Nextcloud (op TrueNAS) server, hoe extern gebruik maken?

Volgens mij heb je 2 eenvoudige opties:

1) je maakt gebruik van dyn-dns. De client zou je op je TrueNAS kunnen draaien. Deze houd de DNS uptodate met het ip van je modem. Hiervan zijn meerdere aanbieders. Op basis van de domeinnaam die je gekozen dyn-dns aanbied kun je gebruiken maken van je nextcloud.


2) je hebt al/neemt DNS beheer af bij een hostingpartij. Als je KPN ip niet/zelden veranderd, kun je dat ip aan een (sub)domein koppelen. Als je KPN ip toch een keer veranderd, moet je handmatig de DNS updaten.


Daarna forward je in je modem poort 443/tcp en 80/tcp naar je TrueNAS server. (Ervanuitgaande dat je nextcloud op je TrueNas server ook op deze poorten draait)
Op je TrueNAS server
-configureer je je webserver dat deze ook listened of servernaam op je domeinnaam matcht, zodat nextcloud geserveerd kan worden
-installeer je ook letsencrypt voor een ssl-certificaat voor je domeinnaam. (Voor letsencrypt heb je naast 443/tcp ook 80/tcp nodig meen ik).
-Daarnaast zet je op poort 80 een redirect naar poort 443.


In beide gevallen ga je vanaf internet (bv telefoon) op domeinnaam naar je modem en die forward het naar je TrueNAS server.
Wanneer je op je lan zit ga je op domeinnaam ook eerst je modem, en je modem forward je weer terug naar je TrueNAS.

Ik heb zelf een fritz modem en daarmee werkt optie (2) met port forwarding uitstekend.

[ Voor 8% gewijzigd door BHR op 17-11-2021 18:18 ]

Ik ben zelf niet bekend met Tp-link DECO, dus dat weet ik niet zeker.

Is je lokale netwerk 1 subnet? Maw, zit je modem, tp-deco en TrueNas in het zelfde ip-reeks/subnet?

Of is je modem<>tp-deco 1 subnet en je tp-deco<>TrueNas een 2de? Meerdere ip-reeks/submit maakt het ingewikkelder.

Indien 1 subnet, dan moet je alleen portfowarding in je modem in te stellen. (in modem naar TrueNas)
Indien 2 subnetten, dan moet je nog steeds portfowarding in je modem in te stellen (in modem naar deco router ip) en daarna in je deco app naar je TrueNas ip.

In alle gevallen forward je poort 443 en poort 80 naar het volgende ip.

[ Voor 9% gewijzigd door BHR op 17-11-2021 18:57 ]

@GlobularShip Ik zou het advies van @BHR niet aannemen aangezien dit de mist secure optie is. Je NextCloud direct aan het internet hangen is tegenwoordig een slecht idee (niet alleen NextCloud maar eigenlijk alles) Met alleen het advies van @BHR Ben je er namelijk niet je moet ook nog aan je security denken welke altijd tip top moet zijn wil je een veilige omgeving hebben.

Denk aan:

- HTTPS met een SSL certificaat
- Chipers welke op orde moeten zijn
- HTTP Strict Transport Security
- 2FA / MFA
- Poort security
- Firewall regels
- Update en Upgrade beheer 100%

Dit lijstje is een minimum anders zou ik er al niet eens aan beginnen. Wat ik zou adviseren is het opzetten van een VPN als OpenVPN of wireguard om je NextCloud daarmee te bereiken. Het is anders afwachten op de eerste aanvallen en mogelijk toegang tot je server.

GlobularShip schreef op woensdag 17 november 2021 @ 19:01:
@HKLM_

Bedankt! Dit hoor ik inderdaad ook vaker, hoe kan ik dit gebruiken?

Je kan het bijvoobeeld op een raspberry Pi draaien of op je router / firewall als deze het ondersteund.
Maar ook daar geld de regel: Security by design

[ Voor 7% gewijzigd door HKLM_ op 17-11-2021 19:04 ]

HKLM_ schreef op woensdag 17 november 2021 @ 18:57:
@GlobularShip Ik zou het advies van @BHR niet aannemen aangezien dit de mist secure optie is. Je NextCloud direct aan het internet hangen is tegenwoordig een slecht idee (niet alleen NextCloud maar eigenlijk alles) Met alleen het advies van @BHR Ben je er namelijk niet je moet ook nog aan je security denken welke altijd tip top moet zijn wil je een veilige omgeving hebben.

Denk aan:

- HTTPS met een SSL certificaat
- Chipers welke op orde moeten zijn
- HTTP Strict Transport Security
- 2FA / MFA
- Poort security
- Firewall regels
- Update en Upgrade beheer 100%

Dit lijstje is een minimum anders zou ik er al niet eens aan beginnen. Wat ik zou adviseren is het opzetten van een VPN als OpenVPN of wireguard om je NextCloud daarmee te bereiken. Het is anders afwachten op de eerste aanvallen en mogelijk toegang tot je server.

Ik weet niet waarom je dit als "mist secure optie" beschrijft. Hoe denk je dat hostingproviders dat anders doen?

- HTTPS met een SSL certificaat
Daarom vermeld ik letsencrypt.

- Chipers welke op orde moeten zijn
Bij een uptodate os en webserver gaat dit automatisch mee.

- HTTP Strict Transport Security
Staat in de Nextcloud documentatie: https://docs.nextcloud.co...den_server.html#use-https

- 2FA / MFA
Zit in Nextcloud: https://docs.nextcloud.co...r-auth.html?highlight=2fa

- Poort security
?

- Firewall regels
Goede toevoeging. Ik heb zelf op de server waar ik nextcloud draai in iptables alleen poort 443/tcp en poort 80/tcp openstaan. (+ poort 22/tcp vanaf mijn desktop ip)

- Update en Upgrade beheer 100%
lijkt mij in elke omgeving relevant, ook wanneer je een raspberry, openvpn of wireguard gebruikt.


---
Via OpenVPN e.d. is uiteraard veiliger. Dit vereist uiteraard ook een openvpn client op elk device dat je wil gebruiken om vanaf internet bij je nextcloud te komen, voordat deze client met je nextcloud van communiceren/sychroniseren.

[ Voor 7% gewijzigd door BHR op 17-11-2021 19:13 ]

BHR schreef op woensdag 17 november 2021 @ 19:06:
[...]


Ik weet niet waarom je dit als "mist secure optie" beschrijft. Hoe denk je dat hostingproviders dat anders doen?

- HTTPS met een SSL certificaat
Daarom vermeld ik letsencrypt.

- Chipers welke op orde moeten zijn
Bij een uptodate os en webserver gaat dit automatisch mee.

- HTTP Strict Transport Security
Staat in de Nextcloud documentatie: https://docs.nextcloud.co...den_server.html#use-https

- 2FA / MFA
Zit in Nextcloud: https://docs.nextcloud.co...r-auth.html?highlight=2fa

- Poort security
?

- Firewall regels
Goede toevoeging. Ik heb zelf op de server waar ik nextcloud draai in iptables alleen poort 443/tcp en poort 80/tcp openstaan. (+ poort 22/tcp vanaf mijn desktop ip)

- Update en Upgrade beheer 100%
lijkt mij in elke omgeving relevant, ook wanneer je een raspberry, openvpn of wireguard gebruikt.


---
Via OpenVPN e.d. is uiteraard veiliger. Dit vereist uiteraard ook een openvpn client op elk device dat je wil gebruiken om vanaf internet bij je nextcloud te komen, voordat deze client met je nextcloud van communiceren/sychroniseren.

Ik zeg ook helemaal niet dat het er niet inzit ik zeg alleen dat hoe TS het nu omschrijft en jij het aan TS adviseert het poort 80/443 open en gaan met de banaan is terwijl je dit helemaal niet moet willen.

Ik weet niet waarom je dit als "mist secure optie" beschrijft. Hoe denk je dat hostingproviders dat anders doen?

Uhm mag voor hun hopen dat dat niet alleen poort 80/443 forwarden is maar dat ze gebruik maken als iets van Azure Frontdoor, Application Proxy's, etc tools die voor de zakelijke markt beschikbaar zijn Poort

- Chipers welke op orde moeten zijn
Bij een uptodate os en webserver gaat dit automatisch mee.

Sure maar die laten vaak oude aanstaan en die wil je ook uit hebben.

GlobularShip schreef op woensdag 17 november 2021 @ 19:18:
@BHR

Zie sceenshot, dit is in de app van de deco's. Als ik naar mijn gateway ga, kom ik op de login van mijn gewone modem uit. Zegt dit meer over de config van mijn netwerk?

Ik ben nog maar een dummy, dus als ik rare vragen stel...

Mijn excuus als ik flauw overkom, maar hier ga ik toch eerst een stap terug doen. Als je jezelf als dummy/beginner met netwerken wil omschrijven, zou ik nextcloud nog niet via internet benaderbaar maken. Er zijn een aantal configuratie opties in je router, firewall en webserver die je goed moet hebben, omdat het anders zonder dat je het door hebt een gat in je netwerk heb zitten.

Je screenshot is helaas niet voldoende informatie voor een overzicht van je netwerk.

Dit heeft niet zoveel te maken met PNS, dus schopje naar NT.