Search

Stevo 27.04.2016 - 21:54

Protonet DynDNS anstatt oder auch zusätzlich zum Reverse-Proxy

Ein (zusätzlicher) DynDNS-Dienst anstatt des Reverse-Proxy-Logins wäre gut. denn als sicherheitsbewusster Nutzer will man keine Kompromisse zulasten der Sicherheit.

Näheres hier:
http://t3n.de/news/protonet-sicherheitsrisiko-517435/

 

Edit durch Micha/Moderation/Ergänzung aus dem späteren Verlauf der Diskussion:
„Ich hatte erwartet, dass es möglich wäre, dass eine Protonet-box die eigene externe IP überwacht und diese bei Protonet zusammen mit „.protonet.info“ hinterlegt. Das würde als DynDNS-Dienst ja reichen.
Bzgl. zertifikate müsste Protonet selbst als Zertifizierungsstelle auftreten und die einzelen Protonet-Box-Zertifikate signieren.“

6 answers

Micha 28.04.2016 - 10:54

Hallo Stevo,
wir erklären in unserem Blog ausführlich, warum wir uns für die Variante des Reverse-Proxies entschieden haben: Warum machen wir es so wie wir es machen?

Der wesentliche Absatz bzgl. der Alternative DynDNS daraus:
„Leider funktioniert das Internet und unsere Browser nicht ganz so wie wir es gerne hätten. Neben der Einrichtung vom Port-Forwarding (quasi der ersten Stufe der Web-Freigabe) und der DynDNS Funktionalität (dem was letztendlich dafür sorgt das box.adresse.de auf die richtige IP zeigt) ist die Erstellung eines gültigen, vertrauenswürdiges Zertifikates notwendig. Während bestimmte Teile dieses Prozesses automatisiert werden können (und das auch nicht immer), bedarf die Zertifikatserstellung einer Auseinandersetzung mit Zertifikatsautoritäten. Ganz nebenbei: unsere User wissen in der Regel nicht einmal wer das macht oder wie man sich für so ein Zertifikat bewirbt. Und der Shortcut über ein eigenes Zertifikat bedeutet für diejenigen die auf die Box von extern zugreifen eine große rote Fehlermeldung“

Es ist dennoch bereits jetzt möglich einen eigenen DynDNS-Anbieter zu nutzen anstatt Protonet Proxydienstes. Wie das geht, beschreiben wir hier auf dem Portal in den FAQ:
DYNDNS-ZUGANG EINRICHTEN

Wie es geht die angesprochene Zertifikatsfehlermeldung zu vermeiden bzw. den Protonet Server mit einer eigenen Webadresse zu versehen, ist hier beschrieben:
KONFIGURATION EINER EIGENEN DOMAIN ODER DYNDNS

Die zweite Anleitung ist so komplex, weil nicht einfach in SOUL abbildbar auf Knopfdruck das „richtige“ Zertifikat gekauft und ins richtige Formate gebracht werden kann oder gar DNS-Einträge beim Internetprovider eingerichtet.

Bitte lass uns wissen, was genau Du vermisst. Ohne diese Informationen schließe ich im Rahmen der Moderation den Featurewunsch morgen, denn die protonet.info-Adresse (und damit der Reverse-Prxy) ist ja bereits abschaltbar und ein alternative DynDNS-Anbieter oder eine eigene Domain kann eingerichtet werden.

Herzliche Grüße
Micha

Micha 28.04.2016 - 11:01

PS: Wir arbeiten bereits an einer Vereinfachung bzgl. der Zertifikate.
Martin hat hier bereits eine Anleitung für Let’s Encrypt hinterlegt:
https://support.protonet.info/de/forum/wie-kann-ich-mit-der-lets-encrypt-software-auf-der-protonet-box-ein-ssl-zertifikat-erstellen/

Wir hoffen dass bald auch „einfach“ nutzbar anbieten zu können.

Stevo 28.04.2016 - 23:16

Hallo Micha, hallo Protonet.

erst einmal vielen Dank für die Antwort.
Mir geht es zu allererst darum, keinerlei Abstriche an der Sicherheit zu machen. Und ich denke, alle Nutzer von protonet empfinden so, sonst wären sie nicht bei Protonet.

Bzgl. DynDNS & Co.: Ich hatte erwartet, dass es möglich wäre, dass eine Protonet-box die eigene externe IP überwacht und diese bei Protonet zusammen mit „.protonet.info“ hinterlegt. Das würde als DynDNS-Dienst ja reichen.
Bzgl. zertifikate müsste Protonet selbst als Zertifizierungsstelle auftreten und die einzelen Protonet-Box-Zertifikate signieren. Das wäre doch möglich!?

Micha 29.04.2016 - 9:47

Hallo Stevo,

danke für die weitere Erläuterung.

Warum wir das bisher so nicht wie von Dir gewünscht umsetzen konnten war die Komplexität der Thematik, die unserer Mission „Einfachheit“ entgegen stand bzw. noch steht:

Bzgl. der Zertifikate wird es, wie bereits erwähnt, zukünftig tatsächlich einfacher.

Was wir jedoch nicht auf Knopfdruck in SOUL abbilden können, ist in den Routern dieser Welt (Fritz!Box, Speedport, …) die Portweiterleitung einzurichten bzw. nötige Ports zu öffnen, die in Kombination mit einem DynDNS-Dienst nötig wären.

Das müsste weiterhin userseitig geschehen.

Herzliche Grüße
Micha

Rusty 27.09.2016 - 8:56

Hallo Micha,

Synology hat die Automatisierung von Portweiterleitungen recht elegant gelöst. Vllt schaut Ihr euch das mal an…
Gerne auch z. B. per TeamViewer auf meinem NAS.

Grüße
Sebastian

allegro 09.10.2016 - 5:10

@Rusty:
Könntest du evtl. mit ein Paar Stichwörtern den Lösungsansatz bzw. die Lösung von Synology beschreiben ? Bin nömlich auch interessiert :).