Nextcloud ins Internet stellen ohne weitere Sicherheitsmaßnahmen?

Hi zusammen,

Ich bin etwas unsicher wie ich vorgehen soll.
Ich habe eine Fritzbox (Leihgerät) daran hängt ein Raspberry mit diversen Diensten, darunter eine Nextcloud.

Ich würd die gern ins Internet stellen, da ich jedoch keine Firewall oder weitere Sicherheitsfeatures hab bin ich mir unsicher ob ich das tun soll.

Die Nextcloud soll hauptsächlich für die Familie nutzbar sein, derzeit greife ich per Wireguard von der Ferne zu wenn Bedarf besteht. Wireguard möcht ich aber nicht auf den Smartphone meiner Familie installieren.
Ich möcht google cloud damit ablösen und die Nextcloud als geteilte Kalender und Kontakte-Server nutzen sowie zur Dokumentenablage. Traffic kommt dabei nicht viel zusammen.

Hardware für Firewall oder neuer Router zur Trennung von VLANs möcht ich derzeit nicht investieren da ich 2026 umziehen werde und nicht weiß was ich da für Hardware dann brauch…

Was sagt ihr zu dem Thema?

Wie viele Dateien? GB?

Wenn es hauptsächlich um Kalender und Kontakte geht kannst du dir auch irgendwo einen vServer (für einen Euro/Monat) mit Debian oder Ubuntu als OS mieten und dort eine Nextcloud installieren. Auf dem vServer dann noch ufw aktivieren, nur die für ssh und Nextcloud benötigten Ports freigeben und gut ist.

Die Dateien von Nextcloud sind derzeit kein GB…

Hab noch einen Immich Server (Foto-Verwaltung & Smartphone Foto-Backup) welcher auch schön wär wenn er immer erreichbar wär…

Für ein paar Euro monatlich wärs nicht tragisch aber grad die Fotos würd ich gern lokal lassen…

Über welches Protokoll synchronisierst du denn die Fotos zwischenAndroid und diesem Immich Server? Sieh dir mal die App FolderSync an. Die kann ziemlich viel, auch WebDav. Ich nutze sie um meine Dateien mit der Nextcloud zu synchronisieren. Für Kalender und Adressen DAVx5.

Fotos sind ja jetzt nicht was man quasi permanent synchronisieren muss. FolderSync kann man so konfigurieren, dass es das nur im heimischen WiFi macht. Dann wären Fotos weiterhin lokal im LAN, Kalender und Adressen aber im Web.

Wie immich da genau arbeitet weiß ich gar nicht - gibt aber in der immich app die Option mit dem WLAN und hab ich auch aktiv.

Sync von außen brauchts wirklich nicht, aber kam schon öfters vor dass die Frau unterwegs auf immich Server zugreifen wollt um Fotos zu zeigen und dann verwundert war dass es nicht funktioniert :wink:

Vielleicht sollt ich mal mit CloudFlare testen, da könnte man regeln definieren wer zugreifen kann glaub ich. Was mir da nicht gefällt dass cloudflare den traffic entschlüsselt und erst dann weitergibt. SSL certs sind dann auch nicht die gleichen wenn ich im LAN bin oder per cloudflare zugreif… Gefällt mir auch nicht so gut…
Und zuhause übers Internet wieder auf Zuhaus zugreifen macht einfach auch keinen Sinn…

Oder mal anders gefragt:

  • was kann denn dieser Immich Server, was eine Nextcloud nicht auch kann?
    Kann der entscheidend mehr als die Nextcloud, was dann den Mehraufand für den Support und die Wartung von zwei Servern rechtfertigen würde?

Bei mir landen die Fotos in der Nextcloud. Von da bekomme ich die zwecks Bearbeitung auch auf mein Notebook.

Zu den Bedenken die Fotos nicht im Internet haben zu wollen. Die Nextcloud kann Verschlüsselung und sie kann 2FA via OTP (Google Authenticator oder kompatibel). Damit dürften die Fotos auch auf einem Nextcloud-Server im Netz ziemlich sicher verwahrt sein.

Der Funktionsumfang von immich und nextcloud photos dürfte ähnlich sein denke ich. Kenne nextcloud photos aber nicht da ich vorher schon immich laufen hatte.

Könnte man vermutlich mit nextcloud vereinheitlichen. Aber mit der Datenmenge inkl. Fotos (800GB) wird dann vermutlich nichts mehr mit ein paar Euros / Monat bei Nextcloud bei einem Cloud Server…

Glaub nicht dass das die Lösung für mein Ursprungs -Problem wird

Warum schließt du das beides aus?

  • Was ist an Wireguard auf Smartphones das Problem?
  • Warum schließt du auch Hardware für eine dedizierte Firewall aus?

Ich z.B. habe eine pfsense. Die läuft als VM auf einem MiniPC. Das ist eine Lösung, die vollständig unabhängig davon ist, was du nach dem Umzug in 2026 als Internet-Ansluss haben solltest. Bei mir ist die pfsense hinter einem Modem, macht die Einwahl über PPPoE. Man kann sie aber auch einfach hinter die vorhandene Fritte hängen, wenn man kein Modem will.
Auch wenn du nach dem Umzug ein anderes Netz bekommst, also TV-Kabelinternet statt DSL oder Glasfaser, kann die pfsense weiter so verwendet werden. Bei Glasfaser würde die pfsense auch am Glasfaser-ONT arbeiten und bei TV-Kabelinternet auch an einem reinen Kabelmodem, oder eben weiterhin an einer Fritte, die dann zum Anschluss passt.
Nachteil hinter einer Fritte ist halt Doppel-NAT. Aber das ist lösbar.
Auf jeden Fall würdest du mit einer dedizierten Firewall im Heimnetz in einem separaten Netzwerksegment deine Server wie Nextcloud und/oder Immich sicher von außen erreichbar machen können, ohne Gefahr fürs LAN und gleichzeitig würdest du das Geld für die pfsense Hardware nicht zum Fester raus werfen, wenn du einen gänzlich anderen Anschluss nach dem Umzug bekommen solltest

Sowas wär sicher eine coole Lösung…

Was mir bei der Lösung noch unklar ist - wie krieg ich da dann WLAN zum laufen?

Per WLAN-AP. Idealerweise getrennt vom LAN, also an einem der möglichen OPT-Netze oder per VLAN-fähiger Hardware auch per VLAN-ID getrennt. Da gibt es mehrere mögliche Lösungen, die abhängig sind davon wie viele WLAN’s du haben willst. Also reicht eines oder brauchst du auch ein separates für Gäste.

Hm wenn dann wären mehrere WLANs interessant. Brauch dann aber vermutlich auch einen POE Switch hinter der Firewall?

POE für Power over Ethernet? Warum das? Eher nicht.

Es gibt WLAN-Ap die können mehrere WLAN’s mit unterschiedlichen SSID’s. Die Fritte kann ja auch schon zwei. Die zweite SSID gehört ja zum Gastnetz. In Kombination mit der pfsense würde ich dann eine WLAN-AP nehmen. der zwei, besser drei SSID’s kann und zudem VLAN-ID’s diesen zwei oder drei SSID’s zuweisen kann. Solche Geräte kosten ab 100 Euro aufwärts. Dafür kasst du dann aber hinterher sauber WLAN’s trennen für Notebook & Smartphones sowie für Gäste und wenn Bedarf besteht auch für IoT-Geräte, die WLAN benötigen, wie z.B. Heizungssteuerung, Smarter Fernseher, etc. Gerade bei den IoT-Geräten weiß man ja nie für wie lange die mit Sicherheitsupdates versorgt werden und ab wann die potentiell eher ein Risiko werden fürs LAN.
Aber an deiner Stelle würd ich mir da jetzt erst einmal einige Tage Zeit nehmen, mir überlegen was ich perspektivisch gern hätte und dann darauf abgestimmt mir überlegen was ich dafür noch anschaffen müsste.

@gamebird Unter anderem z.B. MikroTik (ist zwar nicht für Anfänger zu empfehlen, aber nicht so überteuert wie UniFi)

Da hier schon Empfehlungen für MikroTik-Hardware ausgesprochen werden, sag ich auch mal was dazu. Der NWA50AX von Zyxel kostet ~ 80 Euro. Hat zwar ab Werk kein besonders gutes GUI. Dafür kann man den mit OpenWRT pimpen und beherrscht getaggte VLANs für mehrere SSIDs.

Nachteil: ist halt so’n Teil ohne externe Antennen.

Ich glaub mit einem mikrotik hap ax2 wär in der jetzigen Wohnung alles abgedeckt.

Die Fritzbox davor muss ich aber lassen und auf bridged stellen oder?
Kabel aus der Dose direkt in den mikrotik geht nicht?

Den Mikrotik könnt ich dann in der nächsten Wohnung als AP verwenden und im Keller wo der Netzwerkschrank steht brauch ich dann sowieso ein anderes Gerät…

Bei dem Zyxel hab ich halt nur einen AP, bräuchte dann noch seperate Hardware für FW/Router.

Ja aber separate HW für den Router brauchst du ja dann später sowieso?

Ja stimmt. Glaub ich besorg mir mal ein Mikrotik zum reinschnuppern dann seh ich ja wie sich das entwickelt.

Vielen Dank an alle für den Input!!!

Aber bei MikroTik musst du erstmal am Anfang ziemlich viel erlernen (wahrscheinlich)

Da hast du Recht, hab mir grad RouterOS Demo angesehen - ich hab zwar Basis Wissen über Netzwerke aber dafür fehlt mir mit 2 Kindern zuhause einfach die Zeit :rofl:

naja, es ist eigentlich relativ einfach finde ich. Man muss halt nur wirklich alles selber machen.