seafile-Nutzung via Web

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo,
    inzwischen nutze ich Seafile sehr zufrieden in meinem LAN, 2 PCs und mein Handy im WLAN, also recht überschaubar.

    Wenn ich das richtig verstanden habe, ist ja ein großer Vorteil z.B. gegenüber Owncloud, dass bereits clientseitig eine Verschlüsselung erfolgen kann und nicht erst auf dem Server. Wenn wir mal davon ausgehen, dass im LAN kein Spion sitzt, macht das doch nur Sinn, wenn Seafile-Clienten auch via Web genutzt werden. Das würde ich gern auch nutzen.

    Macht ihr das schon erfolgreich?

    Wenn ja, habe ich 2 Verständnisfragen und eine ganz Praktische.

    1.) Bisher habe ich bei der Installation beim Server die LAN-IP des PI angegeben. Bei Nutzung auch via Web soll man da die DynDNS-Adresse angeben. Dann bin ich doch aber erst nur im LAN, oder? Wie kommt dann noch die Verbindung zum Pi zu Stande? Oder erfolgt das dann innerhalb der Web-Clients?

    2.) Eine Verbindung eines LAN-Clients zum Seafile-Server, erfolgt die dann auch erst über das Web oder bleibt das alles im LAN?

    3.) Wenn der Pi nun für Verbindungen nach außen (Web) geöffnet wird, habt ihr ihn dann noch zusätzlich abgesichert? Wie?

    Viele Grüße
    DocAdams

    1x RaspberryPi 2, 1x RaspberryPi 3, 1x OpenELEC, 1x RaspberryPi 4 mit ioBroker ,

  • Zu 1:
    Bei dyndns wird der Benutzer zu Deinem Router geführt. Bei diesem muss ein entsprechendes port forwarding konfiguriert werden, damit die Anfragen an den Pi weitergeleitet werden.

    Zu 2:
    Die LAN clients werden im LAN bleiben wenn sie auf die LAN IP zugreifen oder der Router NAT reflection (auch NAT loopback) beherrscht.

    Wenn man bei den Clients die dyndns url angibt, lösen diese erst die URL auf und versuchen auf den WAN port des router zuzugreifen. Dies kann in manchen Fällen zu Problemen führen.

    Übrigens - seafile ist hier etwas heikel in der Konfiguration, was oft dazu führt, dass Leute entweder nur von innen oder nur von aussen erreichbar ist. Der Trick ist den Parameter SERVICE_URL richtig zu setzen (auf die interene IP ohne http:// belassen)

    Zu 3:
    Erster Punkt, nur die benötigten Ports weiterleiten (nicht pauschal alles, respektive einen generellen virtual sever konfigurieren, wie es gewisse Router anbieten)

    Weiter ist hier Linux hardening gefragt, aber ich habe hierzu leider keine Ahnung.

    Abhängig vom Router, kann man dazu eine DMZ mit eigenem ip range etablieren, aus der nicht auf das LAN zugegriffen werden kann umgekehrt jedoch schon.

    Der raspi kommt in die DMZ. Sollte er gehackt werden, sollte der Rest des LAN verschont bleiben.


    Gruss Michel

  • Vielen Dank für die Stichworte. Vielleicht sehe ich es nur zu kompliziert, weil ich es erst nur in der Theorie durchspiele.
    Zum Thema Sicherheit. Also wichtig ist am Router nur die unbedingt nötigen Ports frei geben und sonst keine. OK
    Demilitarisierte Zone klingt gut, aber leider unterstützt mein derzeitiger Router (Fritzbox 7170) noch mein demnächst anzuschaffender Router (7490), die DMZ.

    Sehe ich das richtig, die meisten Pi-Nutzer verlassen / beschränken sich auf die genaue Portfreigabe am Router?

    Viele Grüße
    DocAdams

    1x RaspberryPi 2, 1x RaspberryPi 3, 1x OpenELEC, 1x RaspberryPi 4 mit ioBroker ,

    Einmal editiert, zuletzt von docadams (18. November 2013 um 17:36)


  • Sehe ich das richtig, die meisten Pi-Nutzer verlassen / beschränken sich auf die genaue Portfreigabe am Router?

    Ich kann nicht für die meisten sprechen, bin ja nur einer:-) aber ich denke die meisten machen es so.

    Ich hatte das auch eine Zeit lang so und konnte nichts negatives feststellen. Jetzt habe ich eine DMZ eingerichtet um das LAN nicht zu exponieren.

  • Mit 2 Boxen oder hast du eine, die das richtig kann?

    Wenn ich mir irgendwann mal die 7490 angeschafft habe, könnte ich ja die 7170 als Zweitbox für die DMZ einrichten. Widerspricht natürlich etwas der energiesparsamen Nutzung des PI.

    Ich habe gerade bei dem Android-Client gesehen, dass man https aktivieren kann. Beim Windowsclient ging das glaube ich nicht. Oder ich habe es übersehen. Wäre keine schlechte Option, hat da schon wer Erfahrung oder was zum Lesen? Eigentlich ist ja immer die Quelle interessant, hier stoße ich aber an meine Grenzen .-(

    Viele Grüße
    DocAdams

    1x RaspberryPi 2, 1x RaspberryPi 3, 1x OpenELEC, 1x RaspberryPi 4 mit ioBroker ,

  • Ich habe einen Router bei dem man jedes port einzeln konfigurieren (dhcp, firewall etc) und auf Wunsch isolieren kann. Da habe ich zwei ports zur dmz erklärt und die Firewall entsprechend konfrontiert.

    Https ist sicher gut um den Transport zu sichern.

    Gruss

  • Die 7170 sollte eigentlich DMZ können oder hast Du ne uralte Firmware ??

    Oder es könnte auch anders heißen.

    In meiner 7390 mit aktueller FW heißt es "Exposed Host".

    Davon rate ich allerdings ab. Auch wenn man das eigentliche Netz damit abschirmt, so gibt man halt trotzdem auf dem Pi alles frei. Richte stattdessen lieber Portforwarding ein mit den Ports, die Du brauchst, alle anderen bleiben zu (z.B. Port 80 und 443).

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!