Selbstgebastelten File Server aus dem Internet erreichen, ohne Fehlermeldung "nicht sicher"...

[henryfatzke]

Ich habe mir einen File Server gebastelt aus einem alten HP Elite 8300 USDT (Ultra Slim Desktop) mit einigen USB Festplatten drangehängt, das ganze hinter einer Fritzbox 6660 Cable mit Vodafone 1000 Tarif.

Als Software habe ich ein ganz normales Windows 11 laufen mit HFS ~ HTTP File Server (https://www.rejetto.com/hfs/)!
Aus dem Internet erreichbar sind nur meine USB Festplatten, nicht der Server an sich und diese sind AUSSCHLIESSLICH über HTTPS mit einer öffentlichen IP4 Adresse erreichbar!

Und genau hier ist mein eigentliches Problem, wenn ich meinen Server über das (ÖFFENTLICHE) Internet im Browser aufrufen möchte, kommt da immer so ne hässliche Warnmeldung, je nach Browser etwas unterschiedlich im Detail, das diese Adresse nicht sicher sei! Jeder Nutzer kann diese Warnmeldung zwar umgehen, aber es ist halt ein bischen umständlich und lästig so wie es ist.
Ich hab zwar darüber gelesen, das man diesen Fehler umgehen kann, indem man dem Server einen Namen gibt, statt einer IP Adresse, Stichwort dyndns wenn ich das richtig verstanden habe und diese kostenlos zertifizieren kann, damit der Fehler nicht mehr erscheint, aber das übersteigt meinen Horizont bei weitem und ist viel zu aufwendig!

Muß ich mit diesem Fehler einfach leben, oder gibt es da eine einfachere Lösung/s Anleitung?

 

[the other]

Moinsen,
nun, dein Server (den du ja aufrufst per https) braucht bei httpS ein Zertifikat, mit dem er beweisen kann, dass es auch der "richtige" Server ist (und nicht ein ganz anderes Gerät, welches nur so tut als ob...). Dazu muss ein für den Server passendes Zertifikat vorhanden sein (sonst wird eben wie von dir beobachtet gemeckert / gewarnt).
Also: entweder ein solches besorgen oder mit der Warnung leben...

Alternativ kannst du auch einen VPN Zugang auf den Server einrichten. Ob das nun aber am Ende weniger aufwändig ist (und für dein setting überhaupt taugt), sei mal dahin gestellt.

 

[henryfatzke]

Hallo the other, Danke erst mal für Deine Antwort, das mit dem Zertifikat hab ich soweit mitbekommen, aber ich habe auch gelesen, das es sehr schwierig, in manchen Fällen sogar unmöglich ist, ein Zertifikat für eine IP Adresse zu bekommen. Wenn ich das richtig verstanden habe muß ich in dem Fall nachweisen, das diese IP Adresse auch wirklich mir gehört und da diese ja so zu sagen nur eine Leihgabe ist von meinem Internet Anbieter ist (Vodafone) wird es wohl daran scheitern...
Das mit dem VPN scheint mir eine interessante Alternative zu sein, wenn ich das richtig verstanden habe, bringen solche Verbindungen also nicht diese Fehlermeldung?

 

[the other]

Moinsen,
doch, denn wenn du eine HTTPS Verbindung willst, dann wird da die Verbindung verschlüsselt. Damit die beiden Kommunikationspartner sicher sind, dass das Gegenüber auch das wirklich gewünschte Gegenüber ist, wird auf ein Zertifikat zurückgegriffen, als "Beweis" also.
Du kannst auch selber ein solches anlegen, geht dann auch per IP. Ist aber für den Einsteiger zunächst etwas kompliziert.
Oder du besorgst dir eines, etwa von solchen Zertifizierungsstellen wie zB let's encrypt. Das geht auch mit den Vodafone IPs ...
Hier ein wenig Infos dazu:
https://de.wikipedia.org/wiki/Digitales_Zertifikat
https://learn.microsoft.com/de-de/entra/identity-platform/howto-create-self-signed-certificate
https://letsencrypt.org/de/

Mit VPN (braucht auch Zertifikate ) kommst du aber ins eigene Heimnetz. Im eigenen Heimnetz kann auch auf Https verzichtet werden und nur http genutzt werden, ich selber würde aber eher empfehlen, sich mit dem Thema mal auseinanderzusetzen im Selbststudium. Und dann gerne konkrete Fragen hier stellen...

 

[blurrrr]

Wenn Du das Gerät via "http" und nicht "httpS" ansprichst, sollte das funktionieren. Allerdings kannst Du Dir das via VPN auch komplett sparen, da Du via VPN direkt "in" Dein Netzwerk kommst und somit auch SMB/CIFS nutzen kannst (wie Du es rein intern vermutlich sowieso schon machst, z.B. in Form von "\\Server\Freigabe").

 

[henryfatzke]

Hallo und danke für Eure Ideen! Der Server ist so eingestellt, das man nur über https darauf zugreifen kann und nur von einer deutschen ip aus. Einen richtigen Hacker würde das vermutlich nicht allzusehr ausbremsen, alledings bezweifle ich, das ich für den ein lohnendes Ziel wäre. Ich zumindest fühle mich mit dieser Einstellung ein kleines bischen sicherer Ich mache den Server auch nicht bekannt, ist nur für die Familie und ein paar Freunde. In den 2 Wochen wo das Ding rennt, haben sich bisher lt. Protokoll nur 3 oder 4 Fremde auf meinem Server verirrt und das je nur ein einziges mal! Dann werd ich mal den Vorschlag von the other mal ausprobieren, ob ich das mit dem Zertifikat hinbekomme. Das mit dem VPN muß ich aber auch noch irgend wie hinbekommen, damit ich sicher "nach hause" komme

 

[blurrrr]

Naja, wenn Du es von extern via HTTP"S" erreichen willst, muss halt ein entsprechendes SSL-Zertifikat hinterlegt sein. Du wirst von extern ja vermutlich sowieso nicht via IP zugreifen (welche sich theoretisch i.d.R. auch ändern kann, sofern nicht statisch beim Provider gebucht), sondern mittels einer Adresse (z.B. via DynDNS-Adresse). Für diese Adresse muss dann ein entsprechendes SSL-Zertifikat erstellt werden. Schau vielleicht nochmal hier rein: https://github.com/rejetto/hfs/wiki/HTTPS, insbesondere der ganz untere Teil ("You can avoid this warning...").

Ein Zertifikat ist eben wie ein "Ausweis". Ich kann Dir jetzt a) meinen offiziellen Ausweis unter die Nase halten (beglaubigt von Stadt/Staat), oder b) einen selbstgemalten Ausweis (der einem selbst erstellten Zertifikat entspricht). Die Vertrauenskette ist halt bei den selbst erstellten nicht gegeben und das ist auch der Grund, warum erstmal rumgemeckert wird (egal ob Du via Name oder IP auf den Dienst zugreifst).

Also "ordentlich" wäre etwas in dieser Form: https://host.domain.tld, mit einem passenden Zertifikat für host.domain.tld und Zugriff über diese Adresse, dann passt alles zusammen.

Für Dich ist die Sache mit dem VPN definitiv ein Mehrwert (da Du dann auch direkt an "alles" in Deinem Netzwerk kommst), für Freunde und Familie bietet sich sowas eher weniger an (die sollen ja keinen Zugriff auf "alles" in Deinem Netzwerk bekommen).

EDIT: Das hier dürfte Dein Problem lösen: https://github.com/rejetto/hfs/discussions/346, dafür musst Du allerdings vermutlich noch Port 80 auf die Kiste weiterleiten. Brauchst aber schon einen passenden DNS-Record, welcher auf die Kiste zeigt (bzw. auf die öffentliche IP von Deinem Router, je nachdem, ob es sich um IPv4 oder IPv6 handelt - IPv4 = Router, IPv6 = Kiste). Am einfachsten geht sowas über einen DynDNS-Anbieter (da Du eine Fritz!Box nutzt, würde sich "myfritz" anbieten).

https://avm.de/service/wissensdaten...ternetzugang-mit-IPv6-DS-Lite-genutzt-werden/

Alternativ kannst Du Dir auch irgendwo bei einem anderen Anbieter eine DynDNS-Adresse besorgen und den DynDNS-Client (der immer seine aktuelle IP an den Dienst übermittelt, wo die IP dann Deiner DynDNS-Adresse zugeordnet wird) auf der Kiste installieren.

 

[henryfatzke]

Hallo nochmal, ich gebs auf...
Ich habe soweit ich das überschaue, alles korrekt eingerichtet, ABER beim aufrufen der Internet Adresse kommt nach wie vor der Fehler! Rufe ich die dafür registrierte Domain auf, lande ich auf der Anmeldeseite meiner Fritzbox!?!?!?!?
Nach der Registrierung über Let`s Encrypt hab ich zwar im Installations Ordner meines Servers je ein acme Zertifikat und einen acme Key hab aber nicht die geringste Ahnung ob, bzw. was ich damit anfangen kann/soll, vielleicht ausdrucken und an die Wand kleben!?

 

[Barungar]

Wenn Du auf der FritzBox landest... dann steht vermutlich die IPv6-Adresse der FritzBox im DynDNS und nicht die vom Server.

 

[henryfatzke]

Und noch mal meine Wenigkeit, es hat wohl doch funktioniert, denn nach einem neuen Test kam ich plötzlich doch auf meinen Server via dns Domain! Vielleicht war ich einfach zu ungeduldig mit meiner Fummelei , weil es vielleicht ein wenig dauert, bis die Freischaltung am Server in Kraft tritt!? Jedenfalls läuft jetzt alles butterweich! Auch meine VPNs funktionieren jetzt stabil, auch im eigenen Heimnetz, allerdings hab ich die vom Server auf die FritzBox verlegt, somit ist mein Server weniger ausgelastet und die Pflege der einzelnen Verbindungen sehr viel Einfacher! Eine letzte Frage hätte ich allerdings noch, macht es mein Heimnetz sicherer oder unsicherer, wenn ich auch zuhause via VPN ins Internet gehe, oder ist es einfach egal? Ergänzend sollte ich vielleicht hinzufügen, das auf meinem Server auch ne Pihole läuft auf ner VM, wird der mit den VPNs ausgehebelt?

 

[blurrrr]

macht es mein Heimnetz sicherer oder unsicherer, wenn ich auch zuhause via VPN ins Internet gehe, oder ist es einfach egal?

Kommt darauf an, wie sehr Du einem Drittanbieter vertraust. Vertraust Du Deinem eigenen Netz weniger als einem Drittanbieter?

Ergänzend sollte ich vielleicht hinzufügen, das auf meinem Server auch ne Pihole läuft auf ner VM, wird der mit den VPNs ausgehebelt?

Wenn es ein vernünftiger Anbieter ist, sollte auch der lokale DNS nicht mehr genutzt werden, da ansonsten noch immer Anfragen an den "bösen Admin Deines" pi-Hole gehen (aka... Dich selbst...) und der böse Admin dann ja theoretisch schauen könnte, welche Domains Du aufgelöst hast.

Also in meinen Augen ist sowas "ganz großer" wenn nicht sogar "maximaler" Bu**sh**. Dein Netz hast Du ja nicht umsonst gestrickt wie es ist. Wenn Du unterwegs bist, kannst Du das VPN der Fritz!Box nutzen, um sämtlichen Traffic unterwegs durch einen VPN-Tunnel (und somit Dein Heimnetz (inkl. Anfragen zum pi-Hole)) zu schicken.

Hast Du kein VPN nach Hause und bist im öffentlichen Raum mit Deinem Mobilgerät unterwegs... Naja... "kann man machen", aber ob Dein Mobilfunk-Anbieter da nun theoretisch irgendwas sieht, oder eine andere Drittpartei... ist das wirklich SO relevant? Dann such Dir auch direkt einen anderen Telefonie-Anbieter, ist ja irgendwo das gleiche...

 

[Barungar]

Und noch mal meine Wenigkeit, es hat wohl doch funktioniert, denn nach einem neuen Test kam ich plötzlich doch auf meinen Server via dns Domain! Vielleicht war ich einfach zu ungeduldig mit meiner Fummelei , weil es vielleicht ein wenig dauert, bis die Freischaltung am Server in Kraft tritt!?

Gegen Vermutung, diesmal ist es eine IPv4-Verbindung (aus welchem Grund auch immer), beim nächsten IPv6-Verbinungsaufbau wird es dann wieder fehlschlagen... dann entstehen so Posts wie... es hat tagelank funktioniert und jetzt wieder nicht mehr.

Du solltest das IPv6 auf jeden Fall verifizieren. Ob es im DynDNS gesetzt ist (AAAA-Record) und ob der Record auf dei FritzBox oder den Server zeigt.

 

[henryfatzke]

@blurrrr Ich hab mich da vielleicht etwas missverständlich ausgedrückt, wenn ich zukünftig unterwegs bin, werde ich grundsätzlich IMMER VPN nutzen, die Frage war, ob es im Heimnetz Sinn macht VPN zu nutzen, mit anderen Worten egal ob zuhause, oder Unterwegs, grundsätzlich IMMER über VPN ins Internet zu gehen, und damit geschützt vor (fast) allem bösen, im Netz zu sein!? Und wenn ich das mache, kann Pihole mich mich nach meinem Verständnis nicht mehr vor z.B. Werbung schützen, weil der gesamte Verkehr ja dann über einen verschlüsselten Tunnel stattfindet, oder hab ich da einen Denkfehler!?

@Barungar Mein Dyndns hat sowohl A als auch AAAA Rekord und ich habs auch explizit so in der Fritzbox hinterlegt so wie auf der DynDNS Webseite beschrieben ist. Nützlicher Nebeneffekt mit der ganzen Fummelei ist, das mein Verständnis für das Thema deutlich gewachsen ist, auch wenn ich natürlich noch weit weg bin vom "Experten"

 

[the other]

Moinsen,
um von AUßEN ins innere LAN zu kommen ist VPN imho Mittel der Wahl...
Die Meinungen gehen aber deutlich auseinander, wenn es darum geht aus dem Heimnetz per VPN ins Internet zu gehen...dafür werden idR Dienstleister genutzt, die mit allerhand bunten Versprechungen (ANONYM!, SICHER!) daher kommen.
Ich persönlich halte davon eher...nix. Du bist immer auf die Versprechen der Anbieter angewiesen, wo deren Server stehen, ob die sicher sind, ob nicht doch Daten gesammelt werden...who knows! Daher, ich finde das ist oft überflüssiger Humbug. Sicher mag es Szenarien geben, in denen sowas auch mal nett ist. Dass dadurch aber auf jeden Fall anonym und sicherer gesurft werden kann...sehe ich so pauschal nicht garantiert.
Wenn du dich vor Werbung schützen willst (ein wenig), dann hol dir einen Raspi mit einem Adblocker wie pihole oder adguard.


edit: und auch unterwegs zB per smartphone nutze ich den VPN Zugang nach Hause und lasse dann allen Traffic darüber laufen (gerade in fremden WLANs ein nettes Extra), aber das läuft dann eben alles über MEINEN VPN Server daheim, nicht über einen oskuren von sonstwem sonstwo...)

 

[henryfatzke]

Nein nein, über keinen Anbieter, nur über mein Wireguard VPN meinte ich... Den Pihole hab ich schon auf ner VM, aber wenn ich Über Wireguard ins Netz gehe, hebel ich Pihole wohl aus!?

 

[the other]

Moinsen,
mit dem wireguard Server auf der Fritzbox gelangst du von außen IN dein Netz.
Wie willst du den denn nutzen, wenn du schon zu Hause bist?
Also Du am Standort A, dein VPN Server auch...du willst durch "das Internet" zum Server "forum.heimnetz.de"....wie soll dir das jetzt was bringen?
Anderes Szenario:
du bist an Standort A (in D), hast deinen Wireguard Server auch dort. Du willst nun aber einen Streaming Dienst erreichen, der aber keine Anfragen aus D entgegen nimmt, nur aus USA...dann wird gerne ein VPN Dienst genutzt, um so zu tun als ob...

Im eigenen Netzwerk VPN zu nutzen...hm, warum?
Aus dem eigenen Netzwerke heraus VPN nutzen zum Surfen....warum?
Beim Surfen außerhalb durch den (eigenen ) VPN Tunnel nach Hause, von da dann ins Netz...logo. Das schickt dann eben, wenn du im Cafe in deren WLAN bist, deinen Daten verschlüsselt durch den Tunnel.

Du kannst Pihole und Co durchaus auch mit VPN nutzen...
wenn ich zB im Urlaub bin / im Cafe...dann nutze ich meinen VPN Server. Dieser blockt aber (weil es durch den Werbeblocker geleitet wird bei DNS Anfragen) die Werbung trotzdem. Das ist ja (unter anderem) ein Vorteil des Konstruktes....

 

[henryfatzke]

Hast recht, war auch nur ne Idee und der nachteil wäre ja, das ich mein Pihole damit aushebeln würde...
Aber in Einzelfällen wie z.B. Banking könnte es zumindest nicht Verkehrt sein...Muss leider los jetzt, aber allen Beteiligten nochmal ein herzliches Dankeschön und einen schönen Restsonntag

 

[Barungar]

@Barungar Mein Dyndns hat sowohl A als auch AAAA Rekord und ich habs auch explizit so in der Fritzbox hinterlegt so wie auf der DynDNS Webseite beschrieben ist. Nützlicher Nebeneffekt mit der ganzen Fummelei ist, das mein Verständnis für das Thema deutlich gewachsen ist, auch wenn ich natürlich noch weit weg bin vom "Experten"

Meine Befürchtung ist, dass es dann "exakt falsch" ist... daher mein Hinweis... worauf zeigt der AAAA-Record denn nun? Auf die Fritze oder auf den File-Server? Du willst über die DynDNS-Adresse doch an Deinen File-Server oder?

 

[the other]

Moinsen,

Aber in Einzelfällen wie z.B. Banking könnte es zumindest nicht Verkehrt sein

Doch, könnte es (imho: ist es).
Nochmal:
wenn du in deinem sicheren Heimnetz bist und dich mit dem Server deiner Bank verbindest...dann ist die Verbindung (je nach Bank ) eh schon idR sehr sicher verschlüsselt. Durch welchen Tunnel willst du dich da zusätzlich begeben? Dein eigener kann es ja nicht sein, der sitzt neben dir auf der Fritzbox, nicht in deiner Bank neben deren Bankingserver.
Durch einen der vielen VPN Anbieter? Auch wenn die durch den so vorhandenen Tunnel gehende Verbindung zur Bank ja eh schon sehr sicher ist (ich würde behaupten MINDESTENS so sicher wie so ein ominöser VPN Anbietertunnel), warum sowas dazu holen (macht es eher wieder unsicherer)...
Wenn du aber im Cafe im fremden WLAN bist (oder im Hotel) und willst dann eine Verbindung zu deiner Bank daheim...musst dich da ggf sogar noch einloggen...DANN würde ich immer über (mein eigenes!!!!) VPN gehen:
also...ich im Hotelzimmer....WLAN an, in meinen VPN Server daheim einwählen...Rest des Verkehrs ist damit in meinem VPN Tunnel (und damit kann es keiner im Hotel / Cafe) mitlesen. Da bin ich bei dir...
Ich denke (ohne dir jetzt zu nahe treten zu wollen), dass du das Gesamtkonzept dazu noch nicht recht verinnerlicht hast (was ja auch nicht schlimm ist, weil komplex), gerade den "Denkfehler" bzgl fremder VPN Anbieter = alles voll sicher machen sehr viele Menschen anfangs, damit machen die ja auch ihr Geld, die vielen VPN Anbieter. Ich will das auch nicht verteufeln, denke nur, dass es für die meisten angedachten Szenarien absolut nicht hilft (und ggf eben sogar kontraproduktiv ist).
Aber dafür ist der Austausch hier ja auch dann gut.
Dir erstmal einen ruhigen Sonntag Nachmittag und bei weiteren Fragen gerne hier dann weitermachen...

 

[the other]

Moinsen nochmals,
zum DynDNS Thema kann ich @Barungar nur beipflichten (außerdem kennt er sich mit IPv6 u.a. einfach super aus ):
- IPv4 DynDNS zeigt idR auf den Router (mit dann eingerichteter Portweiterleitung)
- bei IPv6 gibt es so keine Portweiterleitung, die Verbindung wird zwischen den Endgeräten aufgebaut. Also muss ein Server, der per IPv6 erreichbar sein soll, auch einen eigenen DynDNS Eintrag haben. Also muss der AAAA Eintrag auf den zu erreichenden Server zeigen (und nicht auf den Router wie bei v4). Im Router arbeitest du dann mit einer Portfreigabe (nicht synonym mit PortWEITERLEITUNG)...