https-Webservices als VPN Alternative: Zugriff auf das Netzwerk

Lange habe ich ein VPN (Virtual Private Network) für den Zugriff auf das Heimnetzwerk vom Internet verwendet. Und lange dachte ich, dass ein VPN für den Zugriff auf Daten oder Geräte im eigenen Netzwerk alternativlos ist. Das VPN ermöglicht eine Verbindung vom Internet auf das eigene Netzwerk (LAN), ganz so als würde sich das Gerät im WLAN zu Hause befinden. Doch brauche ich wirklich einen Zugriff auf das komplette Netzwerk? Wäre es nicht besser nur bestimmte Services freizugeben? Was wird vom eigenen Netzwerk unterwegs benötigt? Der Zugriff auf den PC zu Hause? Auf Dateien des NAS? Auf das SmartHome? Gar nichts?

Die Cloud funktioniert einfach

Ein Großteil der Nutzer hat heute keine Notwendigkeit auf das eigene Netzwerk oder den eigenen PC von unterwegs zugreifen zu müssen. Wer seine Daten einem Cloud-Anbieter wie Google oder Apple anvertraut kann darüber jederzeit über das Internet verfügen. Auch bestimmte Geräte, wie eine Überwachungskamera, der Saugroboter, aktuelle NAS-Systeme oder andere Smart Home-Lösungen bieten in der Regel eine Anbindung zu einem Cloud-Service, gesteuert meist über eine eigene App. Geräte, die im eigenen Netzwerk über einen Cloud-Anbieter vom Internet erreichbar sind, bauen eine ausgehende Verbindung zum Cloud-Anbieter auf. Auch die zugehörige App am Smartphone baut eine Verbindung zum Cloud-Service auf, dieser steuert die beiden Verbindungen und ermöglicht damit unter anderem auch den Zugriff auf das eigene Netzwerk. Gerade jene, die sich wenig mit dem Thema befassen, finden in der Cloud einfache Lösungen. Die Cloud ist aber ein Sammelsurium von verschiedenen Anbietern und deren im Internet gehosteter Webservices. Entsprechend handelt es sich bei der Cloud um viele verschiedene Insellösungen. Die größten Anbieter für derartige Insellösungen sind dabei die bekannten Anbieter: Microsoft, Google, Apple und Amazon. Auch wenn deren Services nicht oder nur teilweise miteinander kompatibel sind, haben sie zumindest eines gemeinsam: Die Anbieter wollen mit deren Services Geld verdienen. Die Alternative ist dann eigentlich nur, die Daten zu Hause abzulegen. Aber was ist mit den ganzen Annehmlichkeiten, die uns die Cloud beschert? Wie kann auf die Daten zu Hause mit einem einfachen Browser oder einer App zugegriffen werden?

Besser als VPN und unabhängiger als die Cloud: Eigene private Webservices

Ich habe zwar ein VPN im Einsatz, benötige dieses aber kaum mehr. Nicht weil ich meine Daten bei einem Cloud-Anbieter gehostet habe, der Grund ist vielmehr, dass ich für alle relevanten Daten entsprechende Webservices sicher mit HTTPS im Internet veröffentlicht habe, ganz ohne Cloud-Anbieter. Dabei bin ich kein Gegner von Cloud-Services, im Gegenteil für bestimmte Geräte nutze auch ich Cloud-Services, zum Beispiel bei meinem Saugroboter. Dennoch liegen all meine Dokumente und Fotos auf meinem eigenen Server, zur Verfügung gestellt von einer lokalen Nextcloud-Instanz. Auch beim SmartHome setze ich auf eine Open-Source-Lösung, welche gänzlich zu Hause läuft, siehe: Home-Assistant Docker Conbee 2 und Zigbee2MQTT / deCONZ. Die Services sind über eine normale URL über das Internet erreichbar, ganz wie bei einem Cloud-Anbieter, was einen sehr ähnlichen Komfort bietet. Damit der Zugriff auch sicher ist, setzte ich den Let´s Encrypt-Reverse-Proxy Traefik ein. Der Aufruf erfolgt dabei verschlüsselt und direkt auf die freigegebenen Services. Im Vergleich dazu würde ein VPN das komplette Netzwerk verbinden und dabei auch einen Zugriff auf Geräte ermöglichen die nicht benötigt werden.

Sicherheit VPN vs. HTTPS Webservices

Wird für einen Webservice HTTPS und eine aktuelle Verschlüsselung verwendet, gilt die Verbindung als sicher. Die Sicherheit ist weniger von der Übertragung, sondern vielmehr von den einzelnen Services abhängig: Wie deren Authentifizierung umgesetzt ist. Neben der Verwendung von möglichst sicheren Passwörtern sollte im Webservice eine MFA-Authentifizierung (Multi-factor authentication), also ein 2ter Faktor für die Anmeldung eingerichtet werden. Viele Webservices bieten MFA über eine Authenticator-App am Handy an. Sollte der Service kein MFA bieten, bzw. wer dem Service an sich nicht vertraut, kann über Traefik eine zusätzliche Anmeldung einrichten. Damit findet erst nach der Anmeldung am Reverse-Proxy eine Verbindung zum Webservice statt. Neben einem Benutzernamen mit zugehörigem Passwort können für die Anmeldung auch andere Anmeldeanbieter verwendet werden. Als Beispiel, siehe: Traefik Google-Authentifizierung. Für den Webservice selbst ist optional erneut eine Anmeldung erforderlich.

Ist ein VPN der falsche Weg?

Ich will jetzt nicht behaupten, dass ein VPN grundsätzlich der falsche Weg ist, vielmehr könnte ein Großteil der Zugriffe auch ohne VPN, wesentlich komfortabler und granularer, zur Verfügung gestellt werden: bei Bedarf auch für Andere. Als Beispiel könnten die letzten Urlaubsfotos einfach über die private Cloud freigegeben werden. Für bestimmte Personen auch mit einem Schreibzugriff, was die Ablage der Dateien auf bestimmte Ordner erlaubt. An dieser Stelle limitiert den verfügbaren Speicherplatz rein die Festplattenkapazität der privaten Cloud. Für bestimmte Webservices existieren zudem eigene Smartphone-Apps, wodurch die Benutzerfreundlichkeit der eines richtigen Cloud-Service gleicht. Der Zugriff auf ein Gerät im eigenen Netzwerk könnte konkret wie folgt aussehen:

"Nur" bestimmte Webservices veröffentlichen, nicht das ganze Netzwerk

Wer zu Hause einen eigenen Server betreibt, kann damit einzelne Services, hier in Form von Docker-Containern freigeben. FĂĽr den Zugriff habe ich 2 verschiedene Varianten getestet:

FĂĽr beide Varianten wird eine registrierte Domain vorausgesetzt, siehe: Website Baukasten vs. Webspace oder ein eigener Webserver?

Variante 1: Port-Forwarding und Docker-Reverse-Proxy

Im Detail könnte der Zugriff über einen öffentlichen Domainnamen (DNS) auf die Services eines Mini-PCs erfolgen:

Legende:

  1. URL für den Zugriff auf die eigenen Webservices: Eigene Domain/DNS oder: free DynDNS Service - Zugriff bei wechselnder öffentlicher IP.
  2. Zugriff auf das eigene Netzwerk zu Hause: aus dem Internet verfĂĽgbar machen: Port-Forwarding - OpenWRT
  3. Hardware: NAS selber bauen: flexibel, stromsparend und billig [HowTo] oder Mini PC als Server
  4. Betriebssystem (OS) und Docker-Installation: Ubuntu Server und Docker installieren - Snap vs. Apt
  5. Zugriff über https:// inklusive Let´s Encrypt Zertifikate: sichere https Verbindung: Traefik Reverse Proxy + Let´s Encrypt
  6. selbst gehostete und im Internet veröffentlichte Webservices

Variante 2: Zugriff ĂĽber Cloudflare

Alternativ zu einem direkten Zugriff auf die öffentliche IP-Adresse des Internetanschlusses kann auch ein Tunnelservice wie Cloudflare zwischengeschaltet werden:

Legende:

  1. URL für den Zugriff auf die eigenen Webservices: Eigene Domain/DNS.
  2. Cloudflare Tunnel-Setup,siehe: Eigene Webservices zu Hause mit Cloudflare veröffentlichen
  3. Hardware: NAS selber bauen: flexibel, stromsparend und billig [HowTo] oder Mini PC als Server
  4. Betriebssystem (OS) und Docker-Installation: Ubuntu Server und Docker installieren - Snap vs. Apt
  5. Cloudflare Tunnel-Connector, siehe: Eigene Webservices zu Hause mit Cloudflare veröffentlichen
  6. selbst gehostete Webservices

Beispiele fĂĽr selbst gehostete Webservices

Fazit

Mit oder ohne VPN: Zunächst müssen die Daten im eigenen Netzwerk von einem bestimmten Gerät bereitgestellt werden. Ein normaler PC bietet sich dafür nur bedingt an, da dieser zum Zeitpunkt des Zugriffs eingeschaltet werden müsste oder, sollte dieser ständig laufen, relativ viel Strom verbrauchen würde. Zudem stellt sich die Frage in welcher Form die Daten zur Verfügung gestellt werden können. Eine mögliche Lösung ist eine eigene Hardware, in Form eines Mini-PCs. Ein Mini-PC benötigt relativ wenig Strom und ermöglicht den Einsatz bestimmter Webservices. Private Webservices liefern einen ähnlichen Komfort wie entsprechende Cloud-Dienste der bekannten Anbieter, und: die Einwahl mittels VPN entfällt. 

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE fĂĽr deine Bewertung!

Aktualisiert: 08.05.2023 von Bernhard | Translation English |đź”” | Kommentare:0

➨ Unterbrechungsfreies WLAN: Roaming (Fast Transition) | ➦ Netzwerk | IP Adressen im Netzwerk finden, auch wenn deren Firewall aktiviert ist ➨
➦ Home Server | Günstiger und sparsamer Docker Mini Server für zu Hause ➨

Top-Artikel in diesem Bereich


IP Adressen im Netzwerk finden, auch wenn deren Firewall aktiviert ist

Einen schnellen Überblick über alle aktiven Geräte im Netzwerk liefern - neben der Verwaltungsoberfläche des Routers - Befehle in der Eingabeaufforderung, in PowerShell oder spezielle IP-Scanner. Die zu Beginn dieses Beitrages zusammengestellten PowerShell-Befehle geben einen schnellen Überblick über alle Geräte im lokalen Netzwerk und machen spezielle Programme für das Scannen des Netzwerks eventuell überflüssig. Wer die Befehle gerne in Aktion sehen will, kann dies in meinem YouTube-Video. Für...


PING mit Port - Windows cmd | PowerShell: Test-Netconnection

Mit dem Tool Ping kann bekanntlich der Zugriff zu einem bestimmten Netzwerkgerät und dessen Antwortzeit getestet werden. Nicht alle Geräte antworten auf einen Ping, möglicherweise aber auf einen bestimmten TCP-Port, vorausgesetzt, es wird darüber ein bestimmter Netzwerkservice zur Verfügung gestellt. Windows PowerShell ermöglicht es, einen bestimmten Port mit Windows Bordmitteln zu testen. Das Tool PSping kann zudem die Antwortzeit auf einen bestimmten Port messen. Wer die Befehle gerne in Aktio...


NAS selber bauen: flexibel, stromsparend und gĂĽnstig [HowTo]

Wer nach einem NAS (Network Attached Storage oder Netzwerkspeicher) für den Heimgebrauch sucht, kommt an den Herstellern Synology und QNAP nicht vorbei. Beide Hersteller liefern kleine NAS-Komplettlösungen mit der Möglichkeit, Daten lokal oder über das Internet zu synchronisieren und beide verlangen für die verwendete Hardware nicht gerade wenig Geld.

Fragen / Kommentare


Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details