Hi Sven, hi Daniel, hi *, *hach* im Grunde ist das eine Diskussion um Vorlieben, die vielleicht ebenso sinnvoll oder sinnlos ist, wie die Diskussion, inwiefern Ruby oder Python besser ist. Wobei letzteres klar ist¹. Sven Velt - 18.12.19, 10:41:54 CET: > Daniel Laczi wrote: > > VPN -> SSH/etc. auf Jump Host in der DMZ -> Server > > > > Manche Kunden haben auch eine Firewall, die eine Preauthentication > > machen kann. Nach der Authentifizierung geht's dann direkt auf den > > Jump Host. > > > > Wenn was spackt, dann spackt es halt. Was wenn dein Internet spackt, > > die Firewall etc.? > > "Simplicity is enemy of complex" - Je mehr Bausteine dazwischen > stecken, desto eher versagt Einer. Einerseits das… andererseits gibt es keine Garantie, dass VPN, Port Knocking, Firewall sicherheitstechnisch fehlerfrei sind. Einige Kunden machen natürlich auch Teamviewer, aber das ist dann auch nochmal eine Nummer, einem Stück proprietäre Software den Fernzugriff anzuvertrauen. Für mich privat ist das ausgeschlossen. Bislang ist meine Erfahrung, dass SSH alleine reicht. Also sofern mir da nichts entgangen ist, wurde mir bislang noch keiner meiner Server im Internet gehackt. Für mein Heim-Netzwerk habe ich jedoch auf dem Router kein SSH nach außen hin offen. Warum? Schlicht nicht nötig. Ich schalte das Ding eh aus, wenn ich es nicht brauche, und freue mich über eine niedrige Stromrechnung. > Und wie schon in einer meiner Mails angedeutet: > Wenn das Hotel-WLAN, aus welchem Grund auch immer, den einen Port, den > Du für's Port-Knocking bräuchtest, filtert - dann nimmst Du doch > wieder das Handy und ärgerst Dich dann ggf. über die Telekom, die via > LTE standortabhängig(!) Ports >8000 blockt... 😤 Hotel WLANs habe ich mittels einen bestimmten VPN-Anbieters schon mehrfach ignoriert. Geht halt nur ein OpenVPN via HTTPS nach draußen und das Hotel sieht nur einen TLS-Datenstrom. Überlege, mir das irgendwann mal mit Wireshark selbst nachzubauen, sobald das mal offiziell im Kernel ist, voraussichtlich mit 5.6. Da ich innerhalb des Tunnels aber auch TLS-Verbindungen aufbaue, vertraute ich bislang dem für Basis-Dienste Spenden-basierten VPN-Dienst soweit. Ob nun mein Provider oder der VPN-Anbieter mit bekommt, was ich für Domains aufrufe… wobei ich mir an sich auch mal den Resolver lokal auf den Laptop packen möchte. Unbound z.B. ähnlich die Knot Resolver auf dem Turris. Weiß nur nicht, inwiefern Network Manager damit klar kommt. [1] Ruby natürlich :) Ciao, -- Martin -- Mailing-Liste der Linux User Schwabach (LUSC) e.V. Vor und beim Posten bitte http://lusc.de/List-Netiquette < und http://lusc.de/List-Howto < beachten. Danke!