Jump to content

Viele Docker nur unverschlüsselt im LAN (http). Wunsch nach Verschlüsselung (https / SSL )

Raptor2k

By Raptor2k
in Deutsch

Recommended Posts

Raptor2k Noob

Raptor2k

Posted
Posted

Hallo Unraider !

 

Mein kleiner J4105 Server funktioniert bis auf VM erste Sahne. Jetzt ändern sich aber in 1-2 Jahren unsere Wohnverhältnisse und ich bekomme die Möglichkeit mit meinen Nachbarn einen Internetanschluss zu teilen.

 

Aus diesem Grund beschäftigt mich die Frage wie ich Docker Container wie z.B. Duplicati, Paperless, Thunderbird, Heimdall... dazu zwingend kann nur https / verschlüsselte Verbindungen zuzulassen.

 

Meine Idee war ja bereits swag, dass ich für externe Verbindung zu meinen Mediendateien / Cloud nutze. Aber wie funktioniert das intern ? Ich kann ja für eine interne IP kein Lets Encyrpt Zertifikat anfordern ? Oder ?

 

Bereits für Home Assistant auf einen Raspberry Pi habe ich mit OpenSSH ein internes Zertifikat erstellt. Aber beim Docker Duplicati finde ich z.B. in dem Ordner kein Verzeichnis, der für die Webpase zustäbdig ist.

 

Wie geht ihr vor ?

 

Ich danke im Voraus für Eure Antworten.

Link to comment
ich777 Grand Master

ich777

Posted
Posted
8 hours ago, Raptor2k said:

ich bekomme die Möglichkeit mit meinen Nachbarn einen Internetanschluss zu teilen.

Darf man das? :D

 

8 hours ago, Raptor2k said:

Aus diesem Grund beschäftigt mich die Frage wie ich Docker Container wie z.B. Duplicati, Paperless, Thunderbird, Heimdall... dazu zwingend kann nur https / verschlüsselte Verbindungen zuzulassen.

Du könntest dir eine Firewall installieren, ob jetzt wirklich auf einem physischen Gerät oder in einer VM auf unRAID mit dediziertem Netzwerk port und deinem Mitnutzer ein eigenes Netz zuteilen und die Dinge die du mit ihm teilen willst per NAT zur Verfügung stellen. Sei dir aber bewusst wenn du den VM weg einschlägst und unRAID down ist nichts geht, weder bei dir noch bei ihm.

Damit wäre auch sicher gestellt das dein und sein Netz getrennt sind und er in seinem machen kann was er will und du in deinem was du willst.

 

@Ford Prefect hast du hier evtl eine bessere Idee mit VLANs und einem "günstigen" Router? Bzw. das sollte doch auch möglich sein das man auf einem Router ein eigenes Netz auf einem Port erstellt und dann alles da durch NAT zur verfügung stellt oder bin ich mit der Annahme wieder falsch... :P

Link to comment
Ford Prefect Experienced

Ford Prefect

Posted
Posted (edited)
1 hour ago, ich777 said:

 

@Ford Prefect hast du hier evtl eine bessere Idee mit VLANs und einem "günstigen" Router? Bzw. das sollte doch auch möglich sein das man auf einem Router ein eigenes Netz auf einem Port erstellt und dann alles da durch NAT zur verfügung stellt oder bin ich mit der Annahme wieder falsch... :P

Ja, wobei VLANs ja nur notwendig sind, wenn man sich auch die LAN-Kabel teilen muss (das gilt aber auch dann wenn zwischen Router und zentralem Switch ein Kabel läuft. Dann müssen beide Geräte auch VLAN fähig sein).

 

NAT macht man nur ins I-Net selbst.

Jedes individuelle LAN wird dann vom Router versorgt und in der Firewall getrennt. Geteilte Objekte (zB in der WG, wie Drucker, Küchenradio, TV, Game-Konsole im Spiele-Zimmer, ...) bekommen ein eigenes LAN und entsprechende Filter-Regeln.

APs für WLAN werden dann an Ports des jeweiligen LANs angeschlossen und entweder von jedem Eigner selbst verwaltet oder auch zentral im Router.

 

Router gibt es viele.

Preis/Leistung hängt von den Anforderungen ab.

Zuerst, wichtig: die in DE üblichen Fritzboxen und andere "Provider-Router" können sowas garnicht.

Wenn man um diese aber nicht herumkommt, dann stellt man den Zusatzrouter in die DMZ des Provider-Routers oder schaltet (noch besser) diesen in den Bridge-Modus (bei Kabel-Inet bestellt man nur das Kabel-Modem....bei Glasfaser nur den kostenlosen GPON Übergabepunkt/Medienkonverter).

 

Ich rate von einem Router in der VM ab...das führt nur zu ungeplanten Unverfügbarlkeiten des I-Net, wenn mal Wartung ist oder der betreuende Mitbewohner nicht im Hause.

Das ist aber auch das Stichwort: der "Admin" des Routers kann die Firewall Regeln latürnich auch verändern oder im Router selbst spionieren.

Das ist ein Henne-Ei Problem.

Wenn man sich untereinander vertraut geht das aber und vor Gästen/Besuch/Freunden und Verwandten, sowie dem Postboten ist man dann erstmal sicher.

 

Wenn es um Geräte geht, sind Mikrotik Router (m)eine Wahl.

 

...um das Problem des "Admin in the Middlle" Szenarios zu umgehen, kann man auch einen zertifizierten Mikrotik-Consultant mieten, der die Konfig macht und das Passwort dann nicht rausrückt oder beim Notar hinterlegt ;-)

Edit2: natürlich sind LANs oder VLANs nicht verschlüsselt. hat man also Zugriff auf das Kabel oder den Switch-Port, kann man mithören (oder "mitspielen").

Da hilft einzig ein weiterer Router je Wohneinheit....je nach Verkabelungssituation ... und will man den Traffik zwischen I-Net und Wohnungseinheit voll verschlüsseln, wird es ab mehr als 1Gbps sehr, sehr teuer...wenn auf dieser Strecke aber eh in der Regel https usw ins Inet gesprochen wird, stellt sich die Frage, wie paranoid man da sein will gegenüber den Schmerzen im Geldbeutel.

 

Edit: und für Switches natürlich auch Mikrotik...alles was ein CRS326-xxxx ist (CRS, nicht CSS), ist interessant für den Fall.

Edited by Ford Prefect
thema verschlüsselung im LAN/VLAN
  • Thanks 1
Link to comment
Raptor2k Noob

Raptor2k

Posted
  • Author
Posted

Danke euch allen für die ausführlichen Antworten.

 

Da Ihr direkt auf die Hardware, sprich Router, abzielt (bis auf die Idee mit der Firewall über eine VM) nehme ich an, dass im Bereich Docker keine Lösung gibt ?

Ich habe bei allen Docker die Möglichkeit einer Passwortzugangsbeschränkung, jedoch bringt es das nicht, da über HTTP das Passwort ja offen kommuniziert wird.

 

Link to comment
mgutt Veteran

mgutt

Posted
Posted
12 hours ago, Raptor2k said:

ich bekomme die Möglichkeit mit meinen Nachbarn einen Internetanschluss zu teilen.

In dem Fall gibt es meiner Ansicht nach zwei Optionen:

a) VLANs, also einen Managed Switch und beide Nachbarn agieren in ihrem eigenen VLAN (also eigene IP-Adressbereiche)

b) kaskadierte Router, dh es gibt einen Router, der die Internetverbindung macht und zwei Router danach haben eigene IP-Adressbereiche, einen für jeden Nachbarn.

 

Letzteres ist aber eine Hürde, wenn du Port Forwarding benötigst. Aber das ist ja eh ein Problem, wenn das beide Nachbarn gerne hätten. Außerdem funktioniert es nicht, wenn Nachbar 1 am Router mit der Internetverbindung hängt. Also beide Nachbarn brauchen wirklich eigene Router dann. Siehe auch:

https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

 

 

  • Thanks 1
Link to comment
mgutt Veteran

mgutt

Posted
Posted
44 minutes ago, Raptor2k said:

Also ohne weitere Hardware keine andere Möglichkeit es sicher zu konfigurieren...

So gesehen ist es bereits "sicher", da du nicht mit der LAN-Leitung von Client 1 den Traffic von der LAN-Leitung des Clients 2 sniffen kannst. Das einzige was man sniffen könnte wären die Multicast-Pakete, die an alle Clients gesendet werden, was aber in der Regel nur unwichtige Sachen sind wie "Ich gehöre zur SMB Workgroup", wodurch du dann in der Netzwerk-Übersicht diese Geräte sehen kannst.

 

Problematisch wäre aber, wenn jemand ein Tap-Gerät zwischen deinen Client und dem Router setzt:

http://www.nwlab.net/guide2na/netzwerkanalyse-sniffern.html

splitter-prinzip.jpg.ec93ee8b97c2f64dda1718428a234776.jpg

 

Wobei es zB innerhalb einer Fritz!Box auch so eine Funktion gibt:

 

Also derjenige der den Router kontrolliert, kann auch den Traffic sniffen.

 

Daher muss der kaskadierte Router in deiner Wohnung stehen, wo der Nachbar keinen Zugriff drauf hat, wobei der Traffic, der den Router verlässt, bis hin zum Hauptrouter natürlich wieder sniffbar wäre. Das wäre dann aber "nur" das was du über das Internet abrufst oder hochlädst. Würdest du da konsequent https verwenden (oder TLS bei Mails), könnnte man da natürlich nichts mitsniffen.

 

Ach ja, nur damit das klar ist. Wenn du dir einen kaskadierten Router in deine Wohnung stellst und der Nachbar nicht, dann kann der nicht in dein Netz, aber du in seins, denn dein Router blockt alle eingehenden Verbindungen über die integrierte Firewall. So gesehen ist es also sein Problem, wenn er sich keinen eigenen Router kauft. Aber was kostet schon ein Router. 50 bis 100 €? Daran sollte es also echt nicht scheitern.

 

 

Link to comment
mgutt Veteran

mgutt

Posted
Posted
On 8/4/2021 at 11:28 PM, Raptor2k said:

Meine Idee war ja bereits swag, dass ich für externe Verbindung zu meinen Mediendateien / Cloud nutze. Aber wie funktioniert das intern ? Ich kann ja für eine interne IP kein Lets Encyrpt Zertifikat anfordern ? Oder ?

Auch dazu noch was. Das geht schon. Plex hat zB ein Wildcard-Zertifikat und erstellt für jede lokale IP eine eigene Subdomain:

https://blog.filippo.io/how-plex-is-doing-https-for-all-its-users/

 

Wenn außerdem der Router NAT Loopback beherrscht, kannst du alle deine Dienste über deren öffentliche Domain statt der lokalen IP aufrufen. Allerdings wird die Bandbreite dann von der CPU Leistung des Routers limitiert. Auch deckst du damit nur http(s) ab. SMB und die ganzen anderen Protokolle müssen natürlich auch noch auf ihre Verschlüsselung hin überprüft werden.

 

Also kann man machen, aber ich würde das trotzdem nicht ohne eigenen Router machen.

  • Thanks 1
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...