Thuis hosten en bescherming tegen indringers. - Netwerken

Vraag

dinsdag 23 januari 2024 20:22

Acties:

0 Henk 'm!

Topicstarter

Beste mensen,

Ik zou graag vanaf "buiten" toegang willen krijgen tot mijn interne netwerk.
Ik wil geen port forwarden.

Nu heb ik gehoord dat er een methode is, waarbij alleen een bekend device een request kan indienen bij een router/firewall/ids apparaat waarna er exclusief voor dit bekende device toegang verleend wordt.
Een soort poortwachter constructie dus.

-Met welke apparatuur kan ik dit doen?
-Is er een andere manier die makkelijker en of beter is.

Its alive Jim, but not as we know it

Alle reacties

dinsdag 23 januari 2024 20:23

Acties:

0 Henk 'm!

mjvdzwet

OpenVPN gebruiken?!?!

dinsdag 23 januari 2024 20:27

Acties:

0 Henk 'm!

rally

Deyterra Consultancy

Ik denk dat Cloudflared is wat je zoekt (dus met een “d” op het einde).

Dat is een soort van reverse proxy. Je moet er wel de Cloudflared client van Cloudflare voor draaien op een machine in je netwerk (bijv. Synology NAS).
Bovendien moet je je DNS bij Cloudflare hebben draaien (bijv. Door je nameservers te verwijzen naar die van Cloudflare). je hebt er dus een domein voor nodig.

Alternatief is Cloudflare WARP gebruiken, maar dat is wat complexer om op te zetten.

Voor Cloudflared zijn veel tutorials voor te vinden.

http://www.deyterra.com

dinsdag 23 januari 2024 20:29

Acties:

0 Henk 'm!

xsienix

Topicstarter

mjvdzwet schreef op dinsdag 23 januari 2024 @ 20:23:
OpenVPN gebruiken?!?!

Ja ook.

Van binnenuit moet bekend zijn wie er aan de buitendeur staat.
Wanneer de verbinding weg is, moet elke toegang geweigerd worden.

Its alive Jim, but not as we know it

dinsdag 23 januari 2024 20:30

Acties:

0 Henk 'm!

Xanquezer

Ligt n beetje aan wat je doel ermee is.

IIS portforwarden we d.m.v. 443 naar een IIS server te forwarden.
Daarna via RDP/Mstsc kan de betreffende gebruiker een remote portal openen, met account en DUO (2fa) op de betreffende server komen.

Andere doeleinden zoals 5001 (nas) of andere diverse poorten worden voor het grote boze internet geregeld open gezet.

Om helemaal geen poorten open te zetten, maar toch binnen te kunnen zijn er aantal opties.
Lokale pc met teamviewer (denk aan licenties)
OpenVPN (dmv pfsense/draytek) of andere firewall
Of tunnels leggen, Site to site VPN.
Soms word IP whitslisting icm portforwarding ook gebruikt (een bekend IP mag bij de portforward).

mjvdzwet schreef op dinsdag 23 januari 2024 @ 20:23:
OpenVPN gebruiken?!?!

Openvpn word het meest gebruikt, gratis en makkelijk om bij je data & interne lan te kunnen.
Dit kan door Pfsense (netgate) Unifi UDM (pro / se) Draytek en meerdere apparaten ondersteund worden.
Staan overigens genoeg how-to`s op internet.

DPC Chef-kok :)

dinsdag 23 januari 2024 20:30

Acties:

0 Henk 'm!

Lt.Mitchell

Heb je een toestel dat altijd aanstaat? Dan kan je een anydesk opzetten? Of teamviewer?

dinsdag 23 januari 2024 20:32

Acties:

0 Henk 'm!

xsienix

Topicstarter

rally schreef op dinsdag 23 januari 2024 @ 20:27:
Ik denk dat Cloudflared is wat je zoekt (dus met een “d” op het einde).

Dat is een soort van reverse proxy. Je moet er wel de Cloudflared client van Cloudflare voor draaien op een machine in je netwerk (bijv. Synology NAS).
Bovendien moet je je DNS bij Cloudflare hebben draaien (bijv. Door je nameservers te verwijzen naar die van Cloudflare). je hebt er dus een domein voor nodig.

Alternatief is Cloudflare WARP gebruiken, maar dat is wat complexer om op te zetten.

Voor Cloudflared zijn veel tutorials voor te vinden.

Wat ik weet is dat Cloudflare niet gebruikt wordt. De verbinding gaat rechtstreeks vanaf een trusted device naar binnen, zonder een reverse proxy.

Its alive Jim, but not as we know it

dinsdag 23 januari 2024 20:34

Acties:

0 Henk 'm!

xsienix

Topicstarter

Lt.Mitchell schreef op dinsdag 23 januari 2024 @ 20:30:
Heb je een toestel dat altijd aanstaat? Dan kan je een anydesk opzetten? Of teamviewer?

Er draait een NAS.

Its alive Jim, but not as we know it

dinsdag 23 januari 2024 20:37

Acties:

+1 Henk 'm!

DataGhost

iPL dev

Dat heet port knocking, daar heb je alsnog een port forward voor nodig. Verder behoorlijk onpraktisch afhankelijk van wat je precies wilt doen, want dan moet je nog een aparte client hebben voor je knock. Voegt verder niet heel veel veiligheid toe trouwens, en secure is het ook niet per se. Afhankelijk van hoe paranoide je bent is het ook best makkelijk af te luisteren en replayen als je geen cryptografische knocks gebruikt. Beste/makkelijkste als je niet continu voor al je services poorten open wilt hebben staan is toch gewoon OpenVPN oid, dan heb je maar 1 portforward nodig voor een service die qua security best goed wordt bijgehouden. Dat lijkt verder redelijk hetzelfde want je moet je alsnog authenticeren voor toegang. Verder wil je je firewall fatsoenlijk instellen en al je services sowieso securen.

[ Voor 18% gewijzigd door DataGhost op 23-01-2024 20:38 ]

dinsdag 23 januari 2024 20:39

Acties:

0 Henk 'm!

xsienix

Topicstarter

Xanquezer schreef op dinsdag 23 januari 2024 @ 20:30:
Ligt n beetje aan wat je doel ermee is.

IIS portforwarden we d.m.v. 443 naar een IIS server te forwarden.
Daarna via RDP/Mstsc kan de betreffende gebruiker een remote portal openen, met account en DUO (2fa) op de betreffende server komen.

Andere doeleinden zoals 5001 (nas) of andere diverse poorten worden voor het grote boze internet geregeld open gezet.

Om helemaal geen poorten open te zetten, maar toch binnen te kunnen zijn er aantal opties.
Lokale pc met teamviewer (denk aan licenties)
OpenVPN (dmv pfsense/draytek) of andere firewall
Of tunnels leggen, Site to site VPN.
Soms word IP whitslisting icm portforwarding ook gebruikt (een bekend IP mag bij de portforward).

[...]

Openvpn word het meest gebruikt, gratis en makkelijk om bij je data & interne lan te kunnen.
Dit kan door Pfsense (netgate) Unifi UDM (pro / se) Draytek en meerdere apparaten ondersteund worden.
Staan overigens genoeg how-to`s op internet.

Het vervelende is, dat ik de methode niet goed meer weet.
Je antwoordt kom aardig in de richting. Er werd met een laptop gewerkt die als bekend werd verondersteld (ik denk door mac en/of andere kenmerken) waarna deze toegang werd verleend.
Er werd op zeker geen enkele port geforward.

E.e.a. werd door hardware binnen het lan georganiseerd.

Its alive Jim, but not as we know it

dinsdag 23 januari 2024 20:40

Acties:

0 Henk 'm!

Xanquezer

xsienix schreef op dinsdag 23 januari 2024 @ 20:39:
[...]

Het vervelende is, dat ik de methode niet goed meer weet.
Je antwoordt kom aardig in de richting. Er werd met een laptop gewerkt die als bekend werd verondersteld (ik denk door mac en/of andere kenmerken) waarna deze toegang werd verleend.
Er werd op zeker geen enkele port geforward.

E.e.a. werd door hardware binnen het lan georganiseerd.

xsienix schreef op dinsdag 23 januari 2024 @ 20:34:
[...]

Er draait een NAS.

Gebruikers van buiten moeten bij de NAS kunnen?

DPC Chef-kok :)

dinsdag 23 januari 2024 20:41

Acties:

0 Henk 'm!

xsienix

Topicstarter

Xanquezer schreef op dinsdag 23 januari 2024 @ 20:40:
[...]

[...]

Gebruikers van buiten moeten bij de NAS kunnen?

1 gebruiker. 1 specifieke laptop.

Its alive Jim, but not as we know it

dinsdag 23 januari 2024 20:43

Acties:

0 Henk 'm!

xsienix

Topicstarter

DataGhost schreef op dinsdag 23 januari 2024 @ 20:37:
Dat heet port knocking, daar heb je alsnog een port forward voor nodig. Verder behoorlijk onpraktisch afhankelijk van wat je precies wilt doen, want dan moet je nog een aparte client hebben voor je knock. Voegt verder niet heel veel veiligheid toe trouwens, en secure is het ook niet per se. Afhankelijk van hoe paranoide je bent is het ook best makkelijk af te luisteren en replayen als je geen cryptografische knocks gebruikt. Beste/makkelijkste als je niet continu voor al je services poorten open wilt hebben staan is toch gewoon OpenVPN oid, dan heb je maar 1 portforward nodig voor een service die qua security best goed wordt bijgehouden. Dat lijkt verder redelijk hetzelfde want je moet je alsnog authenticeren voor toegang. Verder wil je je firewall fatsoenlijk instellen en al je services sowieso securen.

Afluisteren? Je bedoelt met de Flipper Zero?
Ik zal port knocking eens onderzoeken. Dank je wel.

Its alive Jim, but not as we know it

dinsdag 23 januari 2024 20:44

Acties:

0 Henk 'm!

Xanquezer

xsienix schreef op dinsdag 23 januari 2024 @ 20:41:
[...]

1 gebruiker. 1 specifieke laptop.

Welk merk nas is het?
Soms kan je DDNS/externe toegang inschakelen waardoor je specifiek bij de nas kan (Synology ondersteunt dat echt keurig)

2optie blijft voor de betreffende gebruiker een OpenVPN instellen (of ander type VPN)(afhankelijk van je huidige router).

DPC Chef-kok :)

dinsdag 23 januari 2024 20:45

Acties:

+1 Henk 'm!

Oon

Iedere moderne medium tot high-end router heeft wel OpenVPN of Wireguard ingebouwd, veel simpeler kan het niet. Bij bijv. een FRITZ!Box is het letterlijk een vinkje aanzetten, connectie instellen, config downloaden en op een client installeren.

Omdat het op de router zelf gebeurt hoef je geen portforward in te stellen, de verbinding wordt automatisch bij de router geaccepteerd en gaat niet verder dan dat tenzij je succesvol kunt verbinden.

dinsdag 23 januari 2024 21:00

Acties:

+1 Henk 'm!

k-janssen

Mogelijk wordt tailscale bedoeld
https://tailscale.com/kb/1151/what-is-tailscale

dinsdag 23 januari 2024 21:03

Acties:

0 Henk 'm!

xsienix

Topicstarter

Voorlopig wil ik jullie danken voor de antwoorden.
Ik kom er op terug.

Its alive Jim, but not as we know it

Pagina: 1

Reageer