Zabezpieczenie systemu - Przekierowanie portow

Witam. Mam zainstalowanego HA i teraz czas zabezpieczyc system. Wszystko robie zgodnie z instrukcja Artura jak zabezpieczyc H A. Problem mam w jaki sposob przekierowac porty zeby nie narobic dziadostwa.


Czy jest ktos w wstanie pomoc co mam wpisac w poszczegolne pola?

Pewnie tylko TCP 8123 trzeba przekierować, ale poczekajmy na wparcie praktyków.

Niemniej: jesteś pewien że chcesz wystawić HA na świat? Rozważałeś bezpieczniejszą opcję przez VPN?

Zasugerowalem sie poradami artur home. Nie mam pojecia jak przekierowac te porty zeby nie pogorszyc sprawy. Nie nie bralem tego pod uwage bo nie mam o tym zielonego pojecia. Czy przez vpn jest bezpieczniej? Gdzie znajde instrukcje aby to skonfigurowac? Z gory dziekuje za odp.
Dziekuje wszystkim za odp. Zainstalowalem Zero tier. A teraz moje pytanie. Czy nie powinno zmienic sie zw polaczenie jest bezpieczne? U nie wciaz pokazuje ze tak nie jest.

Pod tagiem zdalny-dostęp ewentualnie zerotier tailscale vpn

1 Like

Najlepiej poszukaj sobie portu zewnętrznego na liście tutaj SG TCP/IP Ports Database tak aby nie był używany przez żadną inną usługę - wtedy boty skanujące najczęściej omijają taki port i nie masz dużo prób wejścia na HA.
Oczywiście przekieruj potem swój port na 8123 lokalnie…

W dzisiejszych czasach otwieranie portu na świat , to proszenie się o kłopoty. Ilość botów szukających luk przez które można się wbić jest oszałamiająca. Proponuję skorzystać z rady @szopen i uruchomić sobie usługę zerotier . Jest bezpieczna i działa nawet bez publicznego IP

1 Like

Również uważam, że obecnie nie ma żadnej potrzeby otwierania portów na świat. Jest sporo rozwiązań, które przy minimalnych nawet kosztach, jak zakup domeny, pozwalają na zdalny dostęp z każdego miejsca. Mam tu na myśli chociażby tunel od Cloudflare. Obecnie dość prosty w konfiguracji jest dostęp poprzez Tailscale, który mnie osobiście zaintrygował.

No to po kolei:
Spróbuj w “Przełącz porty” wpisać 8123 (jak się da to w obydwu polach), wybierz protokół TCP. Identycznie w “Otwórz porty”. Nazewnictwo jest dziwne (pewnie po angielsku brzmi normalniej), ale zapisz i zobacz czy masz dostęp do HA “z zewnątrz”.

Powinno działać, ale pamiętaj że de facto dajesz dostęp dla całego świata do Twojego HA. Nie jest to nic złego, ale HA ma mnóstwo pluginów, dodatków, rozszerzeń, modułów które POTENCJALNIE mają błędy pozwalające na obejście zabezpieczeń HA. I POTENCJALNIE może to doprowadzić, kiedy jakiś dzieciak będzie włączał Ci światła mając z tego radochę.

Jednym z pomysłów jest postawienie serwera VPN, współcześnie wiele routerów ma to wbudowane. Jest to usługa dużo bardziej sprawdzona i powszechnie używana. Najpierw łączysz się przez VPN z Twoją siecią lokalną, a potem “widzisz” HA tak jakbyś był w domu. I nawet jak HA ma błędy, to najpierw agresor musiałby przełamać zabezpieczenia VPN, a to już nie jest taka bułka z masłem.

To tak dużym skrócie :slight_smile: Wszystko zależy na czym masz “postawione” HA, routery, switche, czy masz IP publiczny czy prywatny, czy masz stały IP czy nie.

Dziekuje wszystkim za odp. Zainstalowalem Zero tier. A teraz moje pytanie. Czy nie powinno zmienic sie zw polaczenie jest bezpieczne? U nie wciaz pokazuje ze tak nie jest.

Pisz po polsku całymi słowami, bo trudno zrozumieć co masz na myśli pisząc jakieś nieistniejące skróty.

Tunel ZT jest szyfrowany i nie jest dostępny publicznie (musisz mieć zalogowanego klienta po obu stronach połączenia).

Nie ma tu żadnego zewnętrznego połączenia, twoja sieć ZT jest siecią prywatną i zamkniętą, więc nie jest dostępna w internecie.

W obu (sieć za NATem routera dostawcy internetu, oraz sieć ZT) swoich sieciach lokalnych natomiast nie używasz SSL i dlatego nie widzisz ikonki bezpiecznego połączenia.
Jeśli nie zrobisz jakiegoś szczególnie głupiego ruchu w stylu otwarcia dostępu z internetu do swojej sieci LAN, to mimo braku szyfrowania między serwerem a przeglądarką nie ma kto podsłuchiwać przesyłanych danych, więc brak SSL nie ma wpływu na nic.

Cześć,
pytanie od laika. Używam do tej pory HA na Proxmoxie tylko w sieci lokalnej. Mam router z możliwością serwera VPN oraz przekierowania portu TCP u operatora. Adres IP jest dynamiczny. Czy może ktoś mi wskazać kierunek w jaki najłatwiejszy i najbezpieczniejszy sposób wykonać zdalny dostęp. Z racji ogromu materiału na forum zależy mi przynajmniej na wskazaniu kierunku, który sam postaram się następnie przestudiować. Jeżeli są potrzebne jakieś dodatkowe dane to pytajcie.

Dzięki za odpowiedź.

Jeśli masz tam na tym proxmoxie HAOS lub HA Supervised (i VM ma sieć w trybie mostka, choć do zupełnie podstawowego działania nawet może być NAT, tylko on psuje wiele innych rzeczy lokalnie), to tu masz opisane absolutnie najłatwiejsze rozwiązanie bez angażowania routera ani otwierania portów (to jest tunel cloudflared “na cudzej domenie”, a konkretnie na domenie należącej do projektu AIS)

Jeśli masz własną domenę to możesz użyć rozwiązania cloudflared “w zwykłej postaci”.

Oprócz tego rozwiązania chmurowaych VPN zerotier i tailscale (oba wymagają klientów po obu stronach tunelu). Te 2 Dodatki są akurat dostępne w preinstalowanych repozytoriach w Sklepie.

Wszystkie powyższe rozwiązania nie wymagają otwierania portów.

PS Dla porządku powinienem wspomnieć o NabuCasa - to dostęp chmurowy do HA (miesięczny trial jest free), z tego projektu za to są opłacani etatowi programiści dbający o rozwój HA, więc jeśli się nie znasz na sieciach i chcesz wspierać rozwój HA to polecam.