Neuinstallation von Nextcloud ohne Zugriff von außen

Wenn es dir nur darum gehen sollte, also die mit dem M$-Produkt verbundenen Kosten, dann kannst das auch viel einfacher haben als du hier offenbar anstrebst. → Thunderbird

Thunderbird hat auch Kalender, Adressbuch, etc. und kann das mit den üblichen Onlinediensten (z.B. Google) synchronisieren oder auch mit einer Nextcloud.

Nextcloud Mail ist ein wenig wie Outlook oder Thunderbird nur dass es keine Mails abholt. Der Webclient zeigt sie nur per IMAP an.

Mails nur per IMAP anzeigen lassen kann man auch mit Thunderbird haben. Nutzt je nach Konfiguration POP3 oder IMAP.

Alle Mail Clients, welche Lokal auf den Rechner laufen, haben das gleiche Problem bei IMAP. Sie müssen sich synchronisieren. Im Moment habe ich ca. 10GB Mails in PST Dateien. Das zu Synchronisieren dauert einfach zu lange um schnell mal nach einer Mail zu schauen, wenn man den Rechner wechselt.

Deswegen werde ich einen IMAP Server und einen Web Mail Client auf den gleichen Rechner laufen. Dann kann ich von überall mit einem Browser meiner Wahl darauf zugreifen und die Synchronisation verbraucht nicht mehr soviel Zeit, man merkt die kaum (siehe gmail).

Ja das kannst du machen. Aber mit Nextcloud hat das alles nichts zu tun. Nextcloud bietet dir hierfür keine Lösung und will dir auch gar keine Lösung anbieten. Nextcloud kann viel. Aber nicht alles. So kann Nextcloud auch immer noch keinen Kaffee für mich kochen.

Kann man so machen was du da machen willst.

Das ist aber so gar nicht mein Ansatz. Ich will nicht, dass meine eMails aus der nicht aktuellen Vergangenheit per IMAP abrufbar sind, also auf einem Zentralen Server eines Providers liegen.

Ich nutze Thunderbird (mit POP3) auf mehreren Systemen mit Linux OS und Android (K-9 Mail) mit IMAP in Kombination. Damit das klappt werden nach dem Abruf der Mails mit POP3 diese nicht sofort gelöscht. Das ist in Thunderbird konfigurierbar. Gelöscht auf den Server des Mailproviders werden diese erst nach einer Woche nach dem ersten Abruf via Pop3. Somit sind die Mails nur eine Woche für IMAP-Clients wie K-9 erreichbar.

Jetzt ist das Problem: ich habe mehrere Thunderbird Clients unter Linux. Wie stelle ich sicher, dass alle Clients alle Mails haben, auch dann wenn mal nicht alle binnen einer Woche in der Lage waren die ja nur eine Woche beim Mailprovider gelagerten Mails abzurufen!?

Da kommt bei mir dann Nextcloud ins Spiel. Die Mails liegen bei Thunderbird in einen Folder wie .thunderbird/abcde1234.default/Mail/. Genau diese Unterverzeichnis Mail kann man komplett zwischen mehreren Clients über den Nextcloud-Client des verwendeten OS synchronisieren.

Zur Erleichterung der Suche in alten Mails indiziert Thunderbird per default diese Mails bereits. Die Suche findet daher lokal statt. Beschleunigen lässt sich das noch per cleverer Archivierung der älteren Mails. Ich mache das kalendarisch. Mails aus 2024 sind in einem Archivunterordner von .thunderbird/abcde1234.default/Mail/ für 2024, die aus 2023 in einem für 2023, usw. So lässt sich die Suche weiter beschleunigen, denn wenn man Mails zu einem Sachverhalt aus 2022 sucht, muss man auch nur den Unterordner für 2022 danach von Thunderbird durchsuchen lassen.

Jambo Bernd,

das hier sollte hier niemand wissen, wir machen hier kein Infromation Gathering. Zudem ist das für die Benutzeradministration irrelevant.

Was die Administration von Nextcloud betrifft, geht das auch mittels ‘occ’ auf der Bash-Konsole.
Im Prinzip wechselt man vom Root (su -) zum Apache-User bei Debian www-data und nutzt zum Benutzeranlegen

# su - www-data
$ php /var/www/nextcloud/occ user:add --password-from-env <BENUTZERNAME>

Dann wird man nach einem Passwort gefragt.
$ php /var/www/nextcloud/occ user:list

zeigt die vorhandenen Benutzer. Alles Andere geht auf ähnliche Art und Weise, im Prinzip braucht der Administrator keine GUI.
Und das mit Deinem Let’s Encrypt ist totaler Unsinn. Das funktioniert nur einwandfrei mit öffentlichen IP-Adressen. Let’s Encrypt braucht öffentlichen Zugriff – rein lokal geht’s nicht.
DynDNS ist dazu auch nicht praktikabel, weil dazu die Firewall entsprechend konfiguriert werden müsste - was man bei solchen Pipifax-Geräten aus dem MediaMarkt wie FritzBox vergessen kann.
Wozu benötigst Du überhaupt SSL-Zertifikate in einem privaten Netzwerk, hier kennt doch jeder jeden und alle vertrauen sich. Verschlüsselter Traffic im privaten Netzwerk auch wenig sinnvoll. Alles für Deine beschriebenen Ziele zu overstyled und zu aufwendig.

Da Du sowieso das Nextcloud auf einem LAMP-Server laufen lässt, kannst Du Dir natürlich auch eine eigene Certificate Authority (CA) mittels “openssl” auf dem LAMP-Server erstellen.
Das solltest Du Dir mal im Internet ansehen, wie das geht. Aber mehr kann ich Dir hier nicht helfen, weil mir Dein Ansatz viel zu schräg ist.
MfG
MPenzi

Natürlich kann eine Fritzbox DynDNS (bieten sogar einen eigenen Service) so wie auch Firewall rules.

Sein Ansatz ist schräg, weil er auf viel zu vielen Fehlinformationen beruht. Das wäre an sich noch kein Problem, kombiniert mit Lernresistenz und der Meinung, es selber besser zu wissen, ist es hingegen eine Kombination, in der Hilfe unmöglich wird.

Selbstverständilch können die Dinger von FritzBox, Speedport, Xyxel etc. DynDNS und Firewall rules, nur die Qualität hält sich extrem begrenzt. Wenn man nur die Ports 80, 443, 22, 25, 465, 143, 993 per Button ein- oder ausschalten kann, NAT und Forwarding eingeschränkt sind, ist das wenig dienlich. SSH sollte auch eigene definierte Ports außer 22 können. Man sollte eigene Regeln mittels Cli definieren können.
So sind das zahllose Einfallstore für Cyberaktacken, vor allem weil die Leute glauben “Jetzt habe ich eine gute Firewall - eine Fritbox! - und ich bin abgesichert”. Mitnichten, die Defaultwerte sind bekannt und aushebelbar.
Das ist der eine Aspekt, der andere viel Wichtigere ist für mich, dass man mit den Dinger nur das machen, was der Hersteller meint erlauben zu müssen und das ist wahrlich zu wenig.

Das DynDNS ist auch blödsinnig, vor allem weil man hier abhängig von einem dritten Dienstleister wird, der zudem den Traffic, der über diesen bereitgestellten Service läuft mit verfolgen kann. Man holt sich sozusagen Dritte mit ins so scheinbar sichere Netzwerk.
Da wäre es sicherer 2 EUR monatlich für eine feste IP-Adresse zu zahlen, dann akzeptiert das Let’sEncrypt auch schon wieder.

Aber ich finde den gesamten Ansatz blödsinnig, denn wie bereits erwähnt wird SSL zur Verschlüsselung des Traffics benötigt und das Zertifikat dazu, dass die andere Seite weiß, das ist vertrauenswürdig. Das beides ist in einem privaten Netzwerk, wo nur bekannte Leute zu greifen beides witzlos.
Ohnehin gehört eine Cloudapplikation wie Nextcloud ins Internet, wo dann alle von überall diesen Service nutzen können, anstelle von GoogleDrive, DropBox, Facebook etc.. Dann funktioniert auch Let’sEncrypt wieder und dies Fragen stellen sich gar nicht.
Dafür gibt Managed Server und sogar besser dezidierte Rootserver in Rechenzentren.
Dann braucht man auch kein DynDNS mehr, oder man baut es sich selber mit einem eigenen DNS-Server wie BIND9.

Ich meine solche Dinge sollte man sich vom Experten aufsetzen lassen. Denn zu glauben nur weil man eine Fritzbox hat und mit seinen Rechnern ins Internet kommt, ist alles Weitere ganz leicht nachgebaut, das ist ein fataler Trugschluss.

Zum Thema Firewall empfehle ich jedem, sich erst einmal am besten von ChatGPT erklären zu lassen “Wie funktioniert eine Firewall wie iptables?”. Da wird sehr schnell erklärt, dass die Kaufrouter mit Modem und Firewall eben nicht bieten können.

Also ich kann nur noch einmal empfehlen, wenn ich so was umsetzen will, mich erst einmal breit in die Thematiken einzuarbeiten.

Vielleicht ist die FRITZ!Box keine Firewall. Aber die Adressgrenze zwischen innen und außen (also NAT aus Sicht von innen) hilft schon viel. Natürlich kann man auf dem Nextcloud-Server zusätzlich noch iptables installieren. Wirklich notwendig ist es meiner Meinung nach jedoch nicht. Vom Internet wird über FRITZ!Box durch das Forwarding nur Ports 443/80 zum Nextcloud-Server erlaubt. Ein wirkliches Risiko besteht ohne iptables nicht.

Auch die Diskussion mit den Mails finde ich fragwürdig. PST-Dateien, okay da weiß man sofort der Themenersteller ist MS-Outlook verzogen. Generell können PST-Dateien nicht direkt in Nextcloud verwendet werden. Wobei eine manuelle Migration möglich wäre. Besser ist auch in diesem Fall eine langfristige Umstellung auf offene Formate und IMAP/CardDAV/CalDAV, um besser mit Nextcloud arbeiten zu können.

Ich habe den Eindruck, hier merkt jemand die Vorzüge von Open Source Software und will das aber zusammen mit propritären Systemen (Firewalls, OS) nutzen und kommt an seine Grenzen. Heterogene Infrastruktur, ja das geht, aber weniger im Laienumfeld.

Warum installieren? iptables sind auf nahezu allen Linux-Distributionen bereits installiert nur eben noch nicht aktiviert. Häufig sogar zusammen mit ufw (Uncomplicated Firewall). ufw ist ein benutzerfreundliches Frontend für iptables.

In jeder halbwegs guten Anleitung zur Installation von Nextcloud wird daher auch die Aktivierung und Nutzung von zumindest ufw angeraten, häufig noch in Kombination mit Fail2ban (Brute Force Schutz).

Muss wohl so sein, sonst wäre das Teil unverkäuflich. Die Dinger genügen den Meisten ja auch, auch wenn es massenweise offene Scheunentore sind.

Da ist meine Argumentation offenbar missverstanden wurden. Ich habe nicht um ein Sicherheitsrisiko für Nextcloud gesprochen - der ja standardmässig ins Internet gehört und nicht in ein Intratnet, wenn sowieso aus dem Internet zugegriffen werden soll - sondern von der Unsicherheit dieser Pipifax-Router.

Und wenn man auf Sicherheit aus ist, dann gehören neben Firewalls auch Fail2Ban dazu, eventuell sogar SELinux und die Daten in “nextcloud/data/” müssten verschlüsselt sein. Ich habe also nicht davon geredet, dass er auf seinem internen Nextcloud UFW (Iptables) installieren sollte, sondern dass diese Router nicht viel taugen. Besser wären Lösungen mit DSL-Modem plus Router auf denen OpenWRT installiert werden kann.
Das ändert aber nichts an der weiteren Sinnlosigkeit von Nextcloud, DynDNS, PST-Dateien in der vorgeschlagenen Konzeption.

Oder gleich eine Firewalllösung wie OPN- / pfsense hinter Modem / ONT

Ist nicht der Fall.

Reicht vollkommen. Oder anders gefragt, was fehlt dir?

Das ist eine absurde Forderung für ein consumer Produkt.

Verstehe ich nicht. Hier geht es nur um Nextcloud. Wenn ich auf der Fritte Port 80 und 443 für Nextcloud öffne, hat dies so gar nix mit der Fritte selbst zu tun, sondern was dahinter ist. In diesem Fall vermutlich eine Linux VM mit Nextcloud. Ob das ganze sicher ist, zeigt dann der Scanner von Nextcloud.

Du bist immer Abhängig von dritten. Oder bist du dein eigener ISP?
Fritzbox lässt dich deinen eigenen Provider nutzten (ich empfehle desec.io) oder du nutzt ihren eigenen Dienst.

Eine sichere Nextcloud Installation kriegen auch nicht Experten hin. Sei es mit AIO oder mit meiner Anleitung

Ohh Gott, bitte nicht. IPtables mit einer Fritzbox zu vergleichen ist ein dämlicher Apfel / Birnen Vergleich. Ganz generell ist von ChatGPT abzuraten wenn es um faktenbasierte Themen wie IT geht. Kinderstory erfinden ist es super, Fakten bitte nicht.

Sorry, aber das ist einfach kompletter Unsinn!
Per default ist eine Fritte “block ALL incoming” so wie (fast) jede andere Firewall auch. Nix mit offenes Scheunentor. Du scheint einiges nicht ganz verstanden zu haben.

Das hilft dir bezüglich Security fast gar nix. Das hilft (eventuell), wenn bei dir Zuhause eingebrochen wird.

• OPNsense schön und gut, nutze ich auch. Sicherer als eine Fritte ist das aber nicht. Man könnte höchstens diskutieren, dass Surricata oder ähnliches einen Sicherheitsgewinn bringt. Ansonsten ist das wie die Fritte eine stinknormale stateful Firewall
• Hinter Modem? Nee danke. Zwei Geräte die Strom brauchen und ausfallen können muss echt nicht sein. Viel zu kompliziertes Setup. SFP+ in OPNsense und gut ist. Falls kein Glas vorhanden ist, eine primitive bridge.

Natürlich ist es das. Jedenfalls wenn man die Server in einem vom LAN / WiFi abgetrennten Netzwerksegment unterbringt. Das kann hardwareseitig (mehrere physisch vorhandene Netzwerkkarten sein) oder per VLAN erfolgen. Eine solche Trennung und den daraus resultierenden Gewinn an Sicherheit, kennt ja sogar die Fritte. Allerdings nur als Gastnetz (WLAN) der Fritte#, nicht aber für Hardware, die aus gründen der Sicherheit nicht im LAN sein sollten, wie IoT-Geräte (smarter Ferneseher, Kühlschrank, Heizungssteuererung, etc.) oder eben Server die man aus dem Internet heraus erreichbar machen will.

Gelingt es dann eben doch mal so ein IoT-Gerät oder Server zu kompromittieren, so gibt es eben zwischen LAN und den Netzwerksegmenten für IoT und Server (oft als DMZ bezeichnet) noch die Firewall, die verhindert das vom kompromittierten Gerät direkt aufs LAN zugegriffen werden kann und so weitere Geräte im LAN / WiFI Angriffsziele werden.

Fair, VLAN ist tatsächlich ein möglicher, winzig kleiner Sicherheitsgewinn, wenn die Instanz selbst nicht sauber (zero trust) gemacht wurde .
Ob das bei einer einfachen home Installation ausschlaggebend ist?
Glaube da kommen mir spontan 10 andere Dinge in den Sinn, die meilenweit entscheidender sind als VLAN Isolierung.

Quelle?

Ok. Sie sind auch eher keine Firewalls und schützen vor allen das interne Netzwerk. Weniger mit guten Firewallregeln als über über Adressumsetzungen. Etwa so: Man möchte jemand in der Schlossallee 42 ausrauben. Leider weiß man die Stadt nicht. Oder umgehrt man kennt nur die Stadt aber es gibt keine Wege in die Stadt oder einen Stadtplan. Tja das C-Class-Subnetz 192.168.178/24 wird im Internet nicht geroutet. Das Internet wüsste ja auch nicht zu welcher FRITZ!Box. Und die FRITZ!Box selbst (oft weltweite IP-Adresse) bietet wenig eingehende Ports. Ich glaube sogar gar keine.

Hmm, du scheinst nicht gemerkt zu haben, dass ich aus einer Ecke komme? Ich bin keineswegs Laiendarsteller. Und ich weiß von was ich rede. Es tut mir, wenn ich dein Weltbild etwas ramponiere, das ist normal und passiert regelmässig in solchen Foren. Ich bin sicher, dass sich deine Fritte professionell auch von außen zerlegen ließe, sofern sich der Aufwand lohnt.

Tja und genau das ist der Punkt. Die IoT-Geräte (Internet of Things) habe ich ja nicht ohne Grund gleich mit angeführt. Wir haben 2025 und daher stehen in vielen home Installation genau solche Geräte herum. Diese werden oft bereits vom Hersteller mit verschiedenen Sicherheitslücken ausgeliefert, die selten bis nie durch Updates behoben werden.

Wer nicht gerade IT-Sicherheitsexperte ist, kann selten bis nie beurteilen, was er sich da ins Heimnetz geholt hat.

Schon eines dieser Geräte rechtfertigt daher eine strikte Trennung der Netzwerksegmente und Firewall-Regeln die auch ausgehend den Traffic dieser Geräte strikt regulieren. Genau das kann eine Fritte aber nicht.

Habe ich nun aber deswegen bereits eine Firewall, ist es nur noch ein kleiner logischer Schritt auch die Server (wie die Nextcloud) in eine weiteres ebenfalls separiertes LAN-Segment zu verschieben.