Hoi mede-tweakers,
Ik host al een aantal jaren mijn eigen UniFi, Omada en UISP controllers op een VPS. Voorheen vooral op Digital Ocean (en soms Vultr), maar ben nu bezig met de switch naar Hetzner. Vooral vanwege de prijs.
Bijkomend voordeel van Hetzner is dat ze ook prima ondersteuning hebben voor een VPS met pfSense daarop.
De huidige set-up is mijn eigen IP's op een whitelist in de firewall voor de web interface poorten en de inform poorten (zodat de hardware met de controllers kan praten) open naar het internet. Als ik niet thuis ben gebruik ik een VPN (Pritunl op een VPS met dus een vast IP) om toch op de controllers te komen.
Laatst zag ik een video over Cloudflare Zero Trust. Nu wil ik dit dus gebruiken om zonder VPN erop te kunnen komen (met bijvoorbeeld M365 authenticatie of iets als een Yubikey om erop te kunnen komen). Het probleem is echter dat dit alleen kan met HTTP(S). Dus de web interfaces gaan wel werken. Misschien ook de inform (UniFi poort 8080 is gewoon HTTP geloof ik), maar dingen als STUN (UDP poort 3478) kun je niet tunnelen.
Als ik deze setup dus zou doen, moet ik dus een alternatieve FQDN of het IP gebruiken voor de inform en blijven deze poorten open voor het internet.
Nu overweeg ik dus om ze achter pfSense te zetten. Heb momenteel mijn test-controller al gerouteerd via een pfSense VPS. Voegt dit iets toe? En zo ja, wat voor zaken kan ik instellen om dit beter te beveiligen? Ik zat te denken aan iets als restricties op basis van Geo IP (Rusland en China hebben niks te zoeken op deze controllers) of IPS/IDS.
Ik zie het vooral als een leuk hobby projectje en een kans om nieuwe dingen te leren, dus ik ben erg benieuwd of- en welke suggesties er komen!
Ik host al een aantal jaren mijn eigen UniFi, Omada en UISP controllers op een VPS. Voorheen vooral op Digital Ocean (en soms Vultr), maar ben nu bezig met de switch naar Hetzner. Vooral vanwege de prijs.
Bijkomend voordeel van Hetzner is dat ze ook prima ondersteuning hebben voor een VPS met pfSense daarop.
De huidige set-up is mijn eigen IP's op een whitelist in de firewall voor de web interface poorten en de inform poorten (zodat de hardware met de controllers kan praten) open naar het internet. Als ik niet thuis ben gebruik ik een VPN (Pritunl op een VPS met dus een vast IP) om toch op de controllers te komen.
Laatst zag ik een video over Cloudflare Zero Trust. Nu wil ik dit dus gebruiken om zonder VPN erop te kunnen komen (met bijvoorbeeld M365 authenticatie of iets als een Yubikey om erop te kunnen komen). Het probleem is echter dat dit alleen kan met HTTP(S). Dus de web interfaces gaan wel werken. Misschien ook de inform (UniFi poort 8080 is gewoon HTTP geloof ik), maar dingen als STUN (UDP poort 3478) kun je niet tunnelen.
Als ik deze setup dus zou doen, moet ik dus een alternatieve FQDN of het IP gebruiken voor de inform en blijven deze poorten open voor het internet.
Nu overweeg ik dus om ze achter pfSense te zetten. Heb momenteel mijn test-controller al gerouteerd via een pfSense VPS. Voegt dit iets toe? En zo ja, wat voor zaken kan ik instellen om dit beter te beveiligen? Ik zat te denken aan iets als restricties op basis van Geo IP (Rusland en China hebben niks te zoeken op deze controllers) of IPS/IDS.
Ik zie het vooral als een leuk hobby projectje en een kans om nieuwe dingen te leren, dus ik ben erg benieuwd of- en welke suggesties er komen!