OpenVPN AS Docker und Zugriff nur auf bestimmte Services erlauben

  • Hallo und hi,

    kann mir ggf. Jemand sagen, ob es möglich ist, das routing ins lokale Netzwerk über den OpenVPN AS so zu konfigurieren, dass es Benutzer abhängig ist?

    ich würde gerne meinem Bruder und meinen Eltern ein Kodi einrichten, und ggf. Zugriff über VPN auf meinen Embyserver gestatten.
    Allerdings, da würde ich den Zugriff gerne soweit einschränken, dass diese nur Zugriff auf den Server haben, und nicht auf weitere PCs bei mir zuhause.
    Gleichzeitig aber benötige ich ein OpenVPN Profil für mich (tablet und Laptop) welches aber auch kompletten Zugriff innerhalb meines LANs hat.

    funktioniert das über den OpenVPN AS, oder muss ich da mehr machen?
    Kenne mich mit den ganzen Linux und Firewall / Routing / NAT Gedöhns nicht ganz so gut aus...
    Habe aktuell den OpenVPN AS für mich eingerichtet, und ich kann damit im ganzen Netzwerk hantieren, das funktioniert auch wunderbar.

    jetzt wollte ich bei meinem Bruder weitermachen, aber finde auf Anhieb keine Einstellung, Bzw wüsste nicht, ob ich sein OpenVPN Profil so einrichten kann, dass er nur auf den Embyserver zugreifen kann über den VPN Zugang... :(


    Grüße
    Rain


    Edit: letsencrypt habe ich auch (noch) nicht. Und Emby Zugriff ohne VPN wollte ich vermeiden. :(
    (Das wäre wohl die einfachste Variante ^^)


    Edit2: zum Beispiel, was ich gefunden habe, sind Gruppen im OpenVPN AS... dort kann man den Zugriff beschränken... perfekt wäre es, wenn ich in das „Access To“ so was schreiben könnte, dass wirklich sogar nur der Emby Server möglich ist, also, auch weitere Services die auf dem Unraid laufen nicht erreichbar wären...

    quasi ein Eintrag im Access Control: yes
    Alow Access To: 192.168.0.2:tcp/1234, EmbyServer
    Sofern der Emby eben auf der ip und dem tcp Port läuft...

  • Ein Zugriff über OVPN ist möglich aber du wirst etwas an Ressoucen verlieren daher würde ich nicht unbedingt darauf bestehen.
    Es gibt zwar bessere Lösungen nur ist man dann auf Clientseite wieder eingeschränkt wenn es dafür kein Addon oder Programm gibt.
    Ich empfehle daher es ganz regulär zu machen. Mit dem nginx-proxy-manager handlest du die Weiterleitung und die SSL Verschlüsslung.
    Zu DynDNS gibt es noch ein paar tricks wie du mehr Adressen aktualisieren kannst ohne einen Docker dafür zu benutzen.

    In Emby musst du dann deine Benutzeranmeldung verstecken und die USER zu sicheren Passwörtern zwingen und somit läuft wirklich alles ohne Probleme und du musst dir dann auch nicht wirklich einen Kopf machen.

    Ich bin auch der Meinung mit dem openVPN-AS Docker kannst du nur max 2 User/Geräte bedienen und somit könntest du dann auch nicht mehr über VPN zugreifen, nur deine Famile.

    Außerdem, wenn du auf alle deine Shares Benutzerfreigeabn hast, musst du dir auch keinen Kopf machen das da keiner rumschnüffelt wenn du dennoch einen VPN nutzen möchtest

    Externer Inhalt peer2profit.co
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
  • Mit den zwei aktiven VPN Verbindungen stimmt. Deshalb war ich am überlegen, ob das bei meinen Eltern wirklich sein muss, hauptsächlich auf jeden Fall mein Bruder, und ich auch nur wenn unterwegs.
    Falls doch de zweite Zugang von meinen Eltern belegt sein sollte, habe ich am Handy immer noch den Fritzbox VPN und könnte notfalls, wenn es ganz dringend ist, entweder darüber gehen, oder jmd andren aus dem OpenVPN kicken ^^

    nginx proxy, ist der Emby Server, auch trotz ssl und sicherem Kennwort immer noch per www von überall aus zu erreichen... das ist, was mir nicht gefällt.
    bei der OpenVPN Variante gehts halt nur mit der ovpn Datei und dem Kennwort.
    Und dann halt den Emby auch nur innerhalb des privaten Netzwerks erreichbar zu machen.
    Upload hab ich aktuell 25 Mbit, und das wird bei meinem Bruder auch nur über transcoding was angezeigt.


    naja, nicht alle Shares haben Benutzer und Kennwort (nur die interessanten), aber es geht eben auch um die andren Services die hier noch laufen, wo nicht unbedingt Zugriff möglich sein soll,
    Pihole, MySQL, paperless, oscam, tvheadend, usw, sprich, nicht nur die Freigaben „schützen“ auch das, was hier sonst noch so nebenbei läuft, wo mein Bruder (sei es bewusst, oder unbewusst) rumstellen kann.
    (Die services haben der Einfachheit für mich alle keine Zugangsdaten ^^)

  • Noch ne Frage zum
    nginx-proxy-manager

    wenn man den benutzt, wie sehen dann die portweiterleitungen in der fritzbox aus?
    Z.b. Tvheadend, habe ich aktuell zwei Freigaben, für die Webseite und den stream.

    muss ich das in Zukunft auch machen und zusätzlich noch bei dem nginx?
    Oder dann nur noch beim nginx?

    alles so verwirrend ;(

  • Ich hatte ähnliche Bedenken.
    Nach einigem testen und Prüfung der Logfiles hab ich gesehen, dass so gut wie keine unerwünschten Anfragen von außen kommen.

    Bei mir läuft der Embyserver hinter einem Apache Reverseproxy mit SSL Zertifikat von letsencrypt.
    Zusätzlich hab ich noch fail2ban am Laufen gegen Bruteforce-Attacken.
    Fail2ban hat seit Monaten nicht angeschlagen funktioniert nach eben gefahrenen Test im Falle einer Attacke.

    Sicheres Passwort ist für einen Dienst im Web selbstverständlich.

    Nach außen ist nur der 443 am Router auf den Reverseproxy weitergeleitet. Den Rest handle ich mit Subdomains am Proxy.
    Beispiel Emby: emby.meinedomain.at
    Beispiel Nextcloud: nextcloud.meinedomain.at

    Ich bin bei weitem kein Linux-Profi aber mit ein bisschen Einlesen ist das machbar.

  • Mmmh...
    Nach ein paar Spielereien in der letzten Stunde...
    Irgendwie gefällt mir das...
    Aber bin grad bisschen zu müde das genauer anzusehen...

    hast du im reverseproxy dann für Emby auch streams quasi weiterleiten müssen?
    Bzw muss man das für tvheadend?

  • Bitte kein Thread-HiJacking :D

    Aber beantworten tu ich deine Frage dennoch @nicer0us ... habe nach kurzem Googeln, diesen Dienst hier gefunden, welcher Wildcard Support anbietet: http://www.ddnss.de
    Kenne ihna ber auch nicht... ;)

    @Alle und @Cineologe Nochmal die Grundsätzliche : Welchen Vorteil biette der Reverseproxy gegenüber einer simplen Portfreigabe im Router, außer dass ich mir die ganzen Ports nicht merken muss?

  • @AcidRain

    Der Vortei besteht darin das durch einen Reverse Proxy die Adresse sich nicht ändert und du immer Zugriff über die selbe Adresse (gesichert und gecached) hast und denn deine IP ändert sich in der Regel immer wieder und du einen schnelleren Zugriff auf deine Domain hast.

    Hier eine Erklärung was ein Reverse Proxy ist.
    https://www.ionos.de/digitalguide/s…-reverse-proxy/

    Ich empfehle Duckdns wenn es kostenlos sein soll denn dort geht einges einfacher und du musst dich wie bei vielen kostenlosen Anbietern nach 30 Tagen nicht neu aktivieren.
    In unraid kann man easy mit dem Userscripts Addon die Abfrage der IP automatisiert übernehmen lassen.
    Siehe dazu die Einstellungen für einen Raspberry Pi uns dessen scripte

    Externer Inhalt peer2profit.co
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

    Einmal editiert, zuletzt von Cineologe (6. April 2020 um 15:43)

  • @AcidRain

    Der Vortei besteht darin das durch einen Reverse Proxy die Adresse sich nicht ändert und du immer Zugriff über die selbe Adresse (gesichert und gecached) hast und denn deine IP ändert sich in der Regel immer wieder und du einen schnelleren Zugriff auf deine Domain hast.
    [...]

    naja, das macht ja nicht der Proxy, das macht ja der dyndns Dienst ebenfalls mit den Ports-Freigaben.

    den Rest schaue ich mir mal an...


    was @Publish3r schreibt, DAS nenn ich mal ein Argument,
    Im Endeffekt ist nur ein Port nach außen hin offen.


    Bzgl duckdns, bin ich blind oder sehe ich es richtig, dass man sich nur über Drittanbieter (Google, Twitter, github...) anmelden kann? Wie gut dass ich nichts davon habe :D

  • Ich dachte mir das ich allgemein über das ganze schreibe was der Ngnix Proxy Manager macht denn ich kenne ja nicht deinen Wissenstand.
    Sei es drum, Caching und Sicherheit ist wohl das was du lesen wolltest. ;)

    Externer Inhalt peer2profit.co
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!