VPN vs. Reverse Proxy (Zugriff über mobile Geräte)

Moin,

grundsätzlich kann ich mir nicht erklären, warum ein Reverse Proxy sicher sein soll und möchte nach Erfahrungen fragen. Vermutlich ist VPN für mich jedoch die bessere Wahl und ich bleibe bei WireGuard.

Für einen Reverse Proxy richte ich Sub-Domains ein, um meine Geräte von außen erreichen zu können und genau dort fangen meine Bedenken an:

- ich benötige für jedes Gerät eine Sub-Domain oder zumindest einen eigenen Port?

- warum soll der Reverse Proxy sicher sein? Gegenüber der Portfreigaben auf dem Router sehe ich nur den Vorteil, dass der Reverse Proxy per HTTPs läuft (das macht meine Synology Filestation aber generell, diese steht zeitweise passwortgeschützt im Internet) und dass man zulässige IP-Bereiche angeben kann. Ich kann damit nicht verhindern, dass jedermann (IP-Begrenzung ausgenommen - wer hat auf dem Smartphone schon eine feste IP...) von außen Login-Versuche starten kann, die dann per HTTPs verschlüsselt sind.

Vorteile VPN:

- Zugriff auf das gesamte (freigegebene) Netzwerk, wie zu hause

- VPN müsste gehackt werden, bevor man sich von außen an den Zugriff der Clients machen könnte

- gesamter Datenverkehr ist immer verschlüsselt

Nachteil VPN:

- der Client muss mit dem VPN-Server verbunden sein

Vorteil Reverse Proxy:

- kein VPN-Client nötig, damit immer sofort erreichbar, ohne einen VPN aufbauen zu müssen (bei bestehender Internetverbindung sofort verfügbar)

Nachteil Reverse Proxy:

- Portfreigaben in das Netzwerk notig (für VPN nur eine, bzw. läuft der VPN-Server direkt auf dem Router, bzw. der Firewall)

- jeder, der über die Domain geht, kann Login-Versuche an den verlinkten Servern im Heimnetz starten ohne zusätzlicher Sicherheitsabfrage

- idealerweise für jeden Server (jeden Shelly) eine eigene Sub-Domain oder eigenen Port erforderlich

- höherer Wartungsaufwand durch Punkt zuvor

Dieses sind keine Fakten, sondern Annahmen, bzw. Fragen aufgrund kurzer Google-Recherche. Ich bitte darum, dass diese wiederlegt oder bestätigt werden.

Grundsätzlich sind aufgrund der obigen Punkte VPN und Reverse Proxy nicht wirklich gut vergleichbar, da der VPN darauf abzielt unterwegs wie zu Hause arbeiten zu können und der Reverse Proxy anscheinend nur für einzelne oder weniger Server im Heimnetz zu empfehlen ist, auf die per sicherer Verbindung über eine Homepage (FQDN) zugegriffen werden soll.

Ich freue mich über einen regen Austausch.

Danke, das zeigt mir, dass ich nicht so falsch gegoogelt habe.

Wer keine Subdomains anlegen kann, der braucht dann Ports, ansonsten kann man mit Subdomains arbeiten, muss sich jedoch um dessen Zertifikate kümmern, um den Vorteil der Verschlüsselung nutzen zu können.

Das mit Homeassistant ist ein Punkt. Wird der VPN nicht aufgebaut, werden auch die Sensoren nicht aktualisiert. Dieses ist per Portfreigabe vermutlich reibungsloser als per VPN, allerdings ist der VPN aktiv, hat jedoch keine Verbindung (was bei WireGuard leider ab und an passiert, besonders bei Netzwechseln), dann kommt auch die Anfrage zur Subdomain nicht durch, da das Internet des Smartphones dann quasi lahmgelegt ist.

Für mich würde das bedeuten, dass ich folgende Sub-Domains anlegen muss und auf permanentes VPN verzichte und dieses nur bei Bedarf aufbaue:

- Dateifreigabe

- Telefonie (FritzFon App)

- Home Assistant

- NodeRed

- (ggf. Wärmepumpe & SolarLog)

- Synology Chat

Grundsätzlich scheinen mir da die Möglichkeiten per VPN wesentlich umfangreicher, sicherer und einfacher zu konfigurieren, zumindest bei meinen Anforderungen.

Wer nur auf Home Assistant zugreifen möchte, der ist damit vermutlich besser bedient.

66er vielleicht ist es eine Anregung um deinen Blogartikel um "Reverse Proxy über Synology" zu erweitern?

Herausforderungen wären die Subdomains (alternativ mehrere Portfreigaben) und die SSL-Zertifikate für die Subdomains (Let's encrypt auf Synology). Ansonsten sieht das alles recht easy aus.