Lange habe ich ein VPN (Virtual Private Network) für den Zugriff auf das Heimnetzwerk vom Internet verwendet. Und lange dachte ich, dass ein VPN für den Zugriff auf Daten oder Geräte im eigenen Netzwerk alternativlos ist. Das VPN ermöglicht eine Verbindung vom Internet auf das eigene Netzwerk (LAN), ganz so als würde sich das Gerät im WLAN zu Hause befinden. Doch brauche ich wirklich einen Zugriff auf das komplette Netzwerk? Wäre es nicht besser nur bestimmte Services freizugeben? Was wird vom eigenen Netzwerk unterwegs benötigt? Der Zugriff auf den PC zu Hause? Auf Dateien des NAS? Auf das SmartHome? Gar nichts?

Die Cloud funktioniert einfach

Ein Großteil der Nutzer hat heute keine Notwendigkeit auf das eigene Netzwerk oder den eigenen PC von unterwegs zugreifen zu müssen. Wer seine Daten einem Cloud-Anbieter wie Google oder Apple anvertraut kann darüber jederzeit über das Internet verfügen. Auch bestimmte Geräte, wie eine Überwachungskamera, der Saugroboter, aktuelle NAS-Systeme oder andere Smart Home-Lösungen bieten in der Regel eine Anbindung zu einem Cloud-Service, gesteuert meist über eine eigene App. Geräte, die im eigenen Netzwerk über einen Cloud-Anbieter vom Internet erreichbar sind, bauen eine ausgehende Verbindung zum Cloud-Anbieter auf. Auch die zugehörige App am Smartphone baut eine Verbindung zum Cloud-Service auf, dieser steuert die beiden Verbindungen und ermöglicht damit unter anderem auch den Zugriff auf das eigene Netzwerk. Gerade jene, die sich wenig mit dem Thema befassen, finden in der Cloud einfache Lösungen. Die Cloud ist aber ein Sammelsurium von verschiedenen Anbietern und deren im Internet gehosteter Webservices. Entsprechend handelt es sich bei der Cloud um viele verschiedene Insellösungen. Die größten Anbieter für derartige Insellösungen sind dabei die bekannten Anbieter: Microsoft, Google, Apple und Amazon. Auch wenn deren Services nicht oder nur teilweise miteinander kompatibel sind, haben sie zumindest eines gemeinsam: Die Anbieter wollen mit deren Services Geld verdienen. Die Alternative ist dann eigentlich nur, die Daten zu Hause abzulegen. Aber was ist mit den ganzen Annehmlichkeiten, die uns die Cloud beschert? Wie kann auf die Daten zu Hause mit einem einfachen Browser oder einer App zugegriffen werden?

Besser als VPN und unabhängiger als die Cloud: Eigene private Webservices

Ich habe zwar ein VPN im Einsatz, benötige dieses aber kaum mehr. Nicht weil ich meine Daten bei einem Cloud-Anbieter gehostet habe, der Grund ist vielmehr, dass ich für alle relevanten Daten entsprechende Webservices sicher mit HTTPS im Internet veröffentlicht habe, ganz ohne Cloud-Anbieter. Dabei bin ich kein Gegner von Cloud-Services, im Gegenteil für bestimmte Geräte nutze auch ich Cloud-Services, zum Beispiel bei meinem Saugroboter. Dennoch liegen all meine Dokumente und Fotos auf meinem eigenen Server, zur Verfügung gestellt von einer lokalen Nextcloud-Instanz. Auch beim SmartHome setze ich auf eine Open-Source-Lösung, welche gänzlich zu Hause läuft, siehe: Home-Assistant. Die Services sind über eine normale URL über das Internet erreichbar, ganz wie bei einem Cloud-Anbieter, was einen sehr ähnlichen Komfort bietet. Damit der Zugriff auch sicher ist, setzte ich den Let´s Encrypt-Reverse-Proxy Traefik ein. Der Aufruf erfolgt dabei verschlüsselt und direkt auf die freigegebenen Services. Im Vergleich dazu würde ein VPN das komplette Netzwerk verbinden und dabei auch einen Zugriff auf Geräte ermöglichen die nicht benötigt werden.

Sicherheit VPN vs. HTTPS Webservices

Wird für einen Webservice HTTPS und eine aktuelle Verschlüsselung verwendet, gilt die Verbindung als sicher. Die Sicherheit ist weniger von der Übertragung, sondern vielmehr von den einzelnen Services abhängig: Wie deren Authentifizierung umgesetzt ist. Neben der Verwendung von möglichst sicheren Passwörtern sollte im Webservice eine MFA-Authentifizierung (Multi-factor authentication), also ein 2ter Faktor für die Anmeldung eingerichtet werden. Viele Webservices bieten MFA über eine Authenticator-App am Handy an. Sollte der Service kein MFA bieten, bzw. wer dem Service an sich nicht vertraut, kann über Traefik eine zusätzliche Anmeldung einrichten. Damit findet erst nach der Anmeldung am Reverse-Proxy eine Verbindung zum Webservice statt. Neben einem Benutzernamen mit zugehörigem Passwort können für die Anmeldung auch andere Anmeldeanbieter verwendet werden. Als Beispiel, siehe: Traefik Google-Authentifizierung. Für den Webservice selbst ist optional erneut eine Anmeldung erforderlich.

Ist ein VPN der falsche Weg?

Ich will jetzt nicht behaupten, dass ein VPN grundsätzlich der falsche Weg ist, vielmehr könnte ein Großteil der Zugriffe auch ohne VPN, wesentlich komfortabler und granularer, zur Verfügung gestellt werden: bei Bedarf auch für Andere. Als Beispiel könnten die letzten Urlaubsfotos einfach über die private Cloud freigegeben werden. Für bestimmte Personen auch mit einem Schreibzugriff, was die Ablage der Dateien auf bestimmte Ordner erlaubt. An dieser Stelle limitiert den verfügbaren Speicherplatz rein die Festplattenkapazität der privaten Cloud. Für bestimmte Webservices existieren zudem eigene Smartphone-Apps, wodurch die Benutzerfreundlichkeit der eines richtigen Cloud-Service gleicht. Der Zugriff auf ein Gerät im eigenen Netzwerk könnte konkret wie folgt aussehen:

"Nur" bestimmte Webservices veröffentlichen, nicht das ganze Netzwerk

Wer zu Hause einen eigenen Server betreibt, kann damit einzelne Services, hier in Form von Docker-Containern freigeben. Für den Zugriff habe ich 2 verschiedene Varianten getestet:

• Variante 1: Zugriff über die IP des Internetanbieters mit Port-Forwarding am Router und Docker Reverse-Proxy
• Variante 2: Zugriff über Cloudflare

Für beide Varianten wird eine registrierte Domain vorausgesetzt, siehe: Website Baukasten vs. Webspace oder ein eigener Webserver?

Variante 1: Port-Forwarding und Docker-Reverse-Proxy

Im Detail könnte der Zugriff über einen öffentlichen Domainnamen (DNS) auf die Services eines Mini-PCs erfolgen:

Legende:

1. URL für den Zugriff auf die eigenen Webservices: Eigene Domain/DNS oder: free DynDNS Service - Zugriff bei wechselnder öffentlicher IP.
2. Zugriff auf das eigene Netzwerk zu Hause: aus dem Internet verfügbar machen: Port-Forwarding - OpenWRT
3. Hardware: NAS selber bauen: flexibel, stromsparend und billig [HowTo] oder Mini PC als Server
4. Betriebssystem (OS) und Docker-Installation: Ubuntu Server und Docker installieren - Snap vs. Apt
5. Zugriff über https:// inklusive Let´s Encrypt Zertifikate: sichere https Verbindung: Traefik Reverse Proxy + Let´s Encrypt
6. selbst gehostete und im Internet veröffentlichte Webservices

Variante 2: Zugriff über Cloudflare

Alternativ zu einem direkten Zugriff auf die öffentliche IP-Adresse des Internetanschlusses kann auch ein Tunnelservice wie Cloudflare zwischengeschaltet werden:

Legende:

1. URL für den Zugriff auf die eigenen Webservices: Eigene Domain/DNS.
2. Cloudflare Tunnel-Setup,siehe: Eigene Webservices zu Hause mit Cloudflare veröffentlichen
3. Hardware: NAS selber bauen: flexibel, stromsparend und billig [HowTo] oder Mini PC als Server
4. Betriebssystem (OS) und Docker-Installation: Ubuntu Server und Docker installieren - Snap vs. Apt
5. Cloudflare Tunnel-Connector, siehe: Eigene Webservices zu Hause mit Cloudflare veröffentlichen
6. selbst gehostete Webservices

Beispiele für selbst gehostete Webservices

• Nextcloud , siehe : Nextcloud Server Docker | Einrichtung +https: Let’s Encrypt [ssl]
• Home-Assistant, siehe : Alles zu Home Assistant: Inbetriebnahme + Integration + Betrieb
• Docker Mailserver, siehe : Docker Mailserver selbst betreiben | ein Erfahrungsbericht
• GitLab, siehe : GIT-Repositories selbst hosten: GitLab als Docker-Container starten
• Gitea , siehe : Schlanker und schneller GIT-Server, ähnlich GitHub (Docker)
• webhookd, siehe : Docker WebHook Daemon: einfacher Hook-Server für Bash-Skripts
• WordPress, siehe : WordPress in Docker inkl. HTTPS Let's Encrypt-Setup
• Laravel, siehe : mein Docker-Webserver Setup für Laravel - Konfig im Detail
• Bitwarden, siehe : Bitwarden in Docker betreiben - Setup Schritt für Schritt
• Uptime Kuma, siehe : Webseiten überwachen mit Uptime Kuma
• Portainer, siehe : Docker Container GUI grafische Weboberfläche mit Portainer
• Matomo, siehe : Besucherstatistik: Matomo, Google Analytic Ersatz selbst hosten

Fazit

Mit oder ohne VPN: Zunächst müssen die Daten im eigenen Netzwerk von einem bestimmten Gerät bereitgestellt werden. Ein normaler PC bietet sich dafür nur bedingt an, da dieser zum Zeitpunkt des Zugriffs eingeschaltet werden müsste oder, sollte dieser ständig laufen, relativ viel Strom verbrauchen würde. Zudem stellt sich die Frage in welcher Form die Daten zur Verfügung gestellt werden können. Eine mögliche Lösung ist eine eigene Hardware, in Form eines Mini-PCs. Ein Mini-PC benötigt relativ wenig Strom und ermöglicht den Einsatz bestimmter Webservices. Private Webservices liefern einen ähnlichen Komfort wie entsprechende Cloud-Dienste der bekannten Anbieter, und: die Einwahl mittels VPN entfällt.