Selbstgebastelten File Server aus dem Internet erreichen, ohne Fehlermeldung "nicht sicher"...

henryfatzke

New member
Ich habe mir einen File Server gebastelt aus einem alten HP Elite 8300 USDT (Ultra Slim Desktop) mit einigen USB Festplatten drangehängt, das ganze hinter einer Fritzbox 6660 Cable mit Vodafone 1000 Tarif.

Als Software habe ich ein ganz normales Windows 11 laufen mit HFS ~ HTTP File Server (https://www.rejetto.com/hfs/)!
Aus dem Internet erreichbar sind nur meine USB Festplatten, nicht der Server an sich und diese sind AUSSCHLIESSLICH über HTTPS mit einer öffentlichen IP4 Adresse erreichbar!

Und genau hier ist mein eigentliches Problem, wenn ich meinen Server über das (ÖFFENTLICHE) Internet im Browser aufrufen möchte, kommt da immer so ne hässliche Warnmeldung, je nach Browser etwas unterschiedlich im Detail, das diese Adresse nicht sicher sei! Jeder Nutzer kann diese Warnmeldung zwar umgehen, aber es ist halt ein bischen umständlich und lästig so wie es ist.
Ich hab zwar darüber gelesen, das man diesen Fehler umgehen kann, indem man dem Server einen Namen gibt, statt einer IP Adresse, Stichwort dyndns wenn ich das richtig verstanden habe und diese kostenlos zertifizieren kann, damit der Fehler nicht mehr erscheint, aber das übersteigt meinen Horizont bei weitem und ist viel zu aufwendig!

Muß ich mit diesem Fehler einfach leben, oder gibt es da eine einfachere Lösung/s Anleitung?
 
Moinsen,
nun, dein Server (den du ja aufrufst per https) braucht bei httpS ein Zertifikat, mit dem er beweisen kann, dass es auch der "richtige" Server ist (und nicht ein ganz anderes Gerät, welches nur so tut als ob...). Dazu muss ein für den Server passendes Zertifikat vorhanden sein (sonst wird eben wie von dir beobachtet gemeckert / gewarnt).
Also: entweder ein solches besorgen oder mit der Warnung leben...

Alternativ kannst du auch einen VPN Zugang auf den Server einrichten. Ob das nun aber am Ende weniger aufwändig ist (und für dein setting überhaupt taugt), sei mal dahin gestellt.
:)
 
Hallo the other, Danke erst mal für Deine Antwort, das mit dem Zertifikat hab ich soweit mitbekommen, aber ich habe auch gelesen, das es sehr schwierig, in manchen Fällen sogar unmöglich ist, ein Zertifikat für eine IP Adresse zu bekommen. Wenn ich das richtig verstanden habe muß ich in dem Fall nachweisen, das diese IP Adresse auch wirklich mir gehört und da diese ja so zu sagen nur eine Leihgabe ist von meinem Internet Anbieter ist (Vodafone) wird es wohl daran scheitern...
Das mit dem VPN scheint mir eine interessante Alternative zu sein, wenn ich das richtig verstanden habe, bringen solche Verbindungen also nicht diese Fehlermeldung?
 
Moinsen,
doch, denn wenn du eine HTTPS Verbindung willst, dann wird da die Verbindung verschlüsselt. Damit die beiden Kommunikationspartner sicher sind, dass das Gegenüber auch das wirklich gewünschte Gegenüber ist, wird auf ein Zertifikat zurückgegriffen, als "Beweis" also.
Du kannst auch selber ein solches anlegen, geht dann auch per IP. Ist aber für den Einsteiger zunächst etwas kompliziert.
Oder du besorgst dir eines, etwa von solchen Zertifizierungsstellen wie zB let's encrypt. Das geht auch mit den Vodafone IPs ;)...
Hier ein wenig Infos dazu:
https://de.wikipedia.org/wiki/Digitales_Zertifikat
https://learn.microsoft.com/de-de/entra/identity-platform/howto-create-self-signed-certificate
https://letsencrypt.org/de/

Mit VPN (braucht auch Zertifikate ;)) kommst du aber ins eigene Heimnetz. Im eigenen Heimnetz kann auch auf Https verzichtet werden und nur http genutzt werden, ich selber würde aber eher empfehlen, sich mit dem Thema mal auseinanderzusetzen im Selbststudium. Und dann gerne konkrete Fragen hier stellen... :)
 
Wenn Du das Gerät via "http" und nicht "httpS" ansprichst, sollte das funktionieren. Allerdings kannst Du Dir das via VPN auch komplett sparen, da Du via VPN direkt "in" Dein Netzwerk kommst und somit auch SMB/CIFS nutzen kannst (wie Du es rein intern vermutlich sowieso schon machst, z.B. in Form von "\\Server\Freigabe").
 
Hallo und danke für Eure Ideen! Der Server ist so eingestellt, das man nur über https darauf zugreifen kann und nur von einer deutschen ip aus. Einen richtigen Hacker würde das vermutlich nicht allzusehr ausbremsen, alledings bezweifle ich, das ich für den ein lohnendes Ziel wäre. Ich zumindest fühle mich mit dieser Einstellung ein kleines bischen sicherer😁 Ich mache den Server auch nicht bekannt, ist nur für die Familie und ein paar Freunde. In den 2 Wochen wo das Ding rennt, haben sich bisher lt. Protokoll nur 3 oder 4 Fremde auf meinem Server verirrt und das je nur ein einziges mal! Dann werd ich mal den Vorschlag von the other mal ausprobieren, ob ich das mit dem Zertifikat hinbekomme. Das mit dem VPN muß ich aber auch noch irgend wie hinbekommen, damit ich sicher "nach hause" komme☺️
 
Naja, wenn Du es von extern via HTTP"S" erreichen willst, muss halt ein entsprechendes SSL-Zertifikat hinterlegt sein. Du wirst von extern ja vermutlich sowieso nicht via IP zugreifen (welche sich theoretisch i.d.R. auch ändern kann, sofern nicht statisch beim Provider gebucht), sondern mittels einer Adresse (z.B. via DynDNS-Adresse). Für diese Adresse muss dann ein entsprechendes SSL-Zertifikat erstellt werden. Schau vielleicht nochmal hier rein: https://github.com/rejetto/hfs/wiki/HTTPS, insbesondere der ganz untere Teil ("You can avoid this warning...").

Ein Zertifikat ist eben wie ein "Ausweis". Ich kann Dir jetzt a) meinen offiziellen Ausweis unter die Nase halten (beglaubigt von Stadt/Staat), oder b) einen selbstgemalten Ausweis (der einem selbst erstellten Zertifikat entspricht). Die Vertrauenskette ist halt bei den selbst erstellten nicht gegeben und das ist auch der Grund, warum erstmal rumgemeckert wird (egal ob Du via Name oder IP auf den Dienst zugreifst).

Also "ordentlich" wäre etwas in dieser Form: https://host.domain.tld, mit einem passenden Zertifikat für host.domain.tld und Zugriff über diese Adresse, dann passt alles zusammen.

Für Dich ist die Sache mit dem VPN definitiv ein Mehrwert (da Du dann auch direkt an "alles" in Deinem Netzwerk kommst), für Freunde und Familie bietet sich sowas eher weniger an (die sollen ja keinen Zugriff auf "alles" in Deinem Netzwerk bekommen).

EDIT: Das hier dürfte Dein Problem lösen: https://github.com/rejetto/hfs/discussions/346, dafür musst Du allerdings vermutlich noch Port 80 auf die Kiste weiterleiten. Brauchst aber schon einen passenden DNS-Record, welcher auf die Kiste zeigt (bzw. auf die öffentliche IP von Deinem Router, je nachdem, ob es sich um IPv4 oder IPv6 handelt - IPv4 = Router, IPv6 = Kiste). Am einfachsten geht sowas über einen DynDNS-Anbieter (da Du eine Fritz!Box nutzt, würde sich "myfritz" anbieten).

https://avm.de/service/wissensdaten...ternetzugang-mit-IPv6-DS-Lite-genutzt-werden/

Alternativ kannst Du Dir auch irgendwo bei einem anderen Anbieter eine DynDNS-Adresse besorgen und den DynDNS-Client (der immer seine aktuelle IP an den Dienst übermittelt, wo die IP dann Deiner DynDNS-Adresse zugeordnet wird) auf der Kiste installieren.
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
6.080
Beiträge
59.057
Mitglieder
6.111
Neuestes Mitglied
roica
Zurück
Oben