Posts by the other

    Moinsen,

    ein VPN Server hat auf einem Fileserver (dein NAS) nix zu suchen. Nimm lieber den Pi. Alternativ (dann nicht openVPN) bei vorhandener Fritzbox einfach deren VPN Server einrichten und nutzen, da bietet AVM ne gute einfache Anleitung zu (Google ist dein Freund).


    Wenn du einmal im Heimnetz via VPN Tunnel bist, dann hast du (sofern keine Firewall den internen Verkehr reglementiert) Zugriff auf alle Geräte im Heimnetz (so als wärst du vor Ort).


    An den switches muss idR gar nix eingestellt werden.


    Deine Geräte im Heimnetz nutzen ganz normal weiter die normale Verbindung nach draußen. Du aber (von draußen kommend) nutzt den VPN Tunnel nach Hause. Darüber hast du dann verschlüsselten Zugriff auf dein Heimnetz. Alternativ kann der gesamte Verkehr dann (auch zum Surfen im öffentlichen WLAN) durch den Tunnel geschickt werden, was durchaus Sinn macht in öffentlichen WLANs.


    ;)

    Moinsen,

    mal doof gefragt:

    müssen HomeAssistant und Unifi Controller ÜBERHAUPT zwingend aus dem Netz (also von außerhalb deines Heimnetzes) erreichbar sein?

    Beim HA würden mir ja noch ein zwei Dinge einfallen (und das wäre dann was für VPN). Warum ich aber meinen WLAN Controller von außerhalb meines Heimnetzes unbedingt erreichen müsste, da fehlt mir die Fantasie für ein Szenario...und auch da würd ich immer zu VPN greifen.


    :)

    Moinsen,

    so, endlich mal der kurze (und vermutlich auch überflüssige) Nachtrag:

    da die Raspi4 Platform mittlerweile recht problemlos den boot von ssd unterstützen ist der workaround in der originalen Anleitung nicht mehr nötig.

    Einfach euer Raspi für den boot von ssd einrichten (gibt ja hier im Forum super Anleitungen für) und dann ganz normal checkmk installieren. Läuft hier absolut stabil und fehlerfrei seit nem halben Jahr und spart die Schritte 1. und 3.

    :)

    Moinsen,

    kenn mich leider gar nicht mit dem Kamerakram aus.

    Aber ein gaaaanz allgemeiner Tipp zu

    Der Hersteller sagt, ich muss sicherstellen, dass smb1 genutzt wird.

    Das ist murks und veraltet und somit unsicher. SMBv1 ist i.d. Vergangenheit bereits korrumpiert worden. Ob man darüber dann seine Kameras (die ja gerade der Sicherheit dienen sollen) laufen lässt, nunja.

    Viele Hersteller beharren (aus Faulheit?) auf SMBv1 (zB die gern genutzten SONOS Boxen). Das ist einfach nur doof und sollte eigentlich boykottiert werden...

    Wie gesagt, hilft dir leider nicht konkret weiter, ist nur ne allgemeine Info.

    ;)

    Moinsen,

    mal ganz davon ab, was man von diesem ganzen VPN as a service Kram halten mag (nichts...*hust):

    ich verstehe die von dir verlinkte Anleitung genau so, es geht eben dann nix mehr. Daher machen die Verfasser ja auch deutlich:

    1. Allerdings funktioniert ab diesem Zeitpunkt RaspAP oder der Hotspot nicht mehr vernünftig! Bist Du mit dem Pi-Hotspot verbunden, ist alles kein Problem. Aber neue Verbindungen sind nicht mehr möglich.


    2.

    Der Grund für das Verhalten ist, dass der Linux Client von NordVPN iptables modifiziert. Du kannst die aktuellen regeln wie folgt einsehen:

    Code
    sudo iptables -S


    3. wird extra darauf hingewiesen, dass

    Der Linux Client von NordVPN stellt eine sogenannte Whitelist zur Verfügung. Ich hinterlege hier sicherheitshalber Port 22, damit der SSH-Zugriff auf jeden Fall möglich ist.


    Insgesamt also durchaus aufwändig und ob der Nutzen dazu im Verhältnis steht...(siehe Zeile 2 meines Posts)?


    ;)

    Moinsen,

    bisher (!!!) ist das bei Linuxsystemen imho eher zu vernachlässigen. Es gibt da meines Wissens auch eher wenige. CLAM AV ist für die Tonne in meinen Augen. Es gibt noch etwas kostenloses von sophos für den Privatgebracuh, läuft hier unter ubuntu im Hintergrund...auch eher nicht sooo wichtig.


    Wenn du deine Himbeere als surf-station nutzen willst und das mit dem originären OS machst, dann würde ich auf einen extra AV verzichten. Wichtiger dann vielleicht, deine surf-Himbeere in ein eigenes Netzsegment zu packen (siehe oben).

    ABER: das kann sich auch schnell ändern und wie das Beispiel Apple zeigt: erst alles entspannt, mittlerweile auch da vermehrte Schadware.

    Moinsen,

    bevor du dir für viel Geld (und noch mehr Zeitaufwand) deinen Fuhrpark erweiterst, solltest du in der Tat nochmal in Ruhe überlegen:

    will ich...a) möglichst wenig digitalen Fußabdruck hinterlassen?

    oder b) mein Heimnetz vor unbefugten Zugriffen von extern schützen?

    oder c) beides?


    a) da hilft vieles, gibt aber auch viele Placebos. Ergänzend zu den o.g. Dingen kannst du noch unbound auf dem Pi einrichten in Kombination mit pihole, das schützt deine DNS Anfragen etwas ab.

    b) wenn dein Pi aktuell durchgängig im Netz surft, wie du schreibst: ist da denn überhaupt nach außen ein Port offen? Hier wären Themen wie Portweiterleitung, VPN, Netzsegmentierung und natürlich Firewall, ReverseProxa, länderspezifische IP Blockierung etc zu nennen (ohne Anspruch auf Vollständigkeit)


    Hier zB so: Fritzbox, dahinter DMZ, dann pfsense, LAN in VLANs unterteilt. Bis auf einen Port für VPN alles zu, ZUgriff nur für ausgewählte Clients via VPN nach RADIUS Authentifizierung mit Passwort und 2FA, sonst kein Zugriff von extern. Traffic wird gefiltert von Pihole, dazu unbound. Wenn du zB auf pfsense als Firewall umsteigst, dann auch gerne mit pfblockerng, macht ähnliches wie pihole plus noch einiges mehr...


    Du kannst auch einfach dein "immer online im www" Raspi hinter den ersten Router klemmen, dann einen zweiten Router setzen (Routerkaskade) und erst dahinter dein eigentliches LAN...


    ;)

    Moinsen,

    erneut Danke für das Feedback und die Frage...

    Himbeer-Eis

    hab ich selber noch nicht probiert, muss ich gestehen. Ich bin aktuell dabei, dass ich meine Raspis auf SSD-boot umstelle.

    Vermuten tu ich (wie gesagt: VERMUTEN), dass durch den bereits eingerichteten boot von SSD per USB ja bereits alle benötigten Dateien dort liegen wo sie liegen sollten. Daher müsste dann die Installation und Konfig von check_mk eben (wie du ja auch geschrieben hattest) einfach normal durchlaufen, also ohne Umzug.

    Auch zu der Frage bzgl. einer eigenen Partition hab ich bislang null Erfahrungswerte...da hier aber sonst nix läuft, lass ich das auch erstmal weg.

    Sorry für die späte Antwort, war viel zu tun, wenig hier, eben erst gesehen...

    Moinsen,

    super, Danke.

    Das Angebot von racknex hatte ich bereits mal gefunden und fand es teuer, machte aber auf den Bildern den besten Eindruck...ich schau mir den Rest dort mal an...

    Moinsen,

    mal ne kurze Frage (hoffe die Rubrik ist korrekt):

    ich plane in 2021 die Anschaffung eines neuen Netzwerkschrankes (Wandschrank) mit mehr Platz für das angesammelte Gelöt. Aktuell (im 10 Zoll Schrank) liegen die Raspis einfach auf nem Fachboden, das ist auch alles okay. Um etwas mehr Ordnung zu haben, suche ich nach ner Möglichkeit, die Raspis in ein 19 Zoll Rack zu packen. Amazon und die anderen haben da auch einige Angebote zu.


    Jetzt die Frage: hat jemand hier was Ähnliches schon gemacht und ggf. ne Empfehlung / Warnung zu bestimmten Modellen? Und: meine Raspis sind im passiv-kühlenden Alublock untergebracht...hier: https://www.amazon.de/Jun_Electronic-K%C3%BChlk%C3%B6rpergeh%C3%A4use-Raspberry-Modell-Aluminiumlegierung/dp/B07XL17RQ4 (Affiliate-Link)


    Passt das bei Euch (falls zufällig gleiches setting?


    Danke für den Input...

    Grüßle

    the other

    Moinsen,

    zu 1.: ja, problemlos möglich, auch ohne GB LAN

    zu 2.: wenn du zB DNS via DHCP an die Clients verteilen lässt, auch easy (aber du musst vorher den DHCP der Fritzbox ausschalten, 2 x DHCP gibt Probleme).

    Kannst natürlich auch die Schaltung via Fritzbox machen.


    Grüßle

    the other

    Moinsen,

    auch hier läuft seit Jahren Pihole auf dem Raspi.

    Im Netzwerk befinden sich einige switche und APs (verwinkeltes Haus, 3 Etagen). Zentral sitzt erst eine Fritzbox, dahinter dann eine pfSense auf Apu, dann der 1. switch...

    Es sind diverse VLANs und ein openVPN Server eingerichtet. Pihole sitzt als zentraler DNS Filter mit unbound im Netz.

    In der Firewall ist für alle VLANs und VPN das Regelwerk so angepasst, dass DNS Anfragen NUR über Pihole/unbound gehen, andere werden geblockt.

    So können alle Clients im Heimnetz aber auch die Gäste sowie die VPN CLients sowohl werbefreier ans Netz gehen als auch die DNS Anfragen direkt an die oberste Serverinstanz richten.

    Funktioniert perfekt...heute aktuell bei 33,3 % geblockter Anfragen.

    Hallo Leute,


    bin ganz neu hier und habe keine Vorkenntnisse, dafür aber ein Problem, welches ich selbst gelöst bekomme.

    Moinsen,

    Na, dann ist doch alles superduper...

    :)

    Hast du ggf die Firewall auf der synology aktiviert, falls ja, passende Regeln gesetzt?

    Sind die Ordner auf dem NAS für den raspberry client/User freigegeben (leserechte)?

    Moinsen,

    ich nutze u. A. Ein paar filterlisten von sempervideo auf GitHub (Moment, ich schaue noch nach dem link), da ist auch ne ganz gute Auswahl bei, ebenso wie regex Einträge... Zusammen mit den typischen anderen wird bei mir jede Menge geblockt. Achtung, folgender Tip berührt ein sensibles Thema: wenn du das alles machen willst, um ggf. für Kids bestimmten content zu sperren, dann kann man als ein der letzteren eskalationsstufen ja auch direkt in die Anfragen der clients schauen, taucht da was auf, das die lieben kleinen nicht sehen dürfen, kannst du das dann ja gezielt auf die block Liste setzen. Aber wie gesagt, das ist ein sensibles und vielschichtiges Thema bei dem die reinen technischen Möglichkeiten imho unwichtiger sind, als die pädagogischen / elterlichen Alternativen.


    Edit:

    https://github.com/RPiList/specials


    Edit2: wichtiger als allumfassende Listen / regex Einträge sind die Einstellungen im Netzwerk und am Client. Soll heißen: wenn du zwar PiHole alles zunageln lässt, aber die clients den pi aus dem lan heraus einfach umgehen können, dann ist ja eh essig. Oder wenn die Kids einfach Mobilfunk anwerfen können. Irgendein xxx content wird vermutlich immer mal den Weg finden... Jm2c

    Moinsen,

    und abgesehen davon, wie und wo du zu blockierende Dinge eingetragen hast: ist das denn auch vollständig konfiguriert wie es sein soll oder gehen die Clients ggf. einfach am Pihole vorbei (entweder, wie oben gesagt IPv6) oder eben direkt auf andere DNS Server? Denn wenn da gar nix geblockt wird, dann ist vielleicht dahingehend der Hase in der Flinte gefeldet....(ihr wisst schon)