gesicherte Private Cloud !soll Letsencrypt, dann OpenVPN mit PiVPn und zum Schluss PiHole installiert werden.
Auch ein No Brainer. Guckst du hier:https://bayton.org/docs/nextcloud/installing-nextcloud-on-ubuntu-16-04-l ...
Damit das Ganze klappt sind sowohl für Letsencrypt und OpenVPN Protweiterleitungen nötig.
Klar, denn dein RasPi befindet sich ja in einem privaten lokalen LAN hinter einem NAT und einer Router Firewall der das interne Netzwerk logischerweise schützt. Es ist für ein Administrator Forum evident das man dort ohne ein Loch in die Firewall zu bohren nicht durchkommt. Schließlich sollen ja alle Verbindungen um Pi über den VPN Tunnel (Port UDP xxx) laufen.
Dann brauchst du es natürlich nicht machen, jedenfalls NICHT an deinem lokalen Heimrouter. Du musst diese Forwardings dann nur dort machen wo dein Tunnel endet und wo dann der NAT Übergang ins Internet ist, denn dort ist ja dann logischerweise das NAT Gateway was die Port Forwardings benötigt. Im Tunnel selber macht man ja niemals NAT !Dein Heimrouter braucht dann natürlich keinerlei Port Forwarding, das hast du richtig erkannt.
Hierzu gibt es ca. 20 verschiedene Standpunkte,
Sorry, aber das ist Unsinn und eine typische Freitags Argumentation ! Halte dir immer den Paket Flow vor Augen WIE die Pakete sich in dem Konstrukt bewegen. Dann gibt es immer nur einen einzigen Standpunkt.Welche 19 anderen sollten es sonst sein ?!
Habt Ihr Erfahrungen in welcher Reichenfolge und welche Ports wirklich geöffnet werden müssen?
Nein, in einem Administrator Forum haben wir keinerlei Erfahrungen.... 
Die Reihenfolge ist völlig Wumpe und welcher Port hängt doch einzig von deinen Anwendungen ab die nur DU selber kennst. Ansonsten ist tcpdump auf dem RasPi hier immer dein allerbester Freund !
Nextcloud und Letsencrypt arbeiten mit TCP 80/443. Für die Fernwartung des RasPis macht es sicher Sinn noch TCP 22 SSH dazuzunehmen.
Hallo,
Nutzt man die http-01-Challenge, benötigt man auf dem System eine Webserver, der von außen erreichbar sein muss. Nutzt man die DNS-01-Challenge benötigt man einen DNS-Server, den man selbst verwaltet. Mittels http-01-Challange läuft das ganze recht gut automatisch ab. Bei der DNS-01-Challenge muss man die DNS-Records selbst ändern (können & dürfen). Das Erneuern der Zertifikate geht bei der DNS-01 Challange erst mal nur manuell (wenn ich mich nicht irre), wärend man bei http-01 das einfach automatisiert per cronjob machen kann.
Also: Bei einem reinen DNS-Server, der ein LetsEncrypt-zertifikat benötigt, muss man manuell basteln. Hat man aber ohnehin eine http-Weiterleitung eingerichtet (z.b. wegen Nextcloud) funktioniert das Zertifikatausstellen recht gut automatisiert.
Grüße
lcer
Zitat von @aqui:
Dein Heimrouter braucht dann natürlich keinerlei Port Forwarding, das hast du richtig erkannt.
Welche 19 anderen sollten es sonst sein ?!
Na ja, wenn es um LetsEncrypt geht gibt es hier schon einen zu beachtenden Punkt. Es geht dabei um die Art der Challenge: siehe https://letsencrypt.org/de/docs/challenge-types/Dein Heimrouter braucht dann natürlich keinerlei Port Forwarding, das hast du richtig erkannt.
Hierzu gibt es ca. 20 verschiedene Standpunkte,
Sorry, aber das ist Unsinn und eine typische Freitags Argumentation ! Halte dir immer den Paket Flow vor Augen WIE die Pakete sich in dem Konstrukt bewegen. Dann gibt es immer nur einen einzigen Standpunkt.Welche 19 anderen sollten es sonst sein ?!
Nutzt man die http-01-Challenge, benötigt man auf dem System eine Webserver, der von außen erreichbar sein muss. Nutzt man die DNS-01-Challenge benötigt man einen DNS-Server, den man selbst verwaltet. Mittels http-01-Challange läuft das ganze recht gut automatisch ab. Bei der DNS-01-Challenge muss man die DNS-Records selbst ändern (können & dürfen). Das Erneuern der Zertifikate geht bei der DNS-01 Challange erst mal nur manuell (wenn ich mich nicht irre), wärend man bei http-01 das einfach automatisiert per cronjob machen kann.
Also: Bei einem reinen DNS-Server, der ein LetsEncrypt-zertifikat benötigt, muss man manuell basteln. Hat man aber ohnehin eine http-Weiterleitung eingerichtet (z.b. wegen Nextcloud) funktioniert das Zertifikatausstellen recht gut automatisiert.
Grüße
lcer
Moin,
Alternativ könntest du auch einen Reverse Proxy verwenden, damit hättest du auch für die Zukunft eine Lösung.
Die Zertifikate musst du nur auf dem Reverse Proxy einrichten.
Damit kann man Problemlos auch mehrere Dienste über Port 443 auf einer IP erreichbar machen.
Mfg
Yannick
Alternativ könntest du auch einen Reverse Proxy verwenden, damit hättest du auch für die Zukunft eine Lösung.
Die Zertifikate musst du nur auf dem Reverse Proxy einrichten.
Damit kann man Problemlos auch mehrere Dienste über Port 443 auf einer IP erreichbar machen.
Mfg
Yannick
