Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Nextcloud per VPN erreichen

Featured Replies

Hallo,

auf meinem Unraid habe ich meine Nextcloud in einem Docker Container laufen. Diese möchte ich gerne von meinem Smartphone von außerhalb des Netzwerkes erreichen, so dass ich hier meine Kontakte und Kalendereinträge mit meinem Smartphone (/e/os) synchronisieren kann.

 

Aus Sicherheitsgründen möchte ich dies nicht mittels Portfreigabe, sondern mittels WireGuard VPN umsetzen. Hierfür habe ich bereits DAVx5 und die WireGuard App auf meinem Smartphone installiert.

 

Leider funktioniert meine Umsetzung nicht. Vermutlich einfach, weil ich als Anfänger irgendetwas nicht richtig beachtet habe. Daher würde ich mich über Unterstützung sehr freuen.

 

Was habe ich bisher getan:

 

1. Den VPN Manager in Unraid habe ich mit einer DuckDNS und port 51820 konfiguriert. Habe einen User für mein Smartphone erstellt und den QR Code mit der WireGuard App auf meinem Smartphone gescannt.

2. In meiner Fritzbox 7490 werden mir 2 Unraid Einträge angezeigt (identische IPv4 Adresse, aber unterschiedliche IPv6 Adresse). Welchen Eintrag soll ich hier nutzen oder ist dies egal? Kann das daher kommen, dass ich ursprünglich Unraid auf 2 verschiedenen USB Sticks als Testversion erstellt habe?

 

Folgende Portfreigaben habe ich eingetragen:

Port to device: 51820 through... 51820

Port requested externaly (IPv4 only) 51820

 

Muss ich hinsichtlich https noch etwas beachten oder ist dies bei einem VPN nicht wichtig? Wo kann ich ggf. die Einstellungen prüfen oder eingeben?

 

In der WireGuard App habe ich gesehen, dass Daten empfangen und gesendet wurden. Eigentlich sollte das ja dann funktionieren oder?

 

Vermutlich müsste dann aber die Unraid Login Seite erscheinen, da ich noch keine Weiterleitung an die Nextcloud konfiguriert habe oder? Wo müsste ich das einstellen? Allerdings erscheint nicht mal die Unraid Login Seite.

 

Kann mir hier jemand bitte weiterhelfen? Leider habe ich auch kein funktionierendes Tutorial in Kombination mit einer Fritzbox 7490 gefunden.

Wäre echt cool, wenn ich das zum Laufen bekommen würde.

 

 

Warum willst du es so kompliziert machen?

Wenn du unbedingt WireGuard nutzen willst ... hau dir die aktuelle Labor FW der Fritz!Box drauf. 

Danach richtest dir einfach die WireGuard Verbindung ein.

 

Kannst dazu auch alternativ die AVM App nutzen.

 

Lass die Fritz!Box den VPN machen und verbinde dich mit deinem Gerät einfach von extern mit dem Heimnetz. 

Kannst dann alles einfach so verwenden, als wärst du daheim. 

Edited by Sacred

10 hours ago, Island_Keeper said:

2. In meiner Fritzbox 7490 werden mir 2 Unraid Einträge angezeigt (identische IPv4 Adresse, aber unterschiedliche IPv6 Adresse). Welchen Eintrag soll ich hier nutzen oder ist dies egal? Kann das daher kommen, dass ich ursprünglich Unraid auf 2 verschiedenen USB Sticks als Testversion erstellt habe?

 

die kommen vom aktivierten host access in den docker Einstellungen, ist normal ... hat nichts mit den USB Sticks am Hut ;)

 

ansonsten ist es immer besser einen Router das VPN übernehmen zu lassen sofern dies unterstützt wird, also wie @Sacred sagte, richte das per Fritz ein da hier ja WG unterstützt wird mit der 7.5 er Firmware.

  • Community Expert
On 2/24/2023 at 6:53 PM, Island_Keeper said:

Aus Sicherheitsgründen

...

Den VPN Manager in Unraid

Ob du nun Port 443 zu einem abgekapselten Container oder Port 51820 direkt auf den Server freigibst, macht von der Sicherheit keinen großen Unterschied. Wenn Wireshark eine Sicherheitslücke hat, ist der ganze Server platt. Wenn Nextcloud eine Sicherheitslücke hat, dann der Container. In beiden Fällen sind deine Daten gefährdet. Beim Container allerdings "nur" die, wo Nextcloud Schreibzugriff besitzt.

 

Natürlich besitzt Nextcloud das größere Angriffspotenzial, weil es mehrere Applikationen dahinter gibt (OpenSSL, Webserver, PHP, MySQL, Plugins, usw). Aber auf das "Zauberwort" VPN sollte man sich alleine nicht verlassen.

 

Nutzt man Wireshark im Router und hätte Wireshark da die Sicherheitslücke, könnte man evtl auf den Router, aber Router sind extrem gehärtet. Sie erlauben keine Nachinstallation von Applikationen und haben einen besonderen Vorteil: Auf dem Router liegen keine persönlichen Daten (außer vielleicht das WLAN Passwort, wenn man das dazu zählen will). Der Angreifer müsste dann eher versuchen vom Router aus weitere Angriffe zu starten.

  • Author

Super, vielen, vielen Dank für eure Antworten: @Sacred@alturismo@mgutt

 

Ich möchte das wie von euch vorgeschlagen, das hört sich für mich nach einem Plan an. 👍

 

Ich habe jetzt mal versucht das mit der MyFritz App zum Laufen zu bringen.

 

Auf der Fritzbox habe ich mich für MyFritz registriert, so dass ich einen Link bekomme ähnlich DuckDNS. Ebenso habe ich das letsencrypt SSL Zertifikat installiert.

 

Die AVM App habe ich heruntergeladen und mit dem Netzwerk verbunden und das sieht auch soweit gut aus, solange ich mit dem Smartphone im Netzwerk bin. Jedenfalls kann ich in diesem Fall auf Unraid abspringen. Es kommt allerdings die Meldung, dass die Übertragung unsicher ist. Muss ich hier noch was in Unraid einstellen?

 

Allerdings funktioniert der Absprung außerhalb des Netzwerks auf Unraid nicht. Hier wird mir das Icon in der App nicht angezeigt. In einem Youtube Tutorial von AVM war die Rede, dass ich in der Fritzbox noch etwas bestätigen soll, wobei ich da nichts zu gefunden habe und dies im Tutorial auch nicht näher erwähnt wurde.

 

Mein Fritzbox läuft auf 7.29 und das scheint auch die aktuelle Version zu sein. Weiter oben wird jedoch von 7.5 gesprochen oder habe ich hier etwas falsch verstanden?

 

 

  • Community Expert
4 hours ago, Island_Keeper said:

Ich habe jetzt mal versucht das mit der MyFritz App zum Laufen zu bringen.

Brauchst du nicht. Nur die Wireguard App und da dann eben die DDNS von myfritz eintragen. Aber brauchst dafür die aktuelle Fritz Version. Auf der 7590 ist die schon offiziell verfügbar.

 

Das früher mit der Fritz App hat nie richtig stabil funktioniert.

  • Author

Leider habe ich nur die 7490 und nicht die 7590. Dann muss ich wohl noch etwas warten bis das Update zur Verfügung steht.

  • Author

Vielen Dank @cz13

Ich habe das Update jetzt durchgeführt und WireGuard eingerichtet oder meintest du explizit Wireshark @mgutt

Den QR Code habe ich in der App gescannt sowie die Verbindung aktiviert.

Wenn ich jetzt auf https://xyz.myfritz.net klicke heißt es, dass die Website nicht erreichbar ist.

https:://xyz.myfritz.net:12345 funktioniert, aber das tut es auch ohne VPN. Der Port dürfte aber ein externer Login bei AVM sein oder?

Muss ich hier noch etwas weiteres einstellen?

 

Welche URL muss ich dann eigentlich in DAVx5 eingeben, damit ich auf meinen Nextcloud Dockercontainer zugreifen kann, so dass ich hier die Adressdaten synchronisieren kann? Mit der https://xyz.myfritz.net Adresse komme ich ja lediglich auf die Fritzbox und nicht auf Unraid bzw den entsprechenden Unraid Port.

 

Vielen Dank für eure Unterstützung und eure Geduld.

 

 

Edited by Island_Keeper

  • Community Expert
6 minutes ago, Island_Keeper said:

oder meintest du explizit Wireshark @mgutt

Ne, war ein Schreibfehler.

 

7 minutes ago, Island_Keeper said:

Wenn ich jetzt auf https://xyz.myfritz.net klicke heißt es, dass die Website nicht erreichbar ist.

Korrekt, weil das wenn nur über einen zufälligen Port erreichbar ist.

 

7 minutes ago, Island_Keeper said:

https:://xyz.myfritz.net:12345 funktioniert, aber das tut es auch ohne VPN

Dann hast du in der Fritz!Box bei Internet > MyFritz Konto > Internetzugriff auf die FRITZ!Box über HTTPS aktiviert. Das hat mit dem VPN-Tunnel nichts zu tun und sollte deaktiviert bleiben. Du willst ja schließlich nicht, dass jemand von unterwegs auf deinen Router kann.

 

10 minutes ago, Island_Keeper said:

Den QR Code habe ich in der App gescannt sowie die Verbindung aktiviert.

Wenn der Tunnel steht, solltest du mit fritz.box oder ip.deines.rou.ters oder name.deines.servers auf lokale Ziele zugreifen können, so als wärst du zu Hause.

 

  • Community Expert
1 hour ago, Island_Keeper said:

Den QR Code habe ich in der App gescannt sowie die Verbindung aktiviert.

Wenn ich jetzt auf https://xyz.myfritz.net klicke heißt es, dass die Website nicht erreichbar ist.

https:://xyz.myfritz.net:12345 funktioniert, aber das tut es auch ohne VPN. Der Port dürfte aber ein externer Login bei AVM sein oder?

Muss ich hier noch etwas weiteres einstellen?

 

https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-computer-einrichten/

Ich weiß zwar nicht welche App Du meinst, aber die EInrichtung von WG auf Fritzbox hat mit deren offizieller Anleitung bei mri super funktioniert und ich kann per Notebook und Android Geräten von außerhalb mich in meinem lokalen netzwerk bewegen.

(Zu Nextcloud kann ich nichts sagen, weil ich das nicht nutze. Wenn ich sowieso auf dem Weg im lokalen Netz bin, reicht mir SMB oder so)

Edited by DataCollector

  • Author

Super, vielen lieben Dank. Jetzt funktioniert es.

 

Auf die Nextcloud komme ich jetzt in dem ich einfach die Netzwerk IP Adresse + Port eingebe, VPN aktiviert und WLAN deaktiviert ist. Ohne aktives VPN ist die URL nicht erreichbar. Allerdings zeigt mir der Browser an, dass die Netzwerkverbindung unsicher ist. Hierfür müsste ich vermutlich in der Nextcloud (also in dem Docker) ein Letsencrypt Zertifikat aktivieren um das zu beheben?

Edited by Island_Keeper

  • Community Expert
3 minutes ago, Island_Keeper said:

Hierfür müsste ich vermutlich in der Nextcloud (also in dem Docker) ein Letsencrypt Zertifikat aktivieren um das zu beheben?

Im ersten Schritt benötigst du eine Domain. Ohne Domain kein Zertifikat. Und im zweiten Schritt müsste man eine DNS-basierte Validierung des Zertifikats hinbekommen, da Lets Encrypt deinen Server nicht erreichen kann. Bei NPM geht das zB nur mit wenigen Providern. Ich habe das über DNS bei NPM ehrlich gesagt noch nie gemacht.

 

Denkbar wäre auch den Container zu nutzen:

https://github.com/acmesh-official/acme.sh/wiki/Run-acme.sh-in-docker

 

Die acme.sh unterstützt sehr viele Hoster wie zB auch Hetzner, All-Inkl (dns_kas), ionos, usw:

https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

 

Nach der Validierung schreibt der Container dann in den Pfad X die validierten Zertifikate. Das könnte dann direkt der Pfad von dem Nextcloud-Container sein oder besser der Pfad von dem genutzten Proxy wie SWAG oder NPM.

 

 

  • Author

Vielen Dank für deine Antwort.

 

Grundsätzlich hätte ich bei all-inkl eine momentan unbenutzte Domain. Allerdings ist mir hier unklar, wie das im Endeffekt funktionieren soll, da die Nextcloud ja nur per VPN erreichbar ist. Diese Domain würde ja im Endeffekt auf meine externe IP Adresse zeigen (also meinen Router vermutlich), Wie ich von dort aber auf Unraid für den ACME Container komme (um von dort auf Nextcloud weitergeleitet zu werden) ist mir unklar. Das sollte ja im Endeffekt auch nur per VPN möglich sein.

 

Vielleicht nochmal einen Schritt zurück:

Die Nextcloud erreiche ich momentan im Browser, sofern VPN aktiviert ist, mit meiner internen IP Adresse: http:192.XXX.XXX.XXX:1234

Wenn ich diese URL, sowie Benutzername und Passwort jetzt in DAVx5 eingebe, sollte die Synchronisation von Kalender- und Kontaktdaten funktionieren. Das Risiko wäre hier aber womöglich, dass innerhalb des Netzwerks oder bei WireGuard die Daten unverschlüsselt wären und mitgelesen werden könnten. Sehe ich das richtig? Ist das Risiko relevant bzw. was und wie könnte ich das absichern (daher stammt auch die Überlegung mit Lets Encrypt)?

4 minutes ago, Island_Keeper said:

dass innerhalb des Netzwerks oder bei WireGuard die Daten unverschlüsselt wären und mitgelesen werden könnten. Sehe ich das richtig? Ist das Risiko relevant bzw. was und wie könnte ich das absichern (daher stammt auch die Überlegung mit Lets Encrypt)?

ja, die Daten sind dann innerhalb deines bereits verschlüsselten WG Tunnels unverschlüsselt ... ich glaube mehr muss man nicht dazu sagen ;)

sorry, musste aber sein ...

 

Wenn du ganz sicher sein willst, am Besten nichts in der Richtung machen ;) Letsencrypt wird ja in deiner Situation auch ein Krampf mit all dem was dazu gehört ... überleg Dir ob es Dir das wert ist (ich weiß jetzt nicht wie sensibel diese Daten sind deiner DAV Nextcloud Kontakte, Termine, ...) und entscheide dann, dazu gibt es eine Anleitung, Infos, ...

 

Ich bin mir sicher dass da auch das Thema Zertifikat Erneuerung und wie ... abgehandelt ist.

 

 

  • Community Expert
4 hours ago, Island_Keeper said:

Diese Domain würde ja im Endeffekt auf meine externe IP Adresse zeigen

Nein. Man gibt der Domain dann die lokale IP vom Proxy. Das geht, aber wie gesagt nur wenn man die DNS basierte Authentifizierung zum Laufen bringt.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.