Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Best Practice Zugriff extern / VPN vs. Mesh - Port Forwarding

Featured Replies

Hallo in die Runde,

 

mich würde mal interessieren, worauf Ihr alle Zugriff von außen gebt bzw. wie Ihr das konfiguriert habt.

Hintergrund: Mein Unraid ist nur lokal erreichbar, wenn ich von außen zugreifen muss, dann via VPN.

 

Jetzt kommen mit Tailscale, Netbird &. Co auch vermehrt die Mesh-Netzwerke dazu, die obendrein sehr sicher und konfigurationsarm sind. Unraid hat ja unlängst mit Tailscale eine Kooperation angeschoben, was den Zugriff ohne viel Administration ermöglicht, vor allem aber ohne Freigabe von Ports. Das wiederum finde ich sehr charmant. Einziger Nachteil: Wenn deren Infrastruktur für den Abgleich der Keys (Handshake) genutzt wird, läuft das natürlich über deren Server. Und ist keine direkte Peer-to-Peer-Verbindung möglich, läuft die Verbindung ebenfalls über deren Relay-Server.

Hier frage ich mich natürlich, ob der Aufwand lohnt, Headscale oder eben Netbird auf einer VM zu installieren, um dem aus dem Weg zu gehen. Nachteil: Ich muss Ports im Router öffnen und weiterleiten lassen. Dann käme ich auch an Reverse Proxy nicht vorbei.

 

Ad hoc bin ich ein bisschen unschlüssig, wie ich es handhaben werde / möchte, bzw. wie hier der Best Pracice Case aussehen würde.

Nextcloud etwa habe ich über mein Webhosting abgedeckt, Immich jedoch läuft lokal auf Unraid und wenn ich doch mal zugreifen muss, dann nutze ich bis dato den VPN. Auch die Musikbibliothek oder Jellyfin nutze ich nur über den VPN, wobei das ganze nicht so performant ist. Hier wäre Mesh uU schneller (oder irre ich mich?). Vorteil mit Mesh obendrein, dass ich einen zusätzlichen Server einbinden kann, der woanders steht und auch Familienmitglieder dann über eine Verbindung generell auf verteilte Shares zugreifen könnten. Ehe ich das aber angehe, würde mich interessieren, wie Ihr das handhabt :)

Solved by Archonw

  • Solution

Gute Frage, da bin ich auch auf den Input der anderen gespannt.

Ich nutze derzeit mehere Möglichkeiten. 

1. Wiregaurd VPN der Fritzbox (so kann ich auch Probleme lösen, wenn der Server mal nicht richtig will.)

2. Wireguard per Docker in Unraid. 

3. Tailscale Plugin in Unraid.

 

Aber ich habe dazu meine Nextcloud auf meinem Unraid "normal" öber Reverse Proxy nach außen hin geöffnet. Teile lieber daröber alles Notwendige als über irgendeinen andern Webdienstleister. Ebenso ist auch mien Bitwarden nach außen hin offen, da ich ihn so auch für die Arbeit nutzen kann, da mir dort kein eigener Passwortmanager bereit gestellt wird. Die Browser eigenen kommen für mich nicht in Frage.

Auch Jellyfin ist bei mir von ausserhalb errichbar. Da bin ich aber noch in der Evaluation, ob das überhaupt noch aktuell außreichend genutzt wird, oder ich es eh nur intern benutzt wird.

 

Ich betreue selbst noch die ein oder andere Nextcloud-Instanz im Familienkreis und noch ein par andere kleine Projekte. Da bin ich auch nochn nicht ganz entschlossen was da für mich die "geeigneteste" Software bzw. Netzwerkstruktur für mich ist.

 

Tailscale nutze ich eben dort, wo ich keine Ports beim Gegenüber öffnen kann oder brauche. Auch die Frage wer soll wen und wie weit das Netz einsehen ist denke ich auch eine mögliche Entscheidung, was man einsetzen will. 

 

  • Community Expert

Eine VPN-Verbindung (WireGuard) besteht zwischen Home und Büro (zwei Standorte). Jeweils die beiden Fritzboxen.

So komme ich jeweils vor Ort in beide Netze.

 

Ansonsten habe ich noch zwei Dienste via Reverse Proxy nach außen freigegeben.

 

Unterwegs (vom Mobilgerät) muss ich nicht auf den Server kommen.

Komplett Reverse Proxy direkt

 

Wireguard als Problemlöser wenn Server down sein sollten, Sonstiges, ...

 

Fallback LTE zu VPS separater Proxy falls Standard Leitung Off sein sollte

  • Author

Interessant. Scheint ja hier gar niemand die Mesh-Nummer á la Tailscale zu bedienen...  

@alturismo: Das heißt, Du machst einige Dienste / Docker / Apps von Unraid über außen zugänglich via Reverse Proxy - und gibst entsprechend die Ports im Router für die Dienste frei. Setzt Du dann auch ein Authentifizierungs-Tool ein oder wird die Übertragung via Zertifkikate und sichere Verbindungen verschlüsselt bzw. kommen die User dann via reguläre Logins an die entsprechenden Daten / Apps? Oder ist da noch ein Sicherheitslayer irgendwo drüber?

So ein bisschen wäre das auch mein Weg, wobei es zunächst eben um die Mesh Verbindung gehen würde und hier die Frage, ob selbstgehosted oder eben doch auf den Dienst in der Cloud vertrauend. Bei den anderen Sachen hab ich mich bis dato nicht so wirklich rangetraut, die auch von außen für alle zugänglich zu machen. Aber das hat natürlich schon auch sehr viel Charme, wenn man es gut absichern kann

28 minutes ago, buscopina said:

@alturismo: Das heißt, Du machst einige Dienste / Docker / Apps von Unraid über außen zugänglich via Reverse Proxy - und gibst entsprechend die Ports im Router für die Dienste frei.

alle Dienste ... und Ports wären ja nur 80 / 443 (HTTP)

 

28 minutes ago, buscopina said:

Setzt Du dann auch ein Authentifizierungs-Tool ein

Nein, nur kritische Dienste wie Unraid selbst (NICHT EMPFOHLEN) setze ich zusätzlich hinter http auth (quasi 2fa passwort, anderer user, anderes Passwort, inkl f2b), zusätzlich hab ich geo blocking und fail2ban aktiv, das reicht mir auch bequem ... der ganze 2fa Kram ist nichts für mich ;) aber sicherer ist das allemal ;)

 

30 minutes ago, buscopina said:

oder wird die Übertragung via Zertifkikate und sichere Verbindungen verschlüsselt bzw. kommen die User dann via reguläre Logins an die entsprechenden Daten / Apps? Oder ist da noch ein Sicherheitslayer irgendwo drüber?

der Reverse Proxy setzt ja ausschließlich auf HTTPS, port 80 (HTTP) ist redirect komplett auf HTTPS und ggf. zur Cert Erneuerung ...

 

31 minutes ago, buscopina said:

So ein bisschen wäre das auch mein Weg, wobei es zunächst eben um die Mesh Verbindung gehen würde und hier die Frage, ob selbstgehosted oder eben doch auf den Dienst in der Cloud vertrauend. Bei den anderen Sachen hab ich mich bis dato nicht so wirklich rangetraut, die auch von außen für alle zugänglich zu machen. Aber das hat natürlich schon auch sehr viel Charme, wenn man es gut absichern kann

Einlesen !!! wenn man sich nicht sicher ist was man macht ... nicht meinen Weg gehen !!! dann lieber VPN, Tailscale, was auch immer ...

 

und gemäß meinen Erfahrungen fahre ich damit auch recht gut, aber nochmals ... einlesen !!!

 

image.png.43fa2f23a03a5bce02689a593f80ee17.png

 

Für mich persönlich ist diese 2fa Geschichte mittlerweile sowas von nervig ... daher nicht meine Welt ;) aber sicherlich keine Sicherheitsempfehlung !!!

  • 2 months later...

Dein Post ist schon ein paar Tage alt, da ich aber gerade eine Optimierung meines setup prüfe teile ich meine Gedanken hierzu vielleicht hilft es jemand mit ner ähnlichen Fragestellung

 

Persönlich:

Kenne mich breit in der IT aus und haben beruflich viel Kontakt mit den Themen, historische Nutzung Cloudflared und M365 in der Hoffnung etwas Zeit zu sparen.

VPS sicher betreiben traue ich mir zu auch wenn ich nicht zu viel Zeit versenken will

 

Internet Voraussetzung:

Inexio mit shared IP4, will heißen absoluter Murks was über Portfreigaben machen zu wollen, ab kommenden Monat Vodafone Glasfaser... wird wohl auch nicht besser in der Hinsicht.

In der Vergangenheit mit diversen DynDNS Geschichten immer wieder viel Änderungsaufwand gehabt.

Aktuelles Setup:

Aktuell nutze ich noch Cloudflared, um interne Dinge aus dem Internet erreichen zu können (z.b. Vaultwarden, Plex).

Für das Management und vollständigen Zugriff aufs Netzwerk von Unterwegs VPN via Tailscale (+ hierüber auch Backup auf externe NAS bei Bekannten)

 

 

Aktuelles Setup und Gedanken Optimierung - weniger Abhängigkeit von Cloud Dienstleistern...

1) Cloudflared ersetzen: Emby/Jellyfin/Plex darf man eigentlich nicht und läuft auch nicht gut bei größeren Sachen (wie zu erwarten)

-> VPS aufsetzen als Reverse Proxy entry und Daten via Tailscale an unraid durchleiten.... hier teste ich gerade noch pangolin das eine integrierten Auth Charme hätte, aber mir alles noch nicht rund genug läuft

 

2) Als Dateiablage + Fotoupload nutzen wir M365 Family, das jetzt mit Lizenzänderung doch so langsam absehbar relativ teuer wird -> wird wohl Nextcloud werden, weiterer VPS da ich das nicht atHome laufen haben möchte (Bandbreite bisher zu lahm, zudem durch räumliche Trennung 3-2-1 besser abgedeckt)

 

3) VPN Beginnen ACL von Tailscale zu nutzen um z.B. den Backup Server von den anderen Geräten abzuschotten (unraid Datentransfer, mein Laptop WebUI) 

 

---

4) Netbird testen (grad ACL Thema sieht da viel runder aus), Headscale ebenfalls -> beide als self hosted (VPS), dann hätte ich auch den Anbieter Tailscale und genutztes SSO Google aus der Gleichung

 

In Summe potentiell zukünftig wieder 3 VPS an der Backe (+ Nextcloud overhead), dafür hätte ich dann alles in einer Hand....

 

@butchooka das klingt gar nicht schlecht wie du das planst. Da hätte ich nichts gegen gelegentlich Updates einzuwenden ;-)

  • 5 months later...
On 1/24/2025 at 1:11 PM, butchooka said:

-hier teste ich gerade noch pangolin das eine integrierten Auth Charme hätte, aber mir alles noch nicht rund genug läuft

 

Welche Erfahrung hast du mit pangolin gemacht? Kannst du das was schildern?

  • 1 month later...

Sorry, die Antwort habe ich leider erst jetzt gesehen.

Habe kurz nach meinem Ursprungspost komplett auf Pangolin umgestellt und bin jetzt komplett cloudflare frei.

soweit läuft das System super stabil, die plugins sind einmal einrichten und dann vergessen.

einziges dooing regelmäßig den Server updaten, da sich hier doch viele Änderungen bei jedem Release auftun mach ich das noch von Hand obwohl ich nie Probleme hatte bisher

  • Community Expert
5 hours ago, butchooka said:

jetzt komplett cloudflare frei

Aus welchem Grund ohne Cloudflare? Wie machst du es nun?

Überlege von NPMplus (inkl. Wildcard Certificate für privates LAN) auf Pangolin umzusteigen, aber da geht das mit Wildcard Certificate für privates LAN nicht so easy.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.