staging.inyokaproject.org

Guten Abend,

da ich zu dem Thema für mich nirgends etwas finden konnte und inspiriert durch diesen und diesen Thread, ist dieser Artikel entstanden.

Das ist mein erstes Howto ever. ☺ Freue mich auf Feedback, damit der Artikel auch Wiki-reif wird.

Merci

M.

Hallo mubuntuHH,

meinst du nicht, dass der Titel etwas kurz ist? 😉

PS: Rest habe ich noch nicht gelesen.

Nachdem ich irgendwann vor Wochen mal ermutigt wurde, war ich so dreist, und habe mal angefangen, ein paar Korrekturen einzubringen. Ich bin allerdings nur bis zur Erstellung der myfritz-Konten gekommen und kann das eigentlich nur aus technischer Sicht beurteilen. Meine letzte Fritz!Box hatte ich irgendwann vor ein paar Jahren und mich hat einfach nur das Thema angesprochen. ☺

Hallo und danke für das Howto. Sieht aus meiner Sicht sehr ordentlich aus.

Cranvil schrieb:

[...] war ich so dreist, und habe mal angefangen, ein paar Korrekturen einzubringen.

Ein paar kleine Anmerkungen (ab hier Zitate aus dem Howto)

Unter Voraussetzungen gibt es Punkte, die weiter hinten in der Anleitung vor kommen (z.B. MyFRITZ!-Konto anlegen).

Mein Verständnis ist da so, dass Voraussetzungen vor dem Durchführen des Howto erledigt sein müssen.

"Verbindungsabsicherung mittels SSL-Zertifikaten" → könnte "TLS-Zertifikate" lauten und IMHO gleich hier im Fließtext bzw. in der Aufzählung mit TLS-Zertifikate verlinkt werden.

Punkt 2. > Hierbei wird die neue ​myfritz.​net Subdomain auf einen beliebigen an die Fritz!Box angeschlossenen Rechner mittels einer Portfreigabe weitergeleitet. Die Subdomain wird ja nicht weiter geleitet. Die Portfreigabe arbeitet ja auf IP:Port-Basis. (Es sei denn, die FritzBox wertet tatsächlich den Header aus, wovon ich nicht ausgehe.)

Anleitung von digitalocean.com, 🇬🇧 wie man unter Ubuntu 18.04 und Let’s Encrypt 🇩🇪 seinen Apache absichert

eine deutsche Anleitung gäbe es hier: https://kofler.info/lets-encrypt-zertifikate-fuer-web-und-mail-unter-ubuntu-16-04/ , vgl. TLS-Zertifikate

Nachteil dieser Methode: Die Domains muss immer mit der Portangabe aufgerufen werden, zum Beispiel www.example.com:8080/impressum.

Einzahl oder Mehrzahl?

Sicherheitshinweise

Hier fehlt mir der Hinweis, dass bei einem erfolgten Angriff über den offenen Port auch andere Rechner im selben internen Netzwerk gefährdet sind. Außerdem:

Nur Zugriffe erlauben, die

Hier fehlt was.

Gruß BillMaier

Vielen Dank Euch Drei für Euer Feedback! Die meisten Vorschläge und Änderungen habe ich übernommen bzw. so belassen.

Beforge schrieb:

meinst du nicht, dass der Titel etwas kurz ist? 😉

LOL, da könnte was drann sein. ☺ Ich dachte da vor allem auch daran, dass das Howto auch gut gefunden wird. Vielleicht kürze ich es einfach zu

DynDNS mit der Fritzbox und TLS

oder so.

Ich lasse den Artikel sicherheitshalber noch ein paar Tage in der Baustelle, falls Ihr - oder sonst wer - noch Korrekturen hat.

Hallo,

hab noch eine Kleinigkeit korrigiert. Und noch eine Anmerkung:

* Alle anderen Rechnern im lokalen Netzwerk sichern, in dem zum Beispiel Zugriffe von außen verboten sind

Wenn der "Server" (wie er im Artikel beschrieben ist) kompromittiert ist, nützt diese "Sicherheitsmaßnahme" nichts. Genau darauf wollte ich mit meiner Anmerkung oben hinaus.

Gruß BillMaier

BillMaier schrieb:

* Alle anderen Rechnern im lokalen Netzwerk sichern, in dem zum Beispiel Zugriffe von außen verboten sind

Wenn der "Server" (wie er im Artikel beschrieben ist) kompromittiert ist, nützt diese "Sicherheitsmaßnahme" nichts. Genau darauf wollte ich mit meiner Anmerkung oben hinaus.

Stimmt! Hast Du noch einen Vorschlag, welche Maßnahme (Wikilink?) man da noch als Stichpunkt in der Liste vorschlagen könnte?

Schwierig. Ich bin mir nicht sicher, ob es da "die" Lösung gibt. Es ist nun mal nur ein Netz. Jetzt kann man an dem Server ausgehend Pakete ins interne Netz (abgesehen vom Gateway) blockieren. Oder umgekehrt an allen anderen Geräten den Eingang von diesem Server.

Noch besser wäre, man könnte die Geräte in unterschiedliche Netze packen, so wie die FritzBox das bspw. mit dem GästeWLAN macht. Das gibt es IMHO aber nicht auf LAN-Basis.

Gruß BillMaier

gibts doch, zumindest in manchen Boxen: https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/949_LAN-Gastzugang-in-FRITZ-Box-einrichten/

Vielen Dank Euch allen für Eure Hinweise und Korrekturen. Nachdem ich jetzt noch ein paar Tage gewartet habe und keiner weitere Korrekturen hatte, habe ich das Howto nun live geschaltet. Enjoy. 😀

Hallo,

hübsches Howto. War mir echt neu, dass die FritzBox sowas kann. Bzgl. des Gastzugangs:

"Der Server selbst kann aber nicht im „LAN-Gastzugang“ betrieben werden, da man dort keine Portweiterleitungen einrichten kann."

Das hatte ich irgendwie befürchtet. Dann ist aber die Frage, ob das überhaupt was bringt, weil man IMHO vom "normalen" Zugang in den Gastzugang kommen - aber nicht zurück. Man bräuchte es eben anders rum.

Gruß BillMaier