In diesem Beitrag gehe ich davon aus, dass du weisst was VPN ist. Oder eben auch nicht. Letztlich geht es darum wie man vom Internet aus auf Ressourcen (Apps, NAS, Geräte) im eigenen LAN kommt, ohne die Firewall anfassen zu müssen. Trotzdem soll es vernünftig gesichert, sein um Angreifern möglichst wenig Gelegenheit zu bieten. Denn jede Öffnung eines Ports auf der Firewall bietet sogleich eine Angriffsfläche auf die eigene Infrastruktur – egal ob Geschäft oder Zuhause.
Cloudflare bietet dazu eine Möglichkeit ‚tunnels‘ zu erstellen und betreiben. GRATIS! Wie soll das gehen? Was braucht es dafür? Wie mache ich das? VPN vs tunnel?
Wie soll das gehen?
Ein sehr kleiner Client im LAN stellt eine geschützte Verbindung mit cloudflared her. Cloudflare Zero Trust erledigt quasi den Rest. Mit der selber definierten URL wie z.b. mein-nas.meinedomain.tld werde ich direkt und mit HTTPS auf mein NAS verbunden. Wie cool ist das denn! Und das auch, wenn ich für mein NAS gar kein gültiges, öffentliches Zertifikat habe, bekomme ich eine gültige, gesicherte Verbindung. Übrigens auch wenn ich mich intern im LAN befinden 🙂
Was braucht es dafür?
Eine eigene Domain ist dafür unerlässlich. Eine Domain, bei der man die Kontrolle über den Nameserver (NS) an Cloudflare abgeben kann; also sonst nichts mit dieser Domain macht.
Intern braucht es ein Gerät, das den Cloudflare Client permanent in Betrieb hält. Vorzugsweise ein Gerät, das ohnehin immer in Betrieb ist wie eine Synology NAS oder ein Raspberry. Dort drauf Docker und den genannten Client cloudflared.
Selbstredend, dass es auch ein Account bei Cloudflare braucht. Bei der Registrierung kommt man nicht um das Erfassen einer Zahlungsmethode drum rum, auch wenn der Dienst gratis ist.
Und dann noch vielleicht 30′ Zeit, bis der erste Tunnel steht.
Wie mache ich das?
Eine sehr ausführliche und gute Anleitung findest du auf Youtube von CrossTalk Solutions.
Der Dienst „cloudflare zero trust“ ist (Stand 12.3.2023) gratis.
VPN vs tunnel?
Nun – bei einer Konfiguration von VPN muss die Firewall einige Ports öffentlich präsentieren. Von Vorteil ist eine fixe IP, oder mindestens ein DynDNS Dienst. Die öffentlichen Ports lassen sich von jedermann scannen und dann auf Schwachstellen überprüfen und das alles vollautomatisch und andauernd. Je nach Anwendungsfall sind über VPN noch weitere Einstellungen notwendig, damit der gewünschte Dienst tatsächlich funktioniert.
Mit einem Cloudflare tunnel ist die Angriffsfläche auch da – aber diese wird von Cloudflare verwaltet. Sei versichert, dass diese weit aus mehr Knowhow und Ressourcen haben um diese Angriffe zu parieren. Die eigene Firewall ist für den eingehenden Verkehr schlicht und einfach zu. Als netter Nebeneffekt, kann z.b. die Synology auch intern (im LAN) über den tunnel mit HTTPS angesprochen werden, ohne die HTTPS Warnungen.
Vielen Dank für diesen Beitrag.
Scheint ein interessanter Weg zu sein, sein NAS von extern zu erreichen. Wie verhält sich das mit der Sicherheit? Da der gesamte Traffic über die Infrastruktur von Cloudflare läuft, können die doch mitlesen. Wie siehst Du das?
Beste Grüsse
Erich
Allegra Erich
Mit letzter Sicherheit kann ich deine Frage nicht beantworten.
Gut möglich, dass beim Weg über Cloudflare in einem Zwischenschritt der Datenfluss entschlüsselt und wieder verschlüsselt wird. Was dagegen spricht ist der Aufwand den CF dafür hätte.
Wenn ich es richtig verstanden habe, wird aber tatsächlich nur eine Verbindung vermittelt. Falls dem so ist, kann CF nicht mitlesen.