“Only two remote holes in the default install, in a heck of a long time!” ist der Claim von OpenBSD. Dementsprechend hattte ich lange meine Firewall mit OpenBSD umgesetzt. Mein Mail-Server läuft auch schon ewig als virtuelle Maschine mit OpenBSD. Sie hat sich auch direkt vom libvirt nach Proxmox migrieren lassen. Jetzt soll eine neue virtuelle Maschine mit UEFI unter Proxmox installiert werden. Für OpenBSD 7.3 gibt es ein Tutorial in den Proxmox-Foren leider hat das nicht komplett bei mir funktioniert. Hier steht wie ich es gelöst habe.

Meshtastic ist ein Open-Source, Off-Grid, dezentrales Mesh-Netzwerk, das auf LoRa basiert. Das UI auf dem T-Deck ist funktional aber meh. Für Meshtastic gibt es ein noch etwas wackliges neues schickes UI unter anderem für das Lilygo T-Deck. Hier habe ich aufgeschrieben, wie ich das neue UI auf mein T-Deck gebracht habe.

Moderne Prozessoren sind leistungsfähig genug, um eine Festplatte oder SSD komplett zu verschlüsseln. Eine verschlüsselte Festplatte macht es einem viel einfacher, sie ordnungsgemäß zu entsorgen. Klassisch habe ich die Festplatte mechanisch zerstört, bevor sie ins Recycling ging. Das ist aufwendig. Auch wenn man nicht paranoid ist, sollten die Datenträger also immer verschlüsselt werden.

Docker öffnet Ports auf der Firewall für Container. Das war für mich unerwartet. Es gibt auch ein paar Informationen im Netz, wie man das verhindern kann. Mir ist das alles zu joker. Es kommt auch eine richtige Firewall vor den Docker- (Oder-was-auch-immer-)Server. Da dieser Server bei einem Hoster steht beschreibt dieser Artikel, wie ich das für mich mit OPNsense umgesetzt habe.

Damit kann jeder leicht seine eigenen Server mit TLS-Zertifikaten ausstatten. Da der Dienst nur überprüft, ob der Antragsteller Kontrolle über die Domain hat, für die er das Zertifikat ausstellt, dürfen die Zertifikate nur eine recht kurze Zeit gültig sein. Man muss sie also häufig erneuern. Dies erledigen verschiedene Programme automatisch. In OPNsense gibt es ein eigenes Plugin zum Einrichten von Zertifikaten.

Bei der Installation von OPNsense kann man schon den DHCP-Server im LAN einschalten. OPNsense kommt auch mit dem DNS-Server Unbound. Leider werden die dynamisch angemeldeten Rechnernamen nicht automatisch aufgelöst, wie man das vielleicht von Dnsmasq kennt. Gehen wir es an.

Nextcloud ist eine sehr gute Lösung für Cloud-Dienste (was immer das heißen mag). Sie ist auch leicht selbst auf einem eigenen Rechner zu hosten. In diesem Artikel beschreibe ich, wie man eine existierende Nextcloud-Instanz in einer OPNsense-DMZ nach außen freigeben.

Ein Reverse-Proxy kann verschiedene Aufgaben übernehmen. In diesem Fall soll er nur verschiedene Server in der DMZ unter einer IP-Adresse mit verschiedenen Domainnamen im Internet sichtbar machen.

Von außen zugreifbare Server sind auch von außen angreifbar, deshalb sollten sie nicht im gleichen Netz mit den anderen Rechnern stehen. Mit einer Demilitarisierten Zone (DMZ) kann man zumindest die Angriffsfläche verringern. Mit OPNsense kann man eine DMZ einfach einrichten. Wie folgt hier.

Das Alix.2d13 von PC Engines ist schon reichlich abgehangen, aber für Experimente kann man es noch gut nutzen.