Firewall für VPN-Zugang mit ZeroTier

  • Hallo zusammen,

    da ich wie viele andere auch von meinem Provider nur eine IPV6-Adresse bekomme und vom Handy auf mein Heimnetzwerk zugreifen möchte habe ich nach dieser Anleitung ein ZeroTier Netzwerk mit einem Raspi als Bridge aufgesetzt.

    Das funktioniert soweit recht gut.:thumbup:

    Nun gefällt mir nicht, dass ich da ein riesen Scheunentor in mein Netzwerk aufmache.=O

    Kann mir jemand sagen wie man da eine Firewall einbaut?

    Vermutlich geht das irgendwie mit

    iptables

    hat dazu jemand ein gutes Beispiel?

    Gruß Claus

  • Das funktioniert soweit recht gut.:thumbup:

    Nun gefällt mir nicht, dass ich da ein riesen Scheunentor in mein Netzwerk aufmache.

    Wie sind mit VPN-Verbindung, auf deinem PI die Ausgaben von:

    Code
    ip a
    route -n

    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Nun gefällt mir nicht, dass ich da ein riesen Scheunentor in mein Netzwerk aufmache

    Ich habe mich jetzt nicht sehr intensiv damit befasst, aber ich vermute, dass Du Dir nun keine Gedanken mehr darüber machen musst, irgendeine Sicherheit herzustellen, weil Du imho bereits die Kontrolle über Deine Hardware und das Netzwerk aus der Hand gegeben hast... an irgendwelche Fremden aus Übersee... weswegen ich jetzt davon ausgehe, dass eine Firewall vor diesem Hintergrund wirklich Null Effekt hat. Was ich damit sagen will...

    ...nachdem ich das hier gelesen habe...

    "ZeroTier One client is used to connect to virtual networks previously created in ZeroTier Central web-based UI. Endpoint connections are peer-to-peer and end-to-end encrypted. STUN and hole punching are used to establish direct connections between peers behind NAT. Direct connection route discovery is made with the help of a global network of root servers via a mechanism similar to ICE in WebRTC.

    Virtual networks are managed via API or centralized proprietary web-based UI (ZeroTier Central), although open-source web-based[8][9] and CLI[10] alternatives exist. By default, root servers hosted by ZeroTier Inc. are used, but being open-source, can be also self-hosted."

    ...vermute ich, dass Du einem amerikanischen Unternehmen einen Generalschlüssel ausgestellt hast. Was willst Du Dich da noch mit Sicherheit befassen.... ist imho völlig sinnlos. Holepunching [1] ist eben gerade eine Technik, um Sicherheit zu neutralisieren. Aber wie gesagt, ich habe mich nicht intensiv damit befasst... deswegen solltest Du mein Posting nur als Anregung verstehen, dass Projekt noch mal auf den Prüfstand zu stellen.

    [1] https://de.wikipedia.org/wiki/Hole_Punching

  • Hallo und Danke für die ersten Antworten!

    Wie sind mit VPN-Verbindung, auf deinem PI die Ausgaben von:

    Code
    ip a
    route -n

    ?

    Code
    route -n
    Kernel-IP-Routentabelle
    Ziel            Router          Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         192.168.1.1     0.0.0.0         UG    1024   0        0 br0
    192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 br0
    192.168.1.1     0.0.0.0         255.255.255.255 UH    1024   0        0 br0

    Ich habe mich jetzt nicht sehr intensiv damit befasst, aber ...

    ...vermute ich, dass Du einem amerikanischen Unternehmen einen Generalschlüssel ausgestellt hast. Was willst Du Dich da noch mit Sicherheit befassen.... ist imho völlig sinnlos. Holepunching [1] ist eben gerade eine Technik, um Sicherheit zu neutralisieren. Aber wie gesagt, ich habe mich nicht intensiv damit befasst... deswegen solltest Du mein Posting nur als Anregung verstehen, dass Projekt noch mal auf den Prüfstand zu stellen.

    Das ist zum Teil richtig, 1. ist es erstmal ein Testnetz und nicht das produktive. Dann gilt das für jede SW die man sich irgendwo herunter lädt und installiert. Microsoft ist auch irgend ein amerikanisches Unternehmen ...

    Da es Open Source ist könnte man sich den SourceCode anschauen und nach BackDoors suchen, wenn man es denn versteht.

    Vor allem ist der Bridge-Mechanismus ein Standard Linux und wenn ich diesen beschränke, dann kann zumindest niemand der irgendwie den Zugang zu dem Virtuellen Netz bekommt auf alles zugreifen sonder nur auf das was ich in der Firewall freigebe.

    Das das Programm was ich von ZeroTier installiere böse sein könnte ist nicht die Frage, wie gesagt, das können andere Programme wie eine InfluxDB oder ähnliches auch sein.

    Es ist letztlich auch alles eine Frage der Alternative!

  • Das das Programm was ich von ZeroTier installiere böse sein könnte ist nicht die Frage, wie gesagt, das können andere Programme wie eine InfluxDB oder ähnliches auch sein.

    Bitte nimms mir nicht übel, und das ist auch nicht böse gemeint... aber ich denke, Du hast nicht verstanden, was ich gesagt habe und Du hast auch leider keine Vorstellungen über die Zusammenhänge. Es geht nicht darum, wer böse ist oder wer nicht.... sondern einfach nur darum, dass Du anscheinend die Kontrolle über den Zugang in Dein Netzwerk an ein amerikanisches Unternehmen übertragen hast. Ob die damit was machen oder nicht ist irrelevant. Wichtig ist nur, dass dieses Unternehmen im Rahmen des US Patriot Acts den Behörden (FBI, NSA, CIA) jederzeit und OHNE eine richterliche Anordnung oder Erlaubnis Zugriff auf deren Server und zu Deinen Daten ermöglichen müssen. Sagst Du also irgendwann, irgendwo mal an irgendeiner Stelle irgendwas auf digitalem Weg, was in deren Filter hängen bleibt und die fangen an, sich für Dich routinemäßig zu interessieren und Dich abzuleuchten, hast Du keine Kontrolle mehr darüber, wer Deine Hardware wie verwendet.... ein Stichwort wäre dann Quellen-TKÜ. Und ob eine Bridge da irgendeine Schutzwirkung auf irgendwas hat... nur weils ne Bridge ist, sorry, aber das ist sehr blauäugig.

    BTW, Open-Source ist nur das, was man den Kunden erlaubt zu sehen... der Rest ist proprietär.... siehe Zitat oben. Und was runtergeladene Software angeht... klar, wem Sicherheit egal ist, der tut das. Das ist hier auf all unseren privaten Systemen rigoros untersagt.... Software kommt heute ausnahmslos nur noch aus dem Debian-Repo.

    Aber wie gesagt, das war jetzt nicht böse oder angreifend gemeint, ich stelle nur fest.... und mir ist das letztlich egal, was andere tun. Ich antworte auch nur wegen der Rückschlüsse darauf, die andere ziehen könnten.. und ich halte das nämlich sicherheitstechnisch für fatal. Also nix für ungut :saint:

    2 Mal editiert, zuletzt von WinterUnit16246 (16. Juni 2020 um 18:39)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!