Paperless NGX - mehr Sicherheit bei Zugriff von außen

Guten Tag zusammen, hallo Stefan,
meine Paperless NGX Installation ist so eingerichtet, dass ein externer Zugriff über die Adresse

https://paperless.mustermann.synology.me/

möglich ist. Die Anleitung dafür gibt es ja auf „Digitalisierung mit Kopf“. Nun bin ich etwas nervös, weil durchaus sehr sensible Papiere auf dem System sind und der weitere Schutz lediglich durch ein recht gutes Passwort gegeben ist. Also keine 2-Faktor-Identifizierung o.Ä.

Ich habe nun nach dieser Anleitung aus dem Hause Synology versucht, einen weiteren Passwortschutz einzurichten.

Das funktioniert auch prima. Allerdings lediglich im lokalen Netzwerk mit der 192.168.178.xxx Adresse. Komme ich über diese Adresse: https://paperless.mustermann.synology.me/
dann geht der Zugriff so durch und es gibt keine zusätzliche htaccess Abfrage.

Ich fürchte, die sicherste Lösung ist es, den externen Zugriff wieder zu entfernen und den Weg über VPN zu gehen, was aber anderen Mitarbeitern nicht möglich ist. Ich finde das gerade verzwickt.

Grüße
VF

2 „Gefällt mir“

Hallo,

das ist ein sehr wichtiger Punkt, danke fürs Ansprechen und den Link!

Tatsächlich bin ich gerade dabei, Authelia für 2-Faktor-Authentifizierung von paperless-ngx zu testen. Wenn die Tests gut abgelaufen sind, werde ich mich mit einem Update melden.

Schöne Grüße
Stefan

4 „Gefällt mir“

Hallo Stefan,

2FA wäre natürlich absolut sinnvoll!
Wirklich klasse!

Gruß
Mario

1 „Gefällt mir“

Das wäre wirklich maximal beruhigend, denn wenn meine Papiere in Geiselhaft gehen oder gar öffentlich werden, würde mich nur noch die legendäre Monopoly Karte „Du kommst aus dem Gefängnis frei“ retten. Somit wäre mir 2F natürlich 1000x lieber als htaccess
LG VF

Hallo Stefan,
auch ich bin begeistert von paperless ngx. Lediglich beim Thema Sicherheit bin ich auch noch etwas unsicher. Wäre spitze, wenn Du das Thema 2FA weiter verfolgen könntest, würde mich sehr interessieren und würde das ganze System perfekt machen.

1 „Gefällt mir“

Freut mich zu hören! Ich gebe mir Mühe, dass das Thema bald kommt.

1 „Gefällt mir“

Push :wink: hust

Synology bietet doch auch 2FA und Fido Support.

Btw es ist durchaus möglich mittels VPN von einzelnen Clients zuzugreifen in ein bestehendes OpenVPN

Hier auft ein Site2Site VPN und nebenher kann ich via Smartphone von extern drauf zugreifen…
Ok nach Umstrukturierung intern muss ich das wieder einrichten aber es lief sehr gut.
Zumindest mit pfSense Firewalls.

Hallo,
wenn ich es richtig verstehe, ist die Anleitung aus der Masterclass " Zugriff von unterwegs über VPN" eine andere, als die aus dem Video " HTTPS: Paperless-ngx aus dem Internet erreichbar machen mit Synology NAS" ebenfalls von Stefan L.
Über VPN bekomme ich zwar eine Verbindung hin, die wird aber als nicht sicher gekennzeichnet.

Das ist richtig da mittlerweile in allen Browsern HTTP:// als Unsicher angezeigt wird da komplett unverschlüsselt.
D.H. wenn du z.B. in nem Hot-Spot bei Starbucks oder so sitzt könnte dich jemand mit ner ManInTheMiddleAttack angreifen und sich zwischen dir und AP schalten und die Daten auslesen die du hoch oder runterlädst ganz banal ausgedrückt.

Deswegen wird z.B. für eine Homepage das SSL-Zertifikat benötigt damit diese via HTTPS:// erreichbar wird.
HTTP über VPN ist kein Problem nur das VPN muss halt korrekt eingerichtet und implementiert werden.

Super, Danke.
Da ich es nur gelegentlich nutzen werde, reicht die Einrichtung über VPN bei mir aus.

Hätte noch ne Alternative ohne viel konfigurieren wenn du zuhause vielleicht eh nen PC oder Raspberry laufen hast…
RealVNC Connect…
Läuft über ne Cloud, gesichert und ohne VPN von überall zugreifen auf deinen PC oder Raspberry.
Letzterer wenn z.B. 24/7 Läuft zum Werbung-Filtern ist praktisch :smiley: