Raspberry Pi 4 B Zugriff per VPN (Fritzvpn oder open vpn)

  • Hallo erst mal.

    Ich bin neu hier im Forum und habe gleich mal ein Frage, die mir vielleicht der eine oder andere beantworten kann.

    Ich habe mir einen Raspberry Pi 4 B gekauft und möchte ihn von vornherein vernünftig absichern.

    Eine Suche im Internet hat mir nach Vergleich von vielen Meinungen zu folgenden Einstellungen gebracht, die ich bereits umgesetzt habe.

    Die ersten Grundeinstellungen sind gemacht.

    1. Betriebssystem (Raspbian Buster Light) installiert.

    2. update und upgrade gemacht

    3. Einen neuen User installiert (ohne Rootrechte) Nur Mitglied in der Gruppe users mit Homeverzeichnis

    4. Rootpasswort vergeben.

    5. Konto von Pi deaktiviert. (Ich wollte das ganze Konto löschen, aber das hat nicht funktioniert, da immer wieder laufende Prozesse

    gefunden werden, obwohl ich einen Reboot gemacht habe und als anderer user angemeldet bin.)

    6. SSH-Zugang nur mit key und Passphrase, Root-login verboten.

    Ich möchte nun Nextcloud installieren und diese von außen erreichbar machen.

    Da ich keine Ports öffnen möchte, habe ich mich für VPN entschieden. Aber genau da gehen die Meinungen im Netz auseinander.

    Die einen schwören auf Fritz VPN, andere empfehlen nur open VPN....

    Ich habe eine Fritzbox 7590. diese bietet einen VPN Zugang (IPSec Xauth PSK) an.

    Da ich aber von VPN überhaupt keine Ahnung habe, meine Frage an euch.

    Könnt ihr Fritz VPN empfehlen oder lieber open Vpn?

    Bei letzterem brauche ich aber Hilfe zum Einrichten, da ich da keine Ahnung von habe.

    Ich würde mich freuen, wenn der ein oder andere Lust und auch Zeit hat, mir dabei zu helfen eine Entscheidung zu treffen und mir

    gegebenenfalls bei der Einrichtung von open vpn helfen könnte.

  • Raspberry Pi 4 B Zugriff per VPN (Fritzvpn oder open vpn)? Schau mal ob du hier fündig wirst!

  • Könnt ihr Fritz VPN empfehlen oder lieber open Vpn?

    Ich würde unbedingt OpenVPN empfehlen, weil Du aufgrund des tr-069-Zugangs in der Fritzbox nicht wirklich eine Kontrolle über die dort gespeicherten Keyfiles hast. Die Fritzbox selber ist deshalb eher als nicht vertrauenswürdig einzuschätzen und bei Verwendung von VPN in der Fritte endet meiner Meinung nach die Verschlüsselung von sensiblen Daten in nicht-vertrauenswürdiger Hardware. Dieses Risiko kannst Du vollständig eliminieren, wenn die Verschlüsselung auf Deiner vertrauenswürdigen Hardware -eben dem PI- endet. Nicht umsonst gibts genügend Leute, die zwischen Fritte und LAN noch einen Firewall-Router dazwischen setzen.

  • Wowww, das ging ja schnell :)

    Erst einmal Danke für die schnelle Antwort. Das sind auch so ungefähr die Meinungen die ich als Negativpunkt bereits im Netz gefunden habe.

    Wie gesagt, was VPN angeht habe ich absulut keine Erfahrung und bräuchte somit massive Hilfe. Alles andere bekomme ich warscheinlich selber hin.

    Auch über eine Info, wie ich den User Pi endgültig löschen kann würde ich mich freuen. Alle Infos die ich dazu gefunden habe, funktionieren nicht wegen "laufender Prozesse", die immer wieder neu gestartet werden.

  • Auch über eine Info, wie ich den User Pi endgültig löschen kann würde ich mich freuen.

    Das ist relativ einfach.Du musst zu allererst root ein Password vergeben... das machst Du noch mit einer (User) 'pi'-Anmeldung. Dann wechselst Du in den root-Account und richtest einen neuen User 'horst' ein. Nun mit 2 mal exit zuerst den root-Account und dann die 'pi'-Anmeldung beenden ... wieder anmelden, aber nun mit User 'horst' , wechseln in den root-Account und den User 'pi' entfernen. Ganz wichtig: Der User 'pi' darf erst dann entfernt werden, wenn die Anmeldung als 'horst' und der Wechsel in den root-Account mit "su -" fehlerfrei funktionieren.

    Es ist nicht notwendig, die Gruppen des Users 'pi' zu übernehmen, wenn Du Dich künftig bei Wartungsarbeiten einfach mit "su -" direkt als root anmeldest. Für die normalen Tätigkeiten als unprivilegierter User 'horst' reichen die Default-Einstellung allemal aus.

    Wie gesagt, was VPN angeht habe ich absulut keine Erfahrung und bräuchte somit massive Hilfe.

    Die Frage ist, welchen Anspruch Du an Dich selber hast.... vor dem Hintergrund, dass Netzwerktechnik ein wirklich anspruchsvolles Thema ist, aber gleichzeitig auch die Basis für Datenschutz und Verfügungshoheit über die eigenen Daten bedeutet. Wenn Du einfach nur willst, dass es funktioniert, kannst Du eigentlich jedes OpenVPN-HowTo nehmen, was auf Routing und tun-Device basiert... abschreiben, laufen lassen, rennt.. Wenn Du aber selber eine tiefergehendere Kontrolle über Deine IT haben willst und wenigstens in den Grundzügen verstehen willst, was da warum, wann und wie passiert, dann geht das nicht anders, als über den Umweg sich selber im Laufe der Zeit Sachwissen anzueigen. Das geht jedenfalls nicht von jetzt auf gleich. Aber ein großen Problem ist das nicht.... alles ist machbar.... wir sind alle mal ahnungslos angefangen.

  • Das ist relativ einfach.Du musst zu allererst root ein Password vergeben... das machst Du noch mit einer (User) 'pi'-Anmeldung. Dann wechselst Du in den root-Account und richtest einen neuen User 'horst' ein. Nun mit 2 mal exit zuerst den root-Account und dann die 'pi'-Anmeldung beenden ... wieder anmelden, aber nun mit User 'horst' , wechseln in den root-Account und den User 'pi' entfernen. Ganz wichtig: Der User 'pi' darf erst dann entfernt werden, wenn die Anmeldung als 'horst' und der Wechsel in den root-Account mit "su -" fehlerfrei funktionieren.

    Es ist nicht notwendig, die Gruppen des Users 'pi' zu übernehmen, wenn Du Dich künftig bei Wartungsarbeiten einfach mit "su -" direkt als root anmeldest. Für die normalen Tätigkeiten als unprivilegierter User 'horst' reichen die Default-Einstellung allemal aus.

    Die Schritte habe ich alle gemacht s. #1 Mit der Ausnahme, daß ich den neuen User nicht aus dem root-Account heraus angelegt habe, sondern mit

    Code
    sudo useradd -m username
    sudo passwd username
    sudo usermod -g users username

    aus dem PI-Account heraus.

    Root-account funktioniert einwandfrei mit su

    Useraccount mit dem neuen Usernamen funktioniert auch.

    Das Konto von Pi nebst Passwort habe ich deaktiviert.


    Ok, ich versuche gleich nochmal den User pi zu löschen.

    Die Frage ist, welchen Anspruch Du an Dich selber hast.... vor dem Hintergrund, dass Netzwerktechnik ein wirklich anspruchsvolles Thema ist, aber gleichzeitig auch die Basis für Datenschutz und Verfügungshoheit über die eigenen Daten bedeutet. Wenn Du einfach nur willst, dass es funktioniert, kannst Du eigentlich jedes OpenVPN-HowTo nehmen, was auf Routing und tun-Device basiert... abschreiben, laufen lassen, rennt.. Wenn Du aber selber eine tiefergehendere Kontrolle über Deine IT haben willst und wenigstens in den Grundzügen verstehen willst, was da warum, wann und wie passiert, dann geht das nicht anders, als über den Umweg sich selber im Laufe der Zeit Sachwissen anzueigen. Das geht jedenfalls nicht von jetzt auf gleich. Aber ein großen Problem ist das nicht.... alles ist machbar.... wir sind alle mal ahnungslos angefangen.

    Ok, ich werde erst einmal openVpn mit Standardwerten einrichten, um zumindest grundsätzlichen Schutz zu haben, bevor ich mit dem Webserver online gehe.

    Mir ist es eigentlich nur wichtig, daß ich vpn nicht auf einem bereits "verseuchten" system installiere.

    Ansonsten kann ich meine Daten auch sofort an Google oder Microsoft schicken.

    Nachdem ich dann alles installiert habe, werde ich mich mit dem Thema weiter auseinandersetzen.

    Erst mal recht herzlichen Dank.

  • @ThomasL

    Das löschen des Users Pi hat jetzt funktioniert.

    Ich habe jetzt openVpn installiert. Es funktioniert soweit einwandfrei.

    Allerdings habe ich deinem Rat aus folgendem Beitrag in einem anderen Thread Link entsprechend versucht die dh.pem auf 4096 Zeichen zu ändern.

    Dieses mit folgendem Befehl

    Code
    openssl dhparam -out dh4096.pem 4096

    Da stand zwar, daß das lange dauern kann, aber nach 45 Minuten und rund 100 Zeilen mit jeweils 80 Punkten und +-Zeichen war das immer noch nicht fertig.

    Ich habe das dann abgebrochen.

    Kann es sein, dass es wirklich so lange dauert einen 4k Key zu erstellen?

  • Kann es sein, dass es wirklich so lange dauert einen 4k Key zu erstellen?

    Ja, das dauert so lang.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ja, rpi444 hat Recht, das kann wirklich Stunden dauern. Schau Dir die Erklärung zu diesem Thread an, der weist auch auf eine Alternative hin. Wobei ich dann eher auf 3072 Bit reduzieren würde... das ist nach heutigem (!) Ermessen bis deutlich über das Jahr 2030 sicher.

    Du kannst aber fogendes prüfen... wenn der Rechner dabei wirklich mit hoher CPU-Last aktiv ist, dann rechnet er, dann ist alles ok. Ist die CPU-Last allerdings gering, dann rechnet er nicht, sondern wartet auf Entropie. Wenn Du das beobachten kannst, solltest Du mit

    apt install haveged

    installieren, der ein entropie-daemon ist und der eben Entropie mithilfes des Kernels bzw. im Kernel herstellt.

    Bei mir hat der zuletzt etwa 20 Minuten gerechnet.... allerdings lass ich manchmal parallel ein YT-Musik-Video laufen, was aufgrund der höheren CPU-Last deutlich Einfluss auf die 'zufällige' Entropie hat. Aber haveged ist ne gute Lösung, wenn es dieses Problem war.

    3 Mal editiert, zuletzt von WinterUnit16246 (11. Dezember 2019 um 10:49)

  • Mal sehen, wie lange es dauert. :sleepy:

    Wie ist z. Zt. die Ausgabe von:

    Code
    sysctl kernel.random.entropy_avail

    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p6 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich lass ihn erst mal rechnen.

    Ich hab das jetzt gerade aus Neugier auf meinem Rechner noch mal im Hintergrund laufen lassen, während ich normal weiter gearbeitet habe ... sieh selbst... 4 ½ Minuten....:

    Ich muss allerdings dazu sagen, ich käme niemals auf die verrückte Idee, das einen Raspberry Pi rechnen zu lassen.... das halte ich für ne echt abgefahrene Idee *lacht*... soll heissen, lass die dh-parameter lieber auf ner leistungsfähigen Maschine rechnen.

  • Ich muss allerdings dazu sagen, ich käme niemals auf die verrückte Idee, das einen Raspberry Pi rechnen zu lassen

    Na ja, mit nem Intel i5 :lol: Ich habs direkt auf dem Pi rechnen lassen.

    1.5 Std. Aber jetzt hab ichs. Ich hätte es ja auch auf meinem Laptop machen können. Aber ich hätte nie gedacht, dass dasso lange dauern könnte.

    Das nächste mal bin ich schlauer.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!