Paperless NGX - mehr Sicherheit bei Zugriff von außen

Guten Tag zusammen, hallo Stefan,
meine Paperless NGX Installation ist so eingerichtet, dass ein externer Zugriff über die Adresse

https://paperless.mustermann.synology.me/

möglich ist. Die Anleitung dafür gibt es ja auf „Digitalisierung mit Kopf“. Nun bin ich etwas nervös, weil durchaus sehr sensible Papiere auf dem System sind und der weitere Schutz lediglich durch ein recht gutes Passwort gegeben ist. Also keine 2-Faktor-Identifizierung o.Ä.

Ich habe nun nach dieser Anleitung aus dem Hause Synology versucht, einen weiteren Passwortschutz einzurichten.

Das funktioniert auch prima. Allerdings lediglich im lokalen Netzwerk mit der 192.168.178.xxx Adresse. Komme ich über diese Adresse: https://paperless.mustermann.synology.me/
dann geht der Zugriff so durch und es gibt keine zusätzliche htaccess Abfrage.

Ich fürchte, die sicherste Lösung ist es, den externen Zugriff wieder zu entfernen und den Weg über VPN zu gehen, was aber anderen Mitarbeitern nicht möglich ist. Ich finde das gerade verzwickt.

Grüße
VF

2 „Gefällt mir“

Hallo,

das ist ein sehr wichtiger Punkt, danke fürs Ansprechen und den Link!

Tatsächlich bin ich gerade dabei, Authelia für 2-Faktor-Authentifizierung von paperless-ngx zu testen. Wenn die Tests gut abgelaufen sind, werde ich mich mit einem Update melden.

Schöne Grüße
Stefan

4 „Gefällt mir“

Hallo Stefan,

2FA wäre natürlich absolut sinnvoll!
Wirklich klasse!

Gruß
Mario

1 „Gefällt mir“

Das wäre wirklich maximal beruhigend, denn wenn meine Papiere in Geiselhaft gehen oder gar öffentlich werden, würde mich nur noch die legendäre Monopoly Karte „Du kommst aus dem Gefängnis frei“ retten. Somit wäre mir 2F natürlich 1000x lieber als htaccess
LG VF

Hallo Stefan,
auch ich bin begeistert von paperless ngx. Lediglich beim Thema Sicherheit bin ich auch noch etwas unsicher. Wäre spitze, wenn Du das Thema 2FA weiter verfolgen könntest, würde mich sehr interessieren und würde das ganze System perfekt machen.

1 „Gefällt mir“

Freut mich zu hören! Ich gebe mir Mühe, dass das Thema bald kommt.

1 „Gefällt mir“

Push :wink: hust

Synology bietet doch auch 2FA und Fido Support.

Btw es ist durchaus möglich mittels VPN von einzelnen Clients zuzugreifen in ein bestehendes OpenVPN

Hier auft ein Site2Site VPN und nebenher kann ich via Smartphone von extern drauf zugreifen…
Ok nach Umstrukturierung intern muss ich das wieder einrichten aber es lief sehr gut.
Zumindest mit pfSense Firewalls.

Hallo,
wenn ich es richtig verstehe, ist die Anleitung aus der Masterclass " Zugriff von unterwegs über VPN" eine andere, als die aus dem Video " HTTPS: Paperless-ngx aus dem Internet erreichbar machen mit Synology NAS" ebenfalls von Stefan L.
Über VPN bekomme ich zwar eine Verbindung hin, die wird aber als nicht sicher gekennzeichnet.

Das ist richtig da mittlerweile in allen Browsern HTTP:// als Unsicher angezeigt wird da komplett unverschlüsselt.
D.H. wenn du z.B. in nem Hot-Spot bei Starbucks oder so sitzt könnte dich jemand mit ner ManInTheMiddleAttack angreifen und sich zwischen dir und AP schalten und die Daten auslesen die du hoch oder runterlädst ganz banal ausgedrückt.

Deswegen wird z.B. für eine Homepage das SSL-Zertifikat benötigt damit diese via HTTPS:// erreichbar wird.
HTTP über VPN ist kein Problem nur das VPN muss halt korrekt eingerichtet und implementiert werden.

Super, Danke.
Da ich es nur gelegentlich nutzen werde, reicht die Einrichtung über VPN bei mir aus.

Hätte noch ne Alternative ohne viel konfigurieren wenn du zuhause vielleicht eh nen PC oder Raspberry laufen hast…
RealVNC Connect…
Läuft über ne Cloud, gesichert und ohne VPN von überall zugreifen auf deinen PC oder Raspberry.
Letzterer wenn z.B. 24/7 Läuft zum Werbung-Filtern ist praktisch :smiley:

Hallo @Stefan,
Gibt es Neuigkeiten zum Setup mit Authelia? Ich hätte an einer Anleitung ebenfalls grosses Interesse und wäre bereit, etwas dafür zu zahlen…

Gruess Jan

Hallo zusammen,
hat irgend jemand schon Neuigkeiten zum Thema 2FA bzw. gibt es irgendwo schon eine verständliche Anleitung wie man 2FA unter Paperless NGX nutzen kann? VG

Hallo @Gerch01,
Ich habe diese Anleitung gefunden: Add two factor authentifcation (2FA) to paperless-ngx

Habe sie aber noch nicht erfolgreich machen können…

Hallo,
danke für die Info.
Oha, das ist aber anscheinend eine Wissenschaft für sich…
Mal schaun, evtl. kann ja Stefan das mal noch in die Masterclass mit einbinden…

Es ist leider nicht so einfach wie gedacht… Authelia und Co. brauchen ein paar Konfigurationen am Reverse Proxy. Die kann man bei Synology aber nicht so einfach und persistent (über DSM-Updates hinweg) einstellen.
Man müsste also einen eigenen Reverse Proxy nutzen, könnte dann aber die Ports 80 und 443 nicht für die TLS-Zertifikat-Challenge von Lets Encrypt nutzen.

Ich habe eine Lösung im Kopf, die muss aber noch validiert werden.

1 „Gefällt mir“

Es gibt sicher viele potentielle Freunde der 2FA für papeeless-ngx. Entweder in der Masterclass oder gesondert. Hauptsache es kommt.

2 „Gefällt mir“

Hallo zusammen,

ich wollte euch mal auf den neuesten Stand bringen bezüglich 2FA und paperless-ngx.

Das große Problem war bisher, dass Synology einen Webserver nutzt, auf den man selbst kaum Einfluss hat (unter der Haube nginx, aber wenn man hier etwas an der Konfiguration ändert über die nginx.conf, kann ein Update des Systems alles wieder zurücksetzen).
Somit klappt die naheliegende Lösung (eigener Webserver + Zertifikate + Authelia) nicht, da die Ports bereits belegt sind, die für die Zertifikats-Challenge benötigt werden.

Ich habe wirklich lange daran gearbeitet, aber nun habe ich einen ersten funktionierenden Aufbau, der folgendes bietet:

  • Automatische Nutzung der bereits vorhandenen Zertifikate (Achtung: muss für alle Subdomains gelten, also sowas wie *.deinedomain.de
  • 2FA über Authelia (Nutzung z.B. des Google Authenticators oder einer anderen Authenticator-App)

Erst nach dieser Authentifizierung wird man überhaupt erst zu paperless-ngx (ebenfalls über HTTPS gesichert) gelassen.

Es gibt noch einiges zu testen und zu verbessern (automatisches Einloggen in paperless-ngx nach erfolgreicher 2FA z.B.), aber ich wollte euch an den aktuellen Entwicklungen teilhaben lassen.

Aufgrund der Komplexität und des hohen Aufwandes wird es als separater Kurs kommen.

Jetzt bin ich auf eure Fragen und Anregungen gespannt :slight_smile:

1 „Gefällt mir“

Danke. Wird sofort gebucht, sobald verfügbar. :grinning:

Freut mich :smile:

Die direkte Anmeldung in paperless-ngx durch Authelia funktioniert nun auch schon.

Ich bin selber ganz begeistert, wie gut diese Lösung ist :sweat_smile: