VPN vs. Reverse Proxy (Zugriff über mobile Geräte)

  • Moin,

    grundsätzlich kann ich mir nicht erklären, warum ein Reverse Proxy sicher sein soll und möchte nach Erfahrungen fragen. Vermutlich ist VPN für mich jedoch die bessere Wahl und ich bleibe bei WireGuard.

    Für einen Reverse Proxy richte ich Sub-Domains ein, um meine Geräte von außen erreichen zu können und genau dort fangen meine Bedenken an:

    - ich benötige für jedes Gerät eine Sub-Domain oder zumindest einen eigenen Port?

    - warum soll der Reverse Proxy sicher sein? Gegenüber der Portfreigaben auf dem Router sehe ich nur den Vorteil, dass der Reverse Proxy per HTTPs läuft (das macht meine Synology Filestation aber generell, diese steht zeitweise passwortgeschützt im Internet) und dass man zulässige IP-Bereiche angeben kann. Ich kann damit nicht verhindern, dass jedermann (IP-Begrenzung ausgenommen - wer hat auf dem Smartphone schon eine feste IP...) von außen Login-Versuche starten kann, die dann per HTTPs verschlüsselt sind.

    Vorteile VPN:

    - Zugriff auf das gesamte (freigegebene) Netzwerk, wie zu hause

    - VPN müsste gehackt werden, bevor man sich von außen an den Zugriff der Clients machen könnte

    - gesamter Datenverkehr ist immer verschlüsselt

    Nachteil VPN:

    - der Client muss mit dem VPN-Server verbunden sein


    Vorteil Reverse Proxy:

    - kein VPN-Client nötig, damit immer sofort erreichbar, ohne einen VPN aufbauen zu müssen (bei bestehender Internetverbindung sofort verfügbar)

    Nachteil Reverse Proxy:

    - Portfreigaben in das Netzwerk notig (für VPN nur eine, bzw. läuft der VPN-Server direkt auf dem Router, bzw. der Firewall)

    - jeder, der über die Domain geht, kann Login-Versuche an den verlinkten Servern im Heimnetz starten ohne zusätzlicher Sicherheitsabfrage

    - idealerweise für jeden Server (jeden Shelly) eine eigene Sub-Domain oder eigenen Port erforderlich

    - höherer Wartungsaufwand durch Punkt zuvor

    Dieses sind keine Fakten, sondern Annahmen, bzw. Fragen aufgrund kurzer Google-Recherche. Ich bitte darum, dass diese wiederlegt oder bestätigt werden.

    Grundsätzlich sind aufgrund der obigen Punkte VPN und Reverse Proxy nicht wirklich gut vergleichbar, da der VPN darauf abzielt unterwegs wie zu Hause arbeiten zu können und der Reverse Proxy anscheinend nur für einzelne oder weniger Server im Heimnetz zu empfehlen ist, auf die per sicherer Verbindung über eine Homepage (FQDN) zugegriffen werden soll.

    Ich freue mich über einen regen Austausch.

  • Also VPN hab ich bisher nur gelesen und noch nicht eingerichtet.

    Hab auch eine synology und da die Interne reverse proxy genutzt.

    Was ich dir sagen kann, du musst nicht mehrere ports freigeben. Es reicht einer.

    Du kannst da dann alles über einen beliebigen jagen und die synology verteilt es dann.

    Beispiel du gibst in deinem Router die 441 frei und dies geht intern auf 442

    Die 442 ist dann in der synology der Empfänger und teilt entsprechend auf

    Ein Beispiel:

    https://xx.name.synology.me:442

    xx steht hier für die Anwendung oder Docker.

    Und das wird dann an die jeweilige Adresse geleitet.

    Quelle

    Externer Inhalt gander.in
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Zitat

    In meinem Falle werden also Anfragen an die Subdomain “dav.domain.de auf Port 443 nach “localhost” an Port 2030 weitergeleitet

    Einmal editiert, zuletzt von SebMai (29. Oktober 2023 um 11:11)

  • Also ich habe natürlich noch einen VPN über Wireguard um jederzeit auch mal an ein einzelnes Gerät zu kommen. Ansonsten habe ich zwei Portfreigaben (80, 443). 80 ist lediglich für die Erstellung der Let‘s Encrypt Zertifikate. Ansonsten auf dem 443 hört der Reverse Proxy.

    Hier gibt es aktuell nur subdomains für Homeassistant und Adguard.

    Adguard ist geschützt über die durch Adguard generierten Client Zertifikate. Das müsste einer haben und dann könnte er halt DNS Anfragen versenden. Nicht wirklich sehr viel schaden der hier angerichtet wird. Und so ein Client ist entsprechend schnell gesperrt.

    Und dann natürlich mein Homeassistant hier wird dann einfach nur auf die 8123. Die Sicherheit geht hier dann natürlich von HA selbst und dem gewählten Kennwort aus. Gibt natürlich auch hier noch entsprechende Stellschrauben wie IP-BAN usw.

  • Danke, das zeigt mir, dass ich nicht so falsch gegoogelt habe.

    Wer keine Subdomains anlegen kann, der braucht dann Ports, ansonsten kann man mit Subdomains arbeiten, muss sich jedoch um dessen Zertifikate kümmern, um den Vorteil der Verschlüsselung nutzen zu können.

    Das mit Homeassistant ist ein Punkt. Wird der VPN nicht aufgebaut, werden auch die Sensoren nicht aktualisiert. Dieses ist per Portfreigabe vermutlich reibungsloser als per VPN, allerdings ist der VPN aktiv, hat jedoch keine Verbindung (was bei WireGuard leider ab und an passiert, besonders bei Netzwechseln), dann kommt auch die Anfrage zur Subdomain nicht durch, da das Internet des Smartphones dann quasi lahmgelegt ist.

    Für mich würde das bedeuten, dass ich folgende Sub-Domains anlegen muss und auf permanentes VPN verzichte und dieses nur bei Bedarf aufbaue:

    - Dateifreigabe

    - Telefonie (FritzFon App)

    - Home Assistant

    - NodeRed

    - (ggf. Wärmepumpe & SolarLog)

    - Synology Chat

    Grundsätzlich scheinen mir da die Möglichkeiten per VPN wesentlich umfangreicher, sicherer und einfacher zu konfigurieren, zumindest bei meinen Anforderungen.

    Wer nur auf Home Assistant zugreifen möchte, der ist damit vermutlich besser bedient.

    66er vielleicht ist es eine Anregung um deinen Blogartikel um "Reverse Proxy über Synology" zu erweitern?

    Herausforderungen wären die Subdomains (alternativ mehrere Portfreigaben) und die SSL-Zertifikate für die Subdomains (Let's encrypt auf Synology). Ansonsten sieht das alles recht easy aus.

  • Ja leider ist der Synology reverse proxy stark eingeschränkt. Du könntest Theoretisch auch Pfade anlegen. Also z.b. zuhause.example.com/homeassistant

    Ob das natürlich jede Anwendung macht müsste Individuell geprüft werden.

    Ansonsten musst du von unterwegs jederzeit auf Solarlog zugreifen oder geht das auch per HA?

  • Dieses Thema enthält 16 weitere Beiträge, die nur für registrierte Benutzer sichtbar sind.