Niet echt een linux/ubuntu vraag, maar wel over netwerk en veiligheid.
Ik heb een NAS met daarop owncloud server geinstalleerd binnen apache. Ik heb een DNS naam en een officieel (niet self-signed) ssl certificaat voor mijn ip adres.
Ik zou graag ook bij owncloud willen kunnen als ik uit huis ben, met mijn laptop of met mijn telefoon.
Ik zie een aantal mogelijkheden, maar ben geen expert op veiligheid, dus zou graag wat advies willen.
1. Ik kan owncloud in een virtualhost zetten en dit via NAT port forewarding over poort 443 naar buiten leiden. Dit is voor mij het meest simpel en werkt direkt en overal. SSL zou een Man In The Middle Attack moeten voorkomen. Voor mij voelt dit echter onveilig, een direkte verbinding naar mijn NAS. Maar hoe onveilig is dit echt?
2. Mijn NAS heeft ootb OpenVPN draaien. Ik zou de NAT port forewarding naar de OpenVPN poorten kunnen doen i.p.v 443 openen. Een nadeel is dat de openvpn poorten nog wel eens geblocked zijn in bepaalde netwerken waardoor ik er dan geen gebruik van kan maken. Een voordeel is dat authenticatie gedaan wordt door certificaten op de apparaten te installeren. Dit zou dus theoretisch veiliger moeten zijn, maar is dat ook zo? De route gaat nog steeds direkt naar mijn NAS die in mijn LAN zit.
3. OpenVPN in een DMZ zetten, bijvoorbeeld een 2e router die OpenVPN draait, of misschien een Raspberry? Ik heb dan van buiten niet meer direkt een kanaal naar mijn LAN. Het is wel weer een extra apparaat en heeft hetzelfde nadeel van optie 2 dat het niet overal werkt. Is de toegevoegde veiligheid van dien aart dat het dat waard is? Hoe veilig is dit?
Ik realiseer me dat iets open zetten altijd een veiligheidsrisico met zich meebrengt, maar wat is wijsheid?