Vraag


  • Zorian
  • Registratie: Maart 2010
  • Laatst online: 22:49

Zorian

What the fox?

Topicstarter
Mijn vraag

Ik ben in het bezit van een fysieke server in een datacenter waarop momenteel TrueNAS CORE 12.0-U2.1 draait. De server hangt direct aan het internet met een publiek IP toegewezen. Er is geen router, firewall of andere zaken present voor de server.

Binnen TrueNAS zijn pools aangemaakt van een paar grote schijven. De bedoeling is dat de data op die schijven via internet toegankelijk gemaakt kan worden, maar op zodanige wijze dat het beveiligd en veilig is. Dus denk aan alternatieve poorten, encryptie etc.

Allereerst moet de data beschikbaar zijn via het internet op een 2e fysieke server welke ook in het datacenter hangt met zijn eigen publieke IP. Deze server draait Ubuntu LTS 20.04.2 en het is me gelukt om met SSHFS een verbinding op te zetten en de schijven te mappen/mounten op de betreffende server. De rechten zijn goed gezet en ik kan succesvol bestanden lezen en schrijven op die server. Tevens draait dit ook niet op de default SSH poort maar heb ik SSH (en dus ook SSHFS) via een alternatieve poort lopen.
Dit deel is dus wat mij betreft klaar en succesvol.

Ten tweede moet de data beschikbaar zijn op mijn persoonlijke computer thuis met Windows 10 Pro via "Map network drive", oftewel Samba share. Nou weet iedereen dat Samba niet bepaald... veilig is. Tevens blokkeren sommige ISP's Samba. Mijne doet het gelukkig niet, maar ik weet dat o.a. Ziggo dat wel doet. Je kan dus ook geen mapping maken als je Ziggo hebt.

Waar ik nu dus tegenaan loop is dat ik maar geen fatsoenlijke manier kan vinden om de pool/share van TrueNAS op mijn Windows 10 PC te mounten alsof het een netwerkschijf is en dus bestanden kan openen en bewerken erop.

Ik heb reeds gekeken of er opties zijn om bijvoorbeeld Samba via een andere poort te laten lopen om de poortblokkade (445) te omzeilen. Luie methode uiteraard want het blijft onbeveiligd, maar dit kan niet echt helaas.

Ik heb SSHFS for Windows geprobeerd, maar dit wou met geen mogelijkheid verbinding maken.

Iets als (S)FTP of WinSCP gebruiken werkt om bij de bestanden te komen natuurlijk, maar ik mis dan het aspect 'het werkt als een lokale schijf' zoals dat bij een networkmapped drive het geval is. Dit is namelijk een grote wens van mij om het wel als zodanig te hebben.

Heeft iemand nog een suggestie om de share van TrueNAS als networkdrive te kunnen mounten onder Windows 10, en dat graag ook nog eens op veilige manier? Ben hier nu al heel lang mee bezig maar ik kan werkelijk niks vinden dat lijkt te werken. Ja, het werkt als gewone Samba share wel, maar aangezien het niet veilig is om het zo te doen wil ik het donders graag anders aan gaan pakken.

Weet gelukkig het nodige af van Linux en Windows, maar dit zit voor mij net weer op een terrein waarin ik nog dingen bij te leren heb. Vandaar dat ik hoop dat iemand me in de juiste richting kan duwen. :)

[Voor 6% gewijzigd door Zorian op 23-03-2021 16:40]

Alle reacties


Acties:
  • +2Henk 'm!

  • DutchKel
  • Registratie: Mei 2002
  • Laatst online: 00:07
Zet een VPN verbinding op naar de server en gebruik samba. Dat lijkt me het makkelijkste.

Overigens een andere poort gebruiken voor ssh is NIET veiliger dan ssh op de standaard poort draaien. Hier hebben ze fail2ban voor uitgevonden om ssh veiliger te maken.

Don't drive faster than your guardian angel can fly.


  • Zorian
  • Registratie: Maart 2010
  • Laatst online: 22:49

Zorian

What the fox?

Topicstarter
DutchKel schreef op dinsdag 23 maart 2021 @ 16:42:
Zet een VPN verbinding op naar de server en gebruik samba. Dat lijkt me het makkelijkste.

Overigens een andere poort gebruiken voor ssh is NIET veiliger dan ssh op de standaard poort draaien. Hier hebben ze fail2ban voor uitgevonden om ssh veiliger te maken.
Fail2Ban moet ik inderdaad nog opzetten, maar nog niet de tijd en moeite genomen om me hierin te verdiepen aangezien ik eerst dit wou oplossen. :p
Nou vraag ik me wel af, als ik die VPN zou opzetten, dan loopt toch al mijn verkeer via die server? Want dat gaat weer een beetje te ver. Wil gewoon via mijn eigen IP internetten namelijk.

Acties:
  • +1Henk 'm!

  • DutchKel
  • Registratie: Mei 2002
  • Laatst online: 00:07
Zorian schreef op dinsdag 23 maart 2021 @ 16:44:
[...]

Fail2Ban moet ik inderdaad nog opzetten, maar nog niet de tijd en moeite genomen om me hierin te verdiepen aangezien ik eerst dit wou oplossen. :p
Nou vraag ik me wel af, als ik die VPN zou opzetten, dan loopt toch al mijn verkeer via die server? Want dat gaat weer een beetje te ver. Wil gewoon via mijn eigen IP internetten namelijk.
Je kunt al het verkeer via de vpn laten lopen, maar je kunt er ook voor kiezen om bepaald verkeer (alleen het ip adres/subnet van de server) via de vpn te laten lopen. Het is afhankelijk van de routing table aanpassingen die je door de vpn laat doorvoeren.

Ik denk dat ik je weer heel wat meer woorden heb gegeven waar je in Google mee vooruit kunt.

Om te starten kun je je eens inlezen in openvpn. Die werkt redelijk simpel in Linux.

Don't drive faster than your guardian angel can fly.


  • Zorian
  • Registratie: Maart 2010
  • Laatst online: 22:49

Zorian

What the fox?

Topicstarter
DutchKel schreef op dinsdag 23 maart 2021 @ 16:48:
[...]

Je kunt al het verkeer via de vpn laten lopen, maar je kunt er ook voor kiezen om bepaald verkeer (alleen het ip adres/subnet van de server) via de vpn te laten lopen. Het is afhankelijk van de routing table aanpassingen die je door de vpn laat doorvoeren.

Ik denk dat ik je weer heel wat meer woorden heb gegeven waar je in Google mee vooruit kunt.

Om te starten kun je je eens inlezen in openvpn. Die werkt redelijk simpel in Linux.
Oef, routing tables... Vorige keer dat ik daar aan heb zitten sleutelen heb ik het hele OS vernaggeld. :+
OpenVPN heb ik vroeger wel gebruikt inderdaad, toendertijd liep alles via die VPN vervolgens. Enige nadeel wat ik daarbij ondervond is de beperkte bandbreedte die je dan hebt. Zeker aangezien ik thuis een gigabit pijplijn heb liggen merk je het wel als die afgeknepen wordt. :p

  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 01:56
Kan je niet gebruik maken van WebDav? Ik heb geen TrueNAS ervaring maar dat lijkt mij wat jij wilt. Overigens zijn poorten aanpassen geen beveiliging he. Two factor authentication is (één van) de bescherming die jij nodig hebt in dit geval.

  • Zorian
  • Registratie: Maart 2010
  • Laatst online: 22:49

Zorian

What the fox?

Topicstarter
Archie_T schreef op dinsdag 23 maart 2021 @ 17:20:
Kan je niet gebruik maken van WebDav? Ik heb geen TrueNAS ervaring maar dat lijkt mij wat jij wilt. Overigens zijn poorten aanpassen geen beveiliging he. Two factor authentication is (één van) de bescherming die jij nodig hebt in dit geval.
Dat is inderdaad een goeie. Ik heb even ingelezen en een WebDAV share gemaakt.
Dit lijkt inderdaad redelijk te werken.
Enige rare is dat het voor de ene share wel werkt, en bij de ander krijg ik deze error in mijn gezicht geworpen:



Zal wel weer ergens een permission zijn die niet goed staat, heb daar wel vaker oorlog mee. ;(
Map lijkt identiek te staan aan de andere shares (root:wheel) maar alsnog zegt ie neen.

//Edit: Het hilarische is dat ie wel een verbinding lijkt op te zetten, alleen mag je hem niet openen. :+

[Voor 8% gewijzigd door Zorian op 23-03-2021 17:46]


  • amx
  • Registratie: December 2007
  • Laatst online: 24-05 21:54
Zorian schreef op dinsdag 23 maart 2021 @ 16:34:
Mijn vraag

Binnen TrueNAS zijn pools aangemaakt van een paar grote schijven. De bedoeling is dat de data op die schijven via internet toegankelijk gemaakt kan worden, maar op zodanige wijze dat het beveiligd en veilig is. Dus denk aan alternatieve poorten, encryptie etc.
Als ik dit lees, weet ik niet of een VPN wel de oplossing is die je zoekt. De share moet namelijk benaderbaar zijn vanaf het internet? lees: iedereen die kan aanmelden heeft toegang tot de shares?

Is een setup met 2FA dan niet veiliger? of een aanmelding via public key authentication?

Met een VPN zorg je er juist voor dat de shares alleen via een tunnel benaderbaar zijn, of dat je als je de shares naast de vpn tunnel ook publiek deelt, je je thuisnetwerk minder veilig maakt.

SMB is denk ik af te raden zonder goed over de risico's na te denken. Zie ook dit frontpagebericht
nieuws: Malwarebotnet groeit door zwakke Windows-wachtwoorden te raden

Alternatief:
iets als nextcloud? zowel via client als via Webdav share in te richten

[Voor 17% gewijzigd door amx op 24-03-2021 16:23]


  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Niet doen niet doen niet doen.

Edit: te vroeg geplaatst. Je wilt echt alleen VPN-verkeer toestaan tot de server (ander verkeer hoeft niet langs die server, 'gewoon' op de client de standaard gateway niet aanpassen naar de VPN server). En daarna kan je 'gewoon' Samba gebruiken.

[Voor 80% gewijzigd door F_J_K op 24-03-2021 16:29]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • amx
  • Registratie: December 2007
  • Laatst online: 24-05 21:54
tenzij je de VPN server op het thuisnetwerk plaatst. Kan de Ubuntu server inmiddels wel voorzien van Fail2Ban als VPN client mooi meedoen in het thuisnetwerk en van daaruit de Samba shares delen. en geen routing problemen voor je thuis pc.

  • Zorian
  • Registratie: Maart 2010
  • Laatst online: 22:49

Zorian

What the fox?

Topicstarter
Inmiddels is er het nodige gebeurd (buiten mijn macht om, met de machine) en heb ik besloten het over een geheel andere boeg te mikken. Het OS gaat omgekat worden naar Ubuntu, er komt een VPN op en Fail2Ban en IP whitelists. De Samba gaat vervallen en ga een SSHFS tunnel graven die alleen aan gaat op momenten dat het nodig is.
Ieder bedankt voor het meedenken. :)

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Waarom gebruik je niet iets als Nextcloud en als je een veilig simpel te managen OS zoekt kijk ook eens naar ClearOS werkt makkelijk snel en veilig.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • Zorian
  • Registratie: Maart 2010
  • Laatst online: 22:49

Zorian

What the fox?

Topicstarter
Frogmen schreef op vrijdag 26 maart 2021 @ 11:16:
Waarom gebruik je niet iets als Nextcloud en als je een veilig simpel te managen OS zoekt kijk ook eens naar ClearOS werkt makkelijk snel en veilig.
Er komt o.a. een Plex library achter te hangen met daarop dus ook de Plex Server zelf. :) En heb geen goeie ervaringen met Nextcloud helaas. Veel instabiliteit en slecht werkende apps/webgui die eruit knalt of heel traag is.

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Clearos heeft standaard de plex app paar klikken en geinstalleerd.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • Zorian
  • Registratie: Maart 2010
  • Laatst online: 22:49

Zorian

What the fox?

Topicstarter
Frogmen schreef op vrijdag 26 maart 2021 @ 22:03:
Clearos heeft standaard de plex app paar klikken en geinstalleerd.
Interesting. :) Ik ga eens even kijken, het zegt me momenteel nog niet zoveel. Thanks voor de tip.

  • FreshMaker
  • Registratie: December 2003
  • Niet online
Anders even inlezen in Zerotier ?

Ik speelde met nagenoeg hetzelfde idee / probleem, ik kreeg mijn thuisnetwerk maar niet 'goed' gekoppeld aan mijn VPS ( waar Plex e.d op staan )

Met zerotier is het me gelukt om een klein netwerk op te zetten naast mijn thuis-situatie

Als ik naar het ipadres ga wat ik in ZT heb gekregen, krijg ik de shares te zien van mijn VPS, en andersom, ik kan media afspelen die hier lokaal staan (nog niet optimaal, want te weinig upload, maar glas is onderweg )

Ik ben geen OS-expert, maar had het in een kleine 2 dagen up en running
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee