Wooo seid ihr?

Zitat von martin

Doch, ruhe in den logfiles.

Ja meinte das Änderung des Ports nichts bringt aus dem eben erwähnten haha

Zitat von martin

Key-Exchange-Algorithmus ..

Was genau ist das? Und wie trägt das genau zur Sicherheit bei? Ja Port ändern bringt nichts daher habe ich das auch schon lange aufgegeben. Abhalten bzw sauber halten tut fail2ban mit den restrictions.

Ernsthaft? Nur da unten die ip range rein .. puh hab jetzt einfach als Notlösung erstmal den Traffic geblockt.. will den von ja nur zum arbeiten haben. Ja aber wenn tut was es tut dann wäre das supi.

Danke dir

Geht chef

Zitat von Syntafin

1. Sudo ist eh schon installiert

Ja war wieder angeberei von mir haha ist eh schon drauf .. zumindest wenn der Anbieter die ISOs gepflegt hat. Hatte auch schon bei „kleineren“ Anbietern teilweise so das tatsächlich ohne Sudo daher Kam .. und wiederum hatten auch 2 3 Anbieter minimal ISOs angeboten wo auf einmal ein apache2 mit installiert wurde.

Hey,

Also ich setze bei meinen Servern jeder Art auf folgendes Setup direkt nach dem ersten Login per SSH:

1. Sudo installieren
2. Neuer User + Gruppe sudo
3. Key Login SSH + Root Login verbieten
4. VPN installieren + SSH nur noch von lokal
5. SSH Onetime Password
6. Fail2ban + ufw
7. 
   
   Und ihr so? Was machen Sachen?

Hey,

WireGuard UI kenne ich und was mich da stört ist das angelegt User bzw Clienten in einer extra dB gespeichert werden.

Die Ip Tables config ist doch Standard ???? solltest du auch eine haben.

Firewall? Hab ich nur eine .. iptables dient in diesem Falle ja nicht als Firewall.

Nachtrag: Ich kann den VPN noch 2x neuinstallieren und er wird jedes Mal am Anfang gehen und dann nicht mehr .. habs jetzt oft ausprobiert. Egal ob mit gui oder ohne.

Ich bin in 30 min daheim und schalte dann mal spaßhalber meine Hardware Firewall aus bzw lasse ausschalten und dann sehe ich ja ob es daran scheitert. Aber sollte es durch das ip tables eigentlich nicht!

Nachtrag: Durch Zufall bin ich auf die Uesache gestoßen bzw dachte eigentlich das ich diese Ursache eliminiert habe. Firewall in einem meiner Adminpanels läuft anscheinend mit ufw ..

Nachtrag Anscheinend geht jetzt alles .. ich hatte natürlich nicht berücksichtigt das ich den Weitergeleiteten Traffic pro Client extra freigeben muss die Frage die sich mich JETZT aber erst nachdem alles geht stellt: Ist es möglich eine VPN Verbindung so zu nutzen das ich quasi trotzdem das INTERNET aus meinem Zuhause nutze? Also quasi nicht über den Server aber trotzdem die aktive Verbindung zu dem habe?

Nein .0 und .3 gibt es nicht da war nur um abzuklopfen das ich auch nicht durch die falsche Tür möchte. Es gibt nur Host .1 als Server und dann .2 als Client1 etc etc

Als dns sind Google Server eingestellt und up forwarding ist aktiviert. Es ging ja alles mal ???? nslookup muss ich morgen mache habe für den Moment aufgeben.

Auszug aus den Logs auf dem Smarphone:

Zitat von martin

Die IPs sind in deinem Netzwerk nur einmal vergeben? Was sagt denn das Ping-Terminal, wenn es "nicht mehr geht"?

Ich sag’s dir wie es ist: Hätte ich mehr Infos … glaube mir ich würde sie auch geben .. aber es gibt nichts was da stehen könnte .. was mich halt wundert ist diese Geschichte mit dem ssh ..

Sobald ich im VPN bin mit dem Laptop kann ich zwar keine Webseiten mehr aufrufen erreiche aber aber die Server IP den SSH .. mit der lokalen IP kommen das oben beschriebene. Ein Ping geht auch nicht .. tatsächlich geh aber vom Server der Ping zu allen Adressen auch dem Laptop ..

Ping vom Client -> Server .. tote hose .. auch null internet BIS AUF SSH mit der EXTERNEN ip vom server .. -.-

Ping vom Server zum Client .. GEHT! Der Erste Ping Test extra ohne verbunden Clienten ..

Zitat von martin

Geht der ganze Tunnel nicht mehr oder nur einzelne Dinge (Pingen z. B.)?

Soweit ich das beurteilen kann geht der Tunnel .. aber zb ein Ping von 10.10.10.2 -> 10.10.10.1 = NULL

Will ich aber zb per ssh 10.10.10.1 dann gehts es MANCHMAL .. aber dann wieder nicht .. ich bekomme zb auf meinem Handy die NAchricht das ein Login per SSH stattfindet aber bei mir am Terminal selber tut sich kaum was ..

Nachtrag: Nun geht auch kein Internet mehr mit aktiver VPN Verbindung .. sehr merkwürdig ..

Hi,

habe seit heute Probleme mit meinem Wireguard VPN. Der VPN dient als Brücke in das lokal Netz des Server und dort dann per SSH weiter.

Habe jetzt alles schon des öfteren neu installiert und komischerweise läuft es dann bis zu einem geiwssen Punkt .. und ab dann geht zb das Pingen von Laptop zu Server nicht mehr ..

So sieht meine wg0.conf aus:

[Interface]
Address = 10.10.10.1/24
PrivateKey = xxx
ListenPort = 51820

[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.10.10.2/32

So zb meine client.conf ->

[Interface]
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4
PrivateKey = xxx

[Peer]
PublicKey = xxx
PresharedKey = xxxx
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = x.xxx.xx.xxx:51820
PersistentKeepalive = 25

Und so die EInträge für iptables Kram:

[Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables -t nat -A POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j SNAT --to xxx
ExecStart=/usr/sbin/iptables -I INPUT -p udp --dport 51820 -j ACCEPT
ExecStart=/usr/sbin/iptables -I FORWARD -s 10.10.10.0/24 -j ACCEPT
ExecStart=/usr/sbin/iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/usr/sbin/iptables -t nat -D POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j SNAT --to xxx
ExecStop=/usr/sbin/iptables -D INPUT -p udp --dport 51820 -j ACCEPT
ExecStop=/usr/sbin/iptables -D FORWARD -s 10.10.10.0/24 -j ACCEPT
ExecStop=/usr/sbin/iptables -D FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target

Weiss jemand Rat? Brauche unbedingt dieses Setup .. sonst schlaf ich nachts nicht mehr ruhig ..

Liebe Grüsse

Zitat von derrobin154

Ehrlich gesagt kann ich anderen nur abraten von anderen NAS System sofern es nicht was mit UnRAID ist.

Synology ist einfach liebe

Naja man hätte es definitiv anderst ausdrücken können zb: Für mich gibt’s nur eins: Syntologie oder so ???? der obeige Satz lässt ja schon fast keine anderen Anbieter mehr durch, so breit isser

derrobin154 Willkommen und danke für deinen Beitrag

????

Jup. Kann kein Premium kaufen

Zitat von martin

...

Die rote Warnseite kommt bei mir auch - aber nur mit Edge.

Edge zeigt diese Warnung unter anderem aufgrund von User Meinungen an .. du kannst ja die seite selber auch quasi melden. Ähnlich wie google Bewertungen gibts da immer wieder Trolle die meinen die müssten dich damit nerven .. Variante 1 wäre also das .. Variante 2 ist die IP .. da ich aktuell nur diesen einen kleinen Server betreibe und das zum Spass setze ich auf den Anbieter Noez und dieser hat einen gewaltigen IP Adressen Pool und auch einen riesen Verschleiss. Dementsprechend kann es vorkommen das manche IP Adressen einfach "dreckig" sind und diese daher gelistet werden/sind.

Woher ich das weiss: Hab mich da heute etwas belesen zu dem Thema aufgrund der Tatsache das es jetzt schon der 4te Hinweis ist zu diesem Thema. Nicht hier aber trotzdem dachte ich das es sinn macht sich da mal schlau zu machen.

Danke für eure Hinweise dazu

Guten Abend,

cool das sich schon 2 NAS Benutzer gefunden haben und ich bedanke mich für die verschiedenen Einsatzmöglichkeiten die ihr mir aufzeigt habt.

Folgendes Einsatzmöglichkeiten stelle ich mir vor bzw bräuchte ich:

Ablage / Speicher für Bilder & Dokument (Schwierigkeit ist hier das ich das ganze privat sowie geschäftlich nutze und zb auch Baustellen Protokolle und Kundendaten speichern muss, diese sollten natürlich verschlüsselt sein)

Kontakt WebDAV .. nennt man das so?

Filme (Ich bin mir unsicher in wieweit man heute noch Filme lokal lagert da ich ja eher der Netflix / Prime User bin. Hierbei stellt sich mir auch die frage zum gesetzlichen Rahmen)

Docker zb fände ich ganz cool für das Development .. Webserver sowas .. nginx nichts wildes .

Grüße,

mir ist aufgefallen das man nach der Registrierung die Foren regeln nicht mehr findet. Wäre dafür das man diese nochmal separat im Forum direkt aufrufen kann.

Als Beispiel würde ich zb folgende Regel noch ganz sinnig finden:

Desweiteren fände ich es sinnig wenn NICHT jeder ein Sponsoring Beitrag eröffnen kann sondern wir diese Sponsoren durch die Moderatoren / Admins prüfen lassen auf diverse Kriterien wie zb:

• Seriösität
• Homepage MIT gültigem Impressum
• Sponsorgeber mindestens 18 Jahre alt
• offizielle Verifizierung durch einen Moderator

Der Titel bedarf keiner weiteren Erklärung.

Nachtrag: Es geht hierbei natürlich um den Schutz innerhalb der Community.

Nachtrag der 2te: Ich bin der Meinung das ein „Pranger“ bei uns auch gut wäre. Zumindestens für Kontakte die durch das Forum entstehen.

So könnte das aussehen: https://breadfish.de/thread/94454-pranger-regeln/

Zitat von Syntafin

….

Wenn daheim kann ich gerne Mal einige Screenshots hier reinstellen.

Uff. Sehr gerne