Ich habe eine StorageShare (=Managed Nextcloud) bei Hetzner gebucht. Dort liegen vor allem (private) Dokumente und Fotos (= viele kleine Dateien) - bislang unverschlüsselt. Hetzner als Anbieter vertraue ich zwar, aber man kann ja nie wissen, ob Nextcloud aufgrund einer Sicherheitslücke gehackt wird.
Ich mache mich deshalb gerade schlau, wie ich das ganze (mit einem Mac sowie verschiedenen iOS-Geräten) E2E-verschlüsselt nutzen könnte. Leider bereitet vor allem das oft gepriesene Cryptomator bei mir mehr Probleme als Nutzen. (Wobei das nach meinem Eindruck eher an MacFuse bzw. FUSE-T liegt. Aber das ist ein anderes Thema.) Auch alle anderen Tools, die ich gefunden habe, benötigen MacFuse oder FUSE-T.
Ich spiele deshalb mit dem Gedanken, mich ganz aus der Cloud zu verabschieden und stattdessen auf ein NAS zu setzen. Gleichwohl würde ich gerne auch gelegentlich Zugriff von unterwegs auf die Daten haben. Da kam mir die Idee, eine SSD an meine FritzBox zu hängen und FRITZ!NAS zu verwenden. Verbinden würde ich mich über WireGuard.
Mir ist unklar, wie sicher ein solches Setup ist. Natürlich kann man keine absolute Sicherheit erreichen, trotzdem würde mich eine Einschätzung von euch Profis interessieren. Ich war bislang immer der Meinung, ich nutze lieber einen Dienst, den ein Profi konfiguriert hat (z.B. eine Nextcloud bei Hetzner), als es mit meinem Halbwissen selbst zu konfigurieren. Die Einrichtung von WireGuard und FRITZ!NAS in der Oberfläche der FritzBox scheint mir aber auch für Neulinge gut machbar.
Trotzdem: Gibt es irgendetwas Wichtiges bei diesem Setup zu beachten oder habt ihr sonst irgendwelche Tipps hierzu? (Lange Passwörter würde ich natürlich nutzen und in meinem Passwort-Manager ablegen.)
Die Verbindung selber ist nach aktuellen Stand der Technik sehr sicher.
Viele WireGuard-Clients setzen kein Passwort auf die WirdGuard-Verbindung selbst, d.h. wer die WireGuard-Konfigurationsdatei hat, hat auch Zugang.
Solange Du also Deine mobilen Geräte hinreichend schützt, ist Deine Lösung sicher.
Die Fritzbox-Software und damit das NAS kann genau wie die Nextcloud eine Sicherheitslücke haben. In Log-Dateien zu Netzwerktraffic kann man auch sehen, das sich viele automatisierte Scans auf Lücken in Routern und die entsprechenden IPs spezialisiert haben.
Daneben besteht bei einer einzeln angehängten SSD das Risiko des Verlusts der Daten. Bei den gemieteten Nextcloud befinden sich die Daten meist auf redundanten Disks.
Abgesehen von diesen Punkten ist das aber ein gangbarer Weg und WireGuard gilt als sicher.
Ich finde dein Vorgehen sehr gut, dass du weisst, was du kannst oder eben auch nicht und dadurch nicht in ein offenes Messer rennst. Ich habe mit FritzNAS immer enttäuschende Erfahrung gemacht, was die Performance angeht, also ruhig vorher im LAN ausgiebig testen, ob das überhaupt für dich passt.
Zum Thema: Solange deine Fritzbox auf dem aktuellsten Stand ist, solltest du dir was Wireguard angeht keine Sorgen machen. Im Wireguard-Client kann man sehr wohl ein Passwort setzen, allerdings steht das ebenfalls im Klartext in der Client Config, also hier unbedingt aufpassen, dass das Endgerät entsprechend geschützt ist. Für ein solides Backup könntest du die Nextcloud bei Hetzner kündigen und eine Storage Box mieten und dort ein verschlüsseltes Abbild der SSD hochladen (täglich/wöchentlich/monatlich je nach dem wie oft sich da was ändert). Falls dann etwas mit der SSD sein sollte oder Schäden durch Naturgewalten entstehen, hast du keine Daten verloren.
Als Tipp: Wenn du Zeit und Interesse hast, kannst du dich ja nebenbei mit Nextcloud beschäftigen und erstmal im LAN laufen lassen, bis du dich sicherer fühlst. Du musst die Nextcloud auch nicht direkt ans Internet anklemmen, sondern über den Wireguard Tunnel erreichen (anstatt FritzNAS, weil Performance doof oder du weitere Nextcloud Features nutzen möchtest). In diesem Fall kannst du natürlich nur Daten mit Personen teilen, die ebenfalls in deinem LAN oder VPN sind und benötigst bspw. nen Raspberry Pi, wo Nextcloud laufen kann.
Ich habe zur Zeit ein anderes off-site Backup Konzept und die Hetzner StorageBox (noch) nicht im Einsatz. Wenn ich diesen Luxus nicht hätte, würde ich mich für die StorageBox entscheiden und mit Borg Backup (wird von Hetzner supported https://docs.hetzner.com/de/robot/storage-box/access/access-ssh-rsync-borg/ ) oder Software wie goCryptFS gehen.
Möglicherweise auch eine andere Software, habe mich damit noch nicht zu sehr auseinandergesetzt.
@Mamr
Ich schliesse mich den anderen an:
WireGuard gilt als sicher und wenn du so auf ansonsten nur zuhause im lokalen Netzwerk erreichbare Ressourcen/Dienste zugreifst, dann ist das auch sicher. Auf jeden Fall sicherer als das FRITZ!NAS direkt ins Internet zu „veröffentlichen“, sofern dein Netzwerk zuhause für dich als sicher gilt (ich rechne dank der Kinder/Teenies u.U. mit Gästen, die das WLAN-Passwort von den Kids einfach so mir-nix-dir-nix bekommen)
Die nutze ich mit einer vorgeschalteten VM und syncthing für versionierte Backups (die StorageBox selber kann ja auch mehrere Tage lang Snapshots vorhalten) und für den Zugriff auf Daten über die auf der vorgeschalteten VM laufenden eigenen NextCloud per App auf meinem Smartphone (bzw. die ganze Familie macht das so).
Grund dafür war bzw. ist, dass der NC-Client auf Linux bisher(?) nicht 24x7 einfach so im Hintergrund laufen kann wie z.b. der Dropbox-Client (den ich seit meiner NC gar nicht mehr einsetze) und ich nicht mich und meine Frau und meine Kids am Desktop nach jedem Reboot erneut anmelden wollen/können, damit die NC-Desktop-App das erledigt.
Der Vollständigkeit halber: Mit geht es nicht um eine Backup-Lösung sondern allein um das „Verteilen“ von Dateien und Fotos auf meine verschiedenen Geräte. Alle in meiner Nextcloud liegenden Dateien werden bereits heute auf meinen heimischen Mac gesynct und landen von dort im Backup. Letzteres habe ich zum einen mit externen SSDs und zum anderen mit einer Hetzner StorageBox und Restic umgesetzt.
Aufgrund eurer Anregungen werde ich mich aber mal mit einer heimischen Nextcloud auf einem Raspberry Pi befassen. Testweise habe ich das heute schon einmal auf meinem Raspberry Pi 3 B installiert, war aber extrem langsam. Man kann wohl noch ein wenig Speed mit Feintuning herausholen. Letztlich wird es aber wohl einfacher sein, mein Model gegen einen 4er oder gar 5er auszutauschen. Den Pi (samt Nextcloud) würde ich nur im Heimnetz lassen und mich dann von außen mittels WireGuard mit meinem Heimnetz verbinden. Ich werde mal testen, ob die Clients ein Problem damit haben, wenn die Nextcloud zeitweise nicht erreichbar ist (weil ich gerade zwar unterwegs aber nicht mit WireGuard verbunden bin). Falls nicht, dürfte das eine einigermaßen wartungsarme und zugleich brauchbare Lösung für mich sein.
Klingt nach einer guten Lösung! Vorteil beim Pi 4 (und bestimmt auch beim 5) ist, dass man die Möglichkeit hat, direkt von einer externen Platte zu booten (z.B. SSD über USB 3.0) und sich die SD-Karte sparen kann. Macht das ganze Setup schneller und selbst wenn nur die Daten auf die externe Platte ausgelagert werden ist ein Pi 4/5 wesentlich performanter. Viel Spaß damit!
