https-Webservices als VPN Alternative: Zugriff auf das Netzwerk

 

Lange habe ich ein VPN (Virtual Private Network) fĂŒr den Zugriff auf das Heimnetzwerk vom Internet verwendet. Und lange dachte ich, dass ein VPN fĂŒr den Zugriff auf Daten oder GerĂ€te im eigenen Netzwerk alternativlos ist. Das VPN ermöglicht eine Verbindung vom Internet auf das eigene Netzwerk (LAN), ganz so als wĂŒrde sich das GerĂ€t im WLAN zu Hause befinden. Doch brauche ich wirklich einen Zugriff auf das komplette Netzwerk? WĂ€re es nicht besser nur bestimmte Services freizugeben? Was wird vom eigenen Netzwerk unterwegs benötigt? Der Zugriff auf den PC zu Hause? Auf Dateien des NAS? Auf das SmartHome? Gar nichts?

Die Cloud funktioniert einfach

Ein Großteil der Nutzer hat heute keine Notwendigkeit auf das eigene Netzwerk oder den eigenen PC von unterwegs zugreifen zu mĂŒssen. Wer seine Daten einem Cloud-Anbieter wie Google oder Apple anvertraut kann darĂŒber jederzeit ĂŒber das Internet verfĂŒgen. Auch bestimmte GerĂ€te, wie eine Überwachungskamera, der Saugroboter, aktuelle NAS-Systeme oder andere Smart Home-Lösungen bieten in der Regel eine Anbindung zu einem Cloud-Service, gesteuert meist ĂŒber eine eigene App. GerĂ€te, die im eigenen Netzwerk ĂŒber einen Cloud-Anbieter vom Internet erreichbar sind, bauen eine ausgehende Verbindung zum Cloud-Anbieter auf. Auch die zugehörige App am Smartphone baut eine Verbindung zum Cloud-Service auf, dieser steuert die beiden Verbindungen und ermöglicht damit unter anderem auch den Zugriff auf das eigene Netzwerk. Gerade jene, die sich wenig mit dem Thema befassen, finden in der Cloud einfache Lösungen. Die Cloud ist aber ein Sammelsurium von verschiedenen Anbietern und deren im Internet gehosteter Webservices. Entsprechend handelt es sich bei der Cloud um viele verschiedene Insellösungen. Die grĂ¶ĂŸten Anbieter fĂŒr derartige Insellösungen sind dabei die bekannten Anbieter: Microsoft, Google, Apple und Amazon. Auch wenn deren Services nicht oder nur teilweise miteinander kompatibel sind, haben sie zumindest eines gemeinsam: Die Anbieter wollen mit deren Services Geld verdienen. Die Alternative ist dann eigentlich nur, die Daten zu Hause abzulegen. Aber was ist mit den ganzen Annehmlichkeiten, die uns die Cloud beschert? Wie kann auf die Daten zu Hause mit einem einfachen Browser oder einer App zugegriffen werden?

Besser als VPN und unabhÀngiger als die Cloud: Eigene private Webservices

Ich habe zwar ein VPN im Einsatz, benötige dieses aber kaum mehr. Nicht weil ich meine Daten bei einem Cloud-Anbieter gehostet habe, der Grund ist vielmehr, dass ich fĂŒr alle relevanten Daten entsprechende Webservices sicher mit HTTPS im Internet veröffentlicht habe, ganz ohne Cloud-Anbieter. Dabei bin ich kein Gegner von Cloud-Services, im Gegenteil fĂŒr bestimmte GerĂ€te nutze auch ich Cloud-Services, zum Beispiel bei meinem Saugroboter. Dennoch liegen all meine Dokumente und Fotos auf meinem eigenen Server, zur VerfĂŒgung gestellt von einer lokalen Nextcloud-Instanz. Auch beim SmartHome setze ich auf eine Open-Source-Lösung, welche gĂ€nzlich zu Hause lĂ€uft, siehe: Home-Assistant. Die Services sind ĂŒber eine normale URL ĂŒber das Internet erreichbar, ganz wie bei einem Cloud-Anbieter, was einen sehr Ă€hnlichen Komfort bietet. Damit der Zugriff auch sicher ist, setzte ich den LetÂŽs Encrypt-Reverse-Proxy Traefik ein. Der Aufruf erfolgt dabei verschlĂŒsselt und direkt auf die freigegebenen Services. Im Vergleich dazu wĂŒrde ein VPN das komplette Netzwerk verbinden und dabei auch einen Zugriff auf GerĂ€te ermöglichen die nicht benötigt werden.

Sicherheit VPN vs. HTTPS Webservices

Wird fĂŒr einen Webservice HTTPS und eine aktuelle VerschlĂŒsselung verwendet, gilt die Verbindung als sicher. Die Sicherheit ist weniger von der Übertragung, sondern vielmehr von den einzelnen Services abhĂ€ngig: Wie deren Authentifizierung umgesetzt ist. Neben der Verwendung von möglichst sicheren Passwörtern sollte im Webservice eine MFA-Authentifizierung (Multi-factor authentication), also ein 2ter Faktor fĂŒr die Anmeldung eingerichtet werden. Viele Webservices bieten MFA ĂŒber eine Authenticator-App am Handy an. Sollte der Service kein MFA bieten, bzw. wer dem Service an sich nicht vertraut, kann ĂŒber Traefik eine zusĂ€tzliche Anmeldung einrichten. Damit findet erst nach der Anmeldung am Reverse-Proxy eine Verbindung zum Webservice statt. Neben einem Benutzernamen mit zugehörigem Passwort können fĂŒr die Anmeldung auch andere Anmeldeanbieter verwendet werden. Als Beispiel, siehe: Traefik Google-Authentifizierung. FĂŒr den Webservice selbst ist optional erneut eine Anmeldung erforderlich.

Ist ein VPN der falsche Weg?

Ich will jetzt nicht behaupten, dass ein VPN grundsĂ€tzlich der falsche Weg ist, vielmehr könnte ein Großteil der Zugriffe auch ohne VPN, wesentlich komfortabler und granularer, zur VerfĂŒgung gestellt werden: bei Bedarf auch fĂŒr Andere. Als Beispiel könnten die letzten Urlaubsfotos einfach ĂŒber die private Cloud freigegeben werden. FĂŒr bestimmte Personen auch mit einem Schreibzugriff, was die Ablage der Dateien auf bestimmte Ordner erlaubt. An dieser Stelle limitiert den verfĂŒgbaren Speicherplatz rein die FestplattenkapazitĂ€t der privaten Cloud. FĂŒr bestimmte Webservices existieren zudem eigene Smartphone-Apps, wodurch die Benutzerfreundlichkeit der eines richtigen Cloud-Service gleicht. Der Zugriff auf ein GerĂ€t im eigenen Netzwerk könnte konkret wie folgt aussehen:

"Nur" bestimmte Webservices veröffentlichen, nicht das ganze Netzwerk

Wer zu Hause einen eigenen Server betreibt, kann damit einzelne Services, hier in Form von Docker-Containern freigeben. FĂŒr den Zugriff habe ich 2 verschiedene Varianten getestet:

FĂŒr beide Varianten wird eine registrierte Domain vorausgesetzt, siehe: Website Baukasten vs. Webspace oder ein eigener Webserver?

Variante 1: Port-Forwarding und Docker-Reverse-Proxy

Im Detail könnte der Zugriff ĂŒber einen öffentlichen Domainnamen (DNS) auf die Services eines Mini-PCs erfolgen:

Legende:

  1. URL fĂŒr den Zugriff auf die eigenen Webservices: Eigene Domain/DNS oder: free DynDNS Service - Zugriff bei wechselnder öffentlicher IP.
  2. Zugriff auf das eigene Netzwerk zu Hause: aus dem Internet verfĂŒgbar machen: Port-Forwarding - OpenWRT
  3. Hardware: NAS selber bauen: flexibel, stromsparend und billig [HowTo] oder Mini PC als Server
  4. Betriebssystem (OS) und Docker-Installation: Ubuntu Server und Docker installieren - Snap vs. Apt
  5. Zugriff ĂŒber https:// inklusive LetÂŽs Encrypt Zertifikate: sichere https Verbindung: Traefik Reverse Proxy + LetÂŽs Encrypt
  6. selbst gehostete und im Internet veröffentlichte Webservices

Variante 2: Zugriff ĂŒber Cloudflare

Alternativ zu einem direkten Zugriff auf die öffentliche IP-Adresse des Internetanschlusses kann auch ein Tunnelservice wie Cloudflare zwischengeschaltet werden:

Legende:

  1. URL fĂŒr den Zugriff auf die eigenen Webservices: Eigene Domain/DNS.
  2. Cloudflare Tunnel-Setup,siehe: Eigene Webservices zu Hause mit Cloudflare veröffentlichen
  3. Hardware: NAS selber bauen: flexibel, stromsparend und billig [HowTo] oder Mini PC als Server
  4. Betriebssystem (OS) und Docker-Installation: Ubuntu Server und Docker installieren - Snap vs. Apt
  5. Cloudflare Tunnel-Connector, siehe: Eigene Webservices zu Hause mit Cloudflare veröffentlichen
  6. selbst gehostete Webservices

Beispiele fĂŒr selbst gehostete Webservices

Fazit

Mit oder ohne VPN: ZunĂ€chst mĂŒssen die Daten im eigenen Netzwerk von einem bestimmten GerĂ€t bereitgestellt werden. Ein normaler PC bietet sich dafĂŒr nur bedingt an, da dieser zum Zeitpunkt des Zugriffs eingeschaltet werden mĂŒsste oder, sollte dieser stĂ€ndig laufen, relativ viel Strom verbrauchen wĂŒrde. Zudem stellt sich die Frage in welcher Form die Daten zur VerfĂŒgung gestellt werden können. Eine mögliche Lösung ist eine eigene Hardware, in Form eines Mini-PCs. Ein Mini-PC benötigt relativ wenig Strom und ermöglicht den Einsatz bestimmter Webservices. Private Webservices liefern einen Ă€hnlichen Komfort wie entsprechende Cloud-Dienste der bekannten Anbieter, und: die Einwahl mittels VPN entfĂ€llt. 

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE fĂŒr deine Bewertung!

Aktualisiert: 08.05.2023 von Bernhard | Translation English |🔔 | Kommentare:0

➚ Unterbrechungsfreies WLAN: Roaming (Fast Transition) | ➊ Netzwerk | IP Adressen im Netzwerk finden, auch wenn deren Firewall aktiviert ist ➚
➊ Home Server | GĂŒnstiger und sparsamer Docker Mini Server fĂŒr zu Hause ➚

Top-Artikel in diesem Bereich


IP Adressen im Netzwerk finden, auch wenn deren Firewall aktiviert ist

Einen schnellen Überblick ĂŒber alle aktiven GerĂ€te im Netzwerk liefern - neben der VerwaltungsoberflĂ€che des Routers - Befehle in der Eingabeaufforderung, in PowerShell oder spezielle IP-Scanner. Die zu Beginn dieses Beitrages zusammengestellten PowerShell-Befehle geben einen schnellen Überblick ĂŒber alle GerĂ€te im lokalen Netzwerk und machen spezielle Programme fĂŒr das Scannen des Netzwerks eventuell ĂŒberflĂŒssig. Wer die Befehle gerne in Aktion sehen will, kann dies in meinem YouTube-Video. FĂŒr...


PING mit Port - Windows cmd | PowerShell: Test-Netconnection

Mit dem Tool Ping kann bekanntlich der Zugriff zu einem bestimmten NetzwerkgerĂ€t und dessen Antwortzeit getestet werden. Nicht alle GerĂ€te antworten auf einen Ping, möglicherweise aber auf einen bestimmten TCP-Port, vorausgesetzt, es wird darĂŒber ein bestimmter Netzwerkservice zur VerfĂŒgung gestellt. Windows PowerShell ermöglicht es, einen bestimmten Port mit Windows Bordmitteln zu testen. Das Tool PSping kann zudem die Antwortzeit auf einen bestimmten Port messen. Wer die Befehle gerne in Aktio...


NAS selber bauen: flexibel, stromsparend und gĂŒnstig [HowTo]

Wer nach einem NAS (Network Attached Storage oder Netzwerkspeicher) fĂŒr den Heimgebrauch sucht, kommt an den Herstellern Synology und QNAP nicht vorbei. Beide Hersteller liefern kleine NAS-Komplettlösungen mit der Möglichkeit, Daten lokal oder ĂŒber das Internet zu synchronisieren und beide verlangen fĂŒr die verwendete Hardware nicht gerade wenig Geld.

Fragen / Kommentare


Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details