ich bin gerade dabei Nextcloud in meinen localem Netzwerk zu installieren. Ich verwende für die Testinstallation erstmal VBox um dieses zu testen. Ich kann mich darauf einloggen als Admin, leider kann ich keinen zweiten User anlegen. Das ist schlecht.
Bei der Überprüfung der Logs im Web Interface stehen sehr viele Fehlermeldungen. Soweit ich das verstanden habe braucht NextCLoud eine HTTPS konfiguration.
Leider habe ich bis jetzt im WWW keine praktikable Lösung gefunden.
Mein System:
alle Serverdienste und Rechner sind in einem eigenen Netzwerk
der Zugriff ins WWW erfolgt über Fritz!Box und es sind keine Ports von außen offen
ich habe Lokal einen dynDNS Server mit der Domain my.local konfiguriert, ja ich habe auch eine WWW Server im Netz mit offizieller .de Domain
wenn jemand von außen Zugreifen will, erfolgt es über VPN (WireGuard)
Bis auf NextCloud funktioniert das auch ohne Probleme. Wenn ich mit letzencrypt mir den SSL Key dafür generieren lassen will um von HTTP auf HTTPS umsteigen zu können, muss der Server von außen erreichbar sein.
Wie kann ich das umgehen? Kennt jemand eine Lösund dafür? Ich werde NextCloud Server nicht offen ins Netz stellen, auf keinen Fall
Hi Bernd, es tut mir leid, dass ich dir nicht helfen kann, ich empfinde es aber als wirklich angenehm, dass ich nicht der einzige bin. Evtl. wird dir geholfen. Mein Mitgefühl hast du.
Zum Erstellen von Zertifikaten mt Let’s Encrypt muss TCP-Port 80 geöffnet werden. Anders geht es nicht. Aber:
Man kann doch in der Fritte diesen Port jederzeit aktivieren und deaktivieren. Will sagen du legst die Freigabe an, aber ohne diese zu aktivieren. Dann bereitest du alles soweit vor, dass die Zertifikaten mt Let’s Encrypt erzeugt werden können. Sobald du starklar bist wechselst du in die Fritte, setzt das Häkchen um die Freigabe zu aktivieren, erzeugst die Zertifikate und sodann entfernst du das Häkchen wieder. Das dauert alles in allem keine Minute.
In dieser einen Minute wird schon keiner erfolgreich einen Portscan abschließen und deine Nextcloud infiltrieren.
Alle 90 Tage muss das dann wiederholt werden um die Zertifikate zu erneuern. Sehe da keinerlei Risiko drin, zumal du die Nextcloud selbst dann in der Zwischenzeit so konfigurieren kannst, dass die Port 80 ignoriert und selbst nur auf 443 hört. Port 443 ist aber nicht freigeschaltet. Damit ist die Nextcloud selbst dann nur über den nicht geöffneten Port 443 zu erreichen und über 80 können nur Zertifikate erneuert werden.
Jo, das kann man machen. Nur die Fritz!Box hat einen eigenen DNS Eintrag. Mein NextCloud Server hat nextcloud.my.local DNS Namen. Beisst sich das nicht? Und muss dann die Portfreiabe auf den NextCloud Server sein oder da wo letsencrypt läuft? Ich würde ein Pi für letsencrypt und somit den Server von offenen Ports von außen frei halten.
Eine zweite Möglichkeit gäbe es noch, leider bin ich da noch unwissender. Man kann jetzt Top Level Domain einen Schlüssel generieren, was dann für alle Subdomains gilt. Ich habe my.de (my ist Beispiel) und da läuft auch ein Webserver unter www.my.de mit HTTPS. Mein Provider würde dieses aber nicht machen, zumindest im Moment. Kann ich dann das beim Provider belassen wie es ist und meinen privaten auf my.de umkonfigurieren und mir dazu solch einen Schlüssel generieren? Dann bräuchte ich nur einmal das Spiel zu machen.
Ich weiß gar nicht, warum alle immer den Zugriff auf das Heimnetzwerk über Nextcloud verhindern wollen. Wenn man das Linux, den Webserver, die Datenbank und Nextcloud korrekt mit Updates versorgt, dann sollte das Risiko nicht zu hoch sein. Zudem hat man ein paar Vorteile und vor allen korrekte TLS/SSL-Zertifikate. Vielleicht mal das Risiko gegenüberstellen mit etwas zu schnell Auto fahren, Alkohol trinken oder rauchen. Höchst kritische Daten sollte man vielleicht auch nicht lokal in seiner Nextcloud bereitstellen. Stichwort WLAN usw.
Man kann aber wohl auch Nextcloud ohne HTTPS verwenden. Habe ich zwar nicht probiert, aber die Konfigurationen könnten etwa in config.php so aussehen.
Natürlich kann man auch selbstsignierte TLS/SSL-Zertifikate verwenden. Ich könnte mir aber vorstellen, dass dann die Nextcloud-Apps für Android und iOS Probleme machen.
Naja, so leicht würde ich es mir nie machen. Nextcloud hat vertrauenswürdige Informationen und wenn Nextcloud darauf zugriff hat, dann hat auch ein Angreifer darauf.
Die HTTPS ist zwar verschlüsselt, aber es ist nicht 100%tig sicher. Rechenleistung und Wissen her und man kann die Komminukation mitlesen.
Das nächste ist, man muss sich um mehr Punkte in Bezug auf Sicherheit kümmern und diese aktuell halten. Wenn man das alleine und evtl. privat macht ist es einfach oversize dieses zu realisieren. Ich habe alle meine Server und Dienste nur Lokal und durch eine Firewall vom Web getrennt. Das erspart echt viele Probleme.
Auch Smarthome Geräte sind dadurch geschützt. Ich hatte halt schon mal den Fall, das meine Dolby Sourround Anlage anging, ohne das ich zu Hause war. Und das wird mehr und gefährlicher, zumal vieles nur noch mit Cloud gibt. Auch wenn der Datenverkehr mit AES usw. verschlüsselt wird, der Cloud Server ist die Schwachstelle und da wird geschlammpt. Ich weiss es aus meiner Tätigkeit heraus.
Ich habe die Konfiguration nochmal angeschaut und einen kleinen Unterschied gesehen. Ich teste ihn heute ab, bin aber erstmal den Tag über unterwegs. Also bis später.
Du bezeichnest jetzt aber nicht ernsthaft eine Fritzbox als Firewall, denn ganz oben schreibst du ja “der Zugriff ins WWW erfolgt über Fritz!Box” !?
Eine Firewall ist etwas anderes als so eine Fritte. Eine Firewall erlaubt nämlich auch detaillierte ausgehende Regeln, nicht nur eingehende und ermöglicht getrennte Netzwerksegmente für LAN, WIFI, DMZ, IoT, etc. Da stellt man dann die Dolby Sourround Anlage ins IoT-Segment, die Nextcloud in die DMZ und hat die von WiFi und dem LAN getrennt und kann detailliert regeln welche Devices was dürfen. Auch ausgehend, so dass z.B. ein Smartes TV-Gerät verortet im IoT nicht fleißig an den Hersteller senden kann was du gestern Abend so alles gesehen hast.
Eine echte Firewall ist die FRITZ!Box nicht. Nur dass mit NAT es aber so, dass im Normalfall keine eingehenden Kommunikationen erlaubt werden. Das hilft schon sehr viel. Wenn man dann noch auf Windows genauer clientseitigen Windows-Schadcode verzichtet, ist das Heimnetz schon recht sicher. Niemand greift von außen direkt Heimnetze an. Und ja im Verhältnis dazu ist das Port-Forwarding von außen über die FRITZ!Box zur Nextcloud schon ein gewisses Risiko auch wenn es nur die Ports 80/443 sind, die somit überhaupt als Angriffsvektoren zur Verfügung stehen.
Braucht es nicht. Aber wäre halt doof es ohne zu verwenden.
Dann ist es jetzt deine Aufgabe diese Fehlermeldungen abzuarbeiten
Werde ich nie verstehen, warum Leute das so machen. Wenn ich einen VPN brauche um auf meine Dateien zuzugreifen, warum mich dann überhaupt mit dem ganzen Nextcloud Balast abgeben? Dann kann ich ja einfach ein NFS oder SMB share verwenden.
Certbot macht eine http challenge über port 80. Port 80 muss also offen sein.
Oder du machst es per DNS.
Warum nicht?
Was für ein Quatsch. Wenn dem so wäre, ware e-banking morgen bereits tot.
Naja, Ubuntu kann automatische updates und Nextcloud möchte vielleicht einmal im Monat ein update. Aber ja, wenn das zu viel ist, ist SMB die bessere Wahl.
Viel Halbwahrheiten und Schwachsinn. Aber ja, wenn es wirklich sicher sein soll hilft nur Air Gap.
Naja doch. Sie blockt by default all incoming. Das ist eine Firewall Was sie halt nicht ist, ist eine next generation Firewall (NGFW) mit IPS und so. Wobei der Nutzen sich auch dort in Grenzen hält.
Sorry, Windows selber ist Schadsoftware. Da sind bewusst von MS Backdors drin und je nach Land und Wunsch der Landesregierung noch mehr oder weniger. Über sowas denke ich erst gar nicht mehr nach.
Bei der Abarbeitung der Fehler sind jetzt 3 rote durch den HTTPS Zugang zu lösen. Deswegen will ich erstmal das lösen und dann den Rest.
Beispiel:
Unsicherer Zugriff auf die Website über HTTP. Es wird dringend empfohlen, deinen Server so einzurichten, dass HTTPS erforderlich ist. Ohne HTTPS funktionieren einige wichtige Webfunktionen wie “Kopieren in die Zwischenablage” oder “Service Worker” nicht!
Erstens, ich will mir die NextCloud Lösung anschauen und testen.
Zweitens, ich will irgendwann Outlook killen und nicht auf ein gleichartiges Programm mich stürzen, da ich von verschiedenen Rechnern aus auf meine Mails und Termine zugreifen will, also über Firefox. Ich will auch die Mails nicht auf einen Mailserver im Web lassen. Ich muss halt, Gesetzgeber, 10 Jahre lang die Berufliche Kommunikation aufheben. Ja das ist lang und das sind einige GB. Aber dieses Synchron zwischen verschiedenen Rechnern halten geht leider nicht mehr und einen SMPT Server zu nutzen dauert mir zulange bis alle Daten synchronisiert sind. Und gmail für einen eigenen Server habe ich noch nicht gefunden.
Klar, aber wenn der IMAP auf der gleichen Maschine läuft wie NextCloud, dann sollte die Synchronisation sehr schnell sein. Und beim Wechsel zwischen verschiedenen PCs sollte da keine mehr stattfinden.
Du könntest deine eigene Certificate Authority betreiben und dir deine eigenen Webserver-Zertifikate erstellen, denen deine Clients vertrauen - das geht lokal und ist kein Hexenwerk. Entweder mit dem oben genannten tool mkcert - oder du erstellst die CA selbst (ich würde das Webserverzertifikat dann spätestens alle 90 Tage erneuern lassen).
Falls du dir deine eigene CA erstellst, würde ich die lokale Domain nicht mit ‘.local’ enden lassen. Wenn dein lokaler DNS-Server nur dafür da ist ‘my.local’ aufzulösen: warum nimmst du nicht einfach ‘xxx.fritz.box’? Dann könntest du dir den lokalen DNS-Server sparen - den betreibt die Fritzbox sowieso.
Dann tu das doch. Gleich richtig mit certs usw.
Ist ja nix drauf und wie du sagst nur testing. Dann kannst du auch admin und als password1234 verwenden und es ist egal.
Dafür ist IMHO Roundcube gut geeignet. Oder halt der Webclient deines neuen Mail Providers.
Wie willst du die Mails nicht im Web lassen aber gleichzeitig von mehreren PCs darauf zugreifen?
Das ist nicht lange. Eine GB sind auch kein Problem mehr heutzutage.
Warum sollte das nicht gehen?
SMTP ist Postausgangserver. Keine Ahnung was dir daran “zu lange” dauert oder wohin du diesen synchronisieren möchtest.
Was bedeutet gmail für einen eigenen Server? Mails Server hosten? Mit webGUI? Und eigenem SMTP? Ohne VPS? Auf deinem eigenen Server? Ist deine IP blacklisted? Funktioniert der rDNS? Hast du überhaupt eine public IPv4?
Es ist möglich, aber ein langer und steiniger Weg.
Wie von mir geschrieben sind es am Ende nur IMAP-Clients. Die Mails werden woanders verwaltet. E-Mails werden über DNS MX-Einträge zu den Mailservern gesendet.
Wer verwaltet wahrscheinlich deine E-Mails?
Ruf https://mxtoolbox.com auf und suche dort nach dem Eintrag deiner E-Mail-Adresse hinter dem @ also bei z. B. BerndM@gmail.com gib dort gmail.com ein. Bei einer anderen Domain den entsprechend abweichenden Namen. Wenn du wirklich selbst deine E-Mails hosten willst, dann muss da was von dir stehen. Und selbst wenn es deine Domain z. B. @BerndM.de ist, hostet sie sonst jemand aber bestimmt nicht du. Viel Spaß beim ändern. Du benötigst im Übrigen einen Server im Internet bzw. mindestens eine statische IP-Adresse, da sonst heutzutage die E-Mails gar nicht akzeptiert werden. Also Lösungen wie DynDNS kannst du schon mal ganz vergessen.
@devnull, sorry aber Du liegst falsch und gehst von nicht gefragten aus! Ich habe eine public Domain und mein Hoster macht da alles was WWW, Mail usw. darauf betrifft. Ich glaube das schon erwähnt zu haben. Und es funktioniert seit über 27 Jahren
Ich selber hole im Moment mit Outlook noch die Mails dort per POP3 ab und will das ändern. Outlook ist zu teuer mit den Updates und macht zu viele Probleme.
Danke, werde diese mir mal anschauen. Das würde einiges an Probleme beheben, zumal ich von NextCloud nur den Kalender und Mail Client geplant hatte zu benutzen. Zumal, wenn ich später doch NextCloud nutzen will, würde das auch funktionieren.
Was sie halt nicht ist, ist eine next generation Firewall (NGFW) mit IPS und so. Wobei der Nutzen sich auch dort in Grenzen hält.