[Sammelthread] Netbird – Zero Trust Networking Platform

toscdesign

Enthusiast
Thread Starter
Mitglied seit
17.02.2022
Beiträge
9.738
Ort
Keller vom DE-CIX
im Aufbau

Aufgrund zahlreicher Diskussionen von mir und anderen in den letzten Monaten, in den verschiedensten Threads, habe ich mal diesen Sammler erstellt.

Was ist Netbird?
NetBird ist eine Open-Source-Zero-Trust-Networking-Plattform, mit der sichere private Netzwerke erstellt werden können. Es ist auf einfache Bedienung ausgelegt.
Für die Verbindungen des Overlay Netzes (wireguard) müssen keine Ports, Firewall-Regeln, VPN Gateways usw. konfiguriert werden (mehr dazu beim Thema Selfhosted).

Es gibt keinen zentralen VPN Server. Alle Computer, Server und Geräte verbinden sich direkt über einen verschlüsselten WireGuard Tunnel miteinander.
Diese Verbindungen können mit wenigen Klicks konfiguriert werden.
Inzwischen wird auch ein ReverseProxy (aktuell in Beta) zur Verfügung gestellt, welcher sich um die Zertifikate, Verbindungen zu Diensten und Geoblocking kümmert.
In diesem ist sogar ein CrowdSec Bouncer integriert, welcher einfach aktiviert werden kann.

Netbird ist im Gegensatz zu Tailscale* und Zerotier komplett Opensource.
Es wird von der Firma NetBird GmbH aus Berlin entwickelt und ist damit ein europäisches Unternehmen.

* Bei Tailscale gibt es noch das Communityprojekt Headscale welches den Tailscale Koordinationsserver nachbaut. (danke @Kreis für die Info)


Links:
Netbird.io - Homepage
Netbird.io Docs
Netbird Github
deutscher Youtube Kanal
englischer Youtube Kanal
Firmeninfos bei Northdata





Selfhosted
Netbird kann mit dem von Netbird.io bereitgestellten Managementserver oder einem selbst gehosteten verwendet werden:

Beim selbstgehosteten Management Server ergibt sich der Vorteil, das man komplett unabhängig ist und die ganzen Metadaten zu den Konfigurationen auf dem eigenen System bleibt. Die Tunnel selbst sind immer Ende zu Ende verschlüsselt (wireguard).

Der Nachteil beim selbst Hosten ist, das man die Ports 443 (tcp), 80 (tcp) und 3478 (udp) öffnen muss, da dort drüber die Dienste wie Reverseproxy sowie die Managementkonsole, sowie die Zertifikatserstellung (LetsEncrypt) laufen. Die Installation selbst ist einfach und schnell mit dem Quicksart Guide erledigt:
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Bin voll zufrieden mit der hosted Variante. Mit zwei Peers im Homelan hat man schon eine gute HA.
 
Zuletzt bearbeitet:
Ich finde die Beschreibung etwas verwirrend (muss ich zugeben), aber im Endeffekt ist es doch sehr ähnlich zu Pangolin https://pangolin.net/

Das nutze ich auf einem kleinen VPS und dann den Client im Homelab, der verschiedene Ressourcen frei gibt.

Dann hauptsächlich die Android App am Handy.

Läuft auch prima.
 
Geht Pangolin nicht eher in die Richtung getunnelter Reverse Proxy?

Auch ist das Netzkonzept doch eher auf einen zentralen Server ausgerichtet anstatt auf P2P, oder sehe ich das falsch?
 
Das siehst du richtig, es ist ein getunnelter reverse Proxy mit Identity awareness.

Daher meinte ich, dass ich den Anwendungsfall für privat von Netbird nicht wirklich verstehe.

Für Firmen um mehrere Standorte dezentral zu Verbinden verstehe ich es noch, aber privat habe ich ja in der Regel zu Hause, evtl. ein paar VPS und dann vor allem Endgeräte (Handy, Laptops) die dann, wenn sie außerhalb von zu Hause sind.

Mir geht es halt darum, was der große Vorteil ist, gegenüber ganz normal Wireguard auf meinem Router laufen zu lassen (außer halt wenn man mehrere Standorte hat)?

Bei Pangolin kann ich durch den Reverse Proxy ja granular sagen, welche Dienste erreicht werden können (auch von außen ohne VPN). Dazu gibt es auch den Crowdsec Bouncer und Geo IP Blocking.
 
Es gibt keinen zentralen VPN Server. Alle Computer, Server und Geräte verbinden sich direkt über einen verschlüsselten WireGuard Tunnel miteinander.
Hm, da frage ich mich ja, wie dass dann in Homelabs genutzt wird. Ich habe mit meinem Smartphone einen WG Tunnel zum Router und komme somit - sofern ich das zulasse auf alle Serverdienste daheim - inkl. das mein Pihole als DNS-Server genutzt wird.

Es mag an der Urzeit liegen, aber wie würde ich so etwas mit Netbird abbilden.. ? Dann müsste ich ja auf meinem Filer, Pihole etc. überall Netbird haben, um darauf zugreifen zu können - und wie ich komme ich dann von da ins Internet? Da fehlt mir gerade die Fantasie dazu xD
 
Disclaimer:
Ich bin kein Entwickler von Netbird. Bin nur ein User der das ganze verstehen und nutzen möchte 😅

Für Firmen um mehrere Standorte dezentral zu Verbinden verstehe ich es noch, aber privat habe ich ja in der Regel zu Hause, evtl. ein paar VPS und dann vor allem Endgeräte (Handy, Laptops) die dann, wenn sie außerhalb von zu Hause sind.
Mir geht es halt darum, was der große Vorteil ist, gegenüber ganz normal Wireguard auf meinem Router laufen zu lassen (außer halt wenn man mehrere Standorte hat)?
Ich denke die Stärke liegt in der einfachen Verwaltung im Webinterface für eine komplexe Netzwerkstruktur. Ich muss mir in meinem Fall einfach keine Gedanken mehr zu Firewallregeln zwischen den einzelnen Peers machen und kann das ganze dynamisch im Betrieb ändern. Kann so ganz einfach komplexe Strukturen abbilden oder auch simpel, mal nen einfach Zugriff auf eine Resource zur verfügung stellen ohne einen Wireguard Tunel und die zugehörigen Firewallregeln konfigurieren zu müssen. Ich muss keine Ports für wireguard öffnen.

Die Peers müssen ja nicht mal an mehreren Standorten sein, das können auch netzinterne Server, Container, Geräte usw. sein.
Man kann das quasi auch als SDN verwenden, ohne den "externen Zugriff" Teil eines VPNs.

Netbird läuft auch auf meinem Router als Plugin für die OpnSense.


Bei Pangolin kann ich durch den Reverse Proxy ja granular sagen, welche Dienste erreicht werden können (auch von außen ohne VPN). Dazu gibt es auch den Crowdsec Bouncer und Geo IP Blocking.
Der Reverse Proxy bei Netbird ist nicht das zentrale Element, sondern nur ein Zusatzfeature das jetzt hinzugekommen ist. Das Zentrale Element ist, das Overlay Netzwerk basierend auf Wireguard, mit dem ich die peers, sei es in meinem Netz, auf einem VPS oder in einem fremden Netz, einfach und granular zusammenschalten kann.

Geo IP Blockung und Crowdsec Bouncer sind auch hier Teil ders Reverseproxies.


Es mag an der Urzeit liegen, aber wie würde ich so etwas mit Netbird abbilden.. ? Dann müsste ich ja auf meinem Filer, Pihole etc. überall Netbird haben, um darauf zugreifen zu können - und wie ich komme ich dann von da ins Internet? Da fehlt mir gerade die Fantasie dazu xD
Du brauchst eben kein Netbird auf deinem Filer, Pihole, etc. Das ganze Thema übernimmt dann der Routing Peer (in meinem Fall die Opnsense mit Netbird Plugin). Du sagst im Management nur, Gerät A darf auf Gerät B, aber nicht auf Gerät C und nur auf Port 123 von Gerät D und der ganze Wireguard Tunnel Krempel wird im Hintergrund automatisch erstellt.






Kurzes Erklärvideo (ca. 5min) zu Overlaynetzwerken wie Netbird:

Etwas ausführlicheres Erklärvideo (ca. 15min) von Netbird:
 
Dann müsste ich ja auf meinem Filer, Pihole etc. überall Netbird haben, um darauf zugreifen zu können - und wie ich komme ich dann von da ins Internet?
Du brauchst nur einen einzigen Peer in Deinem Homelan, der ist dann quasi ein Router. Ich hab zwei, einen LXC und einen RasPi, das gibt eine HA-Konfiguration. (Single Point of Failure ist dann "nur noch" die Internetverbindung.)
Dann Clients auf Notebook, Tablet, Smartphone und Du bist von überall gleichzeitig daheim. Man kann sogar von unterwegs das Adguard Home nutzen.
Man muß nicht das ganze Lan routen, kann man alles über groups und policies granular einstellen (für installierte Clients/Peers).
Mir geht es halt darum, was der große Vorteil ist, gegenüber ganz normal Wireguard auf meinem Router laufen zu lassen
Ich find z.B. WG auf der Fritte recht umständlich. Und eine Verbindung kann auch immer nur von einem Gerät genutzt werden, oder?
Im Hotel hab ich aber immer die o.g. drei dabei. :hust: Und egal welches ich grad nehm, bin auf allen immer "daheim". :sneaky:
 
Zuletzt bearbeitet:
Ich find z.B. WG auf der Fritte recht umständlich.
WG auf Mikrotik Router ist auch sehr instabil. Habe aktuell mal wieder keinen Zugriff auf mein Offsite Backup.

Auch hier möchte ich mit Netbird Abhilfe schaffen. Nen Pi oder ne andere Linux Kiste als Routingpeer und fertig.
 
Ich find z.B. WG auf der Fritte recht umständlich. Und eine Verbindung kann auch immer nur von einem Gerät genutzt werden, oder?
Dafür gibts den WGeasy docker container.

Btw. Für OpenWRT gibts jetzt Netbird Luci App.


Was ich nicht kapiere ist wieso man eine private P2P Verbindung will, diese aber über einen öffentlichen unkontrollierbaren Service steuern möchte.
Ja klar wenn ich TeamViewer/ oder Rustdesk starte bin ich auch froh keinen eigenen Server hosten zu müssten.
Aber wir sprechen hier von einer dauerhaft aktiven Verbindung ins eigene Heimnetz.
Ist das nicht irgendwie kontrovers?


Btw, irgendjemand Netbird Selfhosted auf der Oracle Cloud Free edition zum laufen bekommen?
Hatte mal 200$ credits für Vultr Hosting, aber das war nur 1 Monat gültig. Seither schiebe ich denen 5$ pro Monat in den Rachen weil ich zu Faul bin was anderes einzurichten....
 
Zuletzt bearbeitet:
Aber wir sprechen hier von einer dauerhaft aktiven Verbindung ins eigene Heimnetz.
Von meinen eigenen Clients per WG. Wo ist da das Problem? Ist ein WG-Netz unsicherer als eine einzelne Verbindung? Ich glaub nicht. :sneaky:
 
Wo ist da das Problem? Ist ein WG-Netz unsicherer als eine einzelne Verbindung? Ich glaub nicht. :sneaky:
Ich meine die Netbird Verwaltung.
Sollte sich mal jemand auf deren Systeme hacken kann er ja direkt neue Geräte frei in jedes Netz verbinden wie er will
 
einen öffentlichen unkontrollierbaren Service
Das ist so "öffentlich" oder "unkontrollierbar" wie Deine Kreditkarten im Smartphone Wallet. Machst Du doch auch. :giggle:
Beitrag automatisch zusammengeführt:

kann er ja direkt neue Geräte frei in jedes Netz verbinden wie er will
Glaub nicht, daß es so einfach ist.
Dann darfst Du auch kein Teams mit M-Account nutzen. Oder Online-Banking. Oder ... oder ... oder.
 
wie Deine Kreditkarten im Smartphone Wallet. Machst Du doch auch. :giggle:
Nö.
Ich möchte weder Google Noch Apple noch Samsung mein komplettes Kaufverhalten offenbaren. Das bleibt schön bei meiner "vertrauenswürdigen" Bank. Die auch mein Twint kontrolliert. Einziges Digitales Zahlungsmittel das ich nutze.
Offtopic aber das Video ist gut:

Glaub nicht, daß es so einfach ist.
Dann darfst Du auch kein Teams mit M-Account nutzen. Oder Online-Banking. Oder ... oder ... oder.
Doch so einfach ist es.
Du gehst im Web interface auf "Setup Key erstellen" und schon kannst du jedes Gerät das du willst in deine Gruppe hinzufügen.
Ist nicht so als hätten sich die Chinese nicht monatelang auf Microsofts Servern herumgetrieben ohne das jemand irgendwas davon mitbekommen hat oder?...
Ich nutze diese Grütze von Teams zum glück wirklich nicht. Aber nicht wegen Sicherheit sondern wegen Abscheu gegenüber der Software. Online Banking nutzen ich aber durchaus. Ich mein da Loge ich mich ein, mit 2FA, und danach wieder aus. Ob ich es jemals mitbekommen würde wenn sich jemand anders einlogt? Vermutlich nicht.

H
ast du einen Macfilter auf deiner Firewall? Werden neue Geräte von Haus aus immer geblockt bis du sie Manuel zulässt?
 
Doch so einfach ist es.
Du gehst im Web interface auf "Setup Key erstellen" und schon kannst du jedes Gerät das du willst in deine Gruppe hinzufügen.
Du kannst einen zweiten Faktor nutzen oder auch einen Identitiy Provider.

Wenn dir das Selfhosting zu unsicher ist, kannst du auch die Hosted Variante nehmen. Dann liegen die Metadaten aber bei Netbird auf den Servern.

ast du einen Macfilter auf deiner Firewall?
Ein Macfilter bringt gar nichts, Macadressen sind nicht fälschungssicher und lassen sich mit Spoofing kopieren.

Ich hoffe doch du nutzt das nicht so in deinem WLAN, sondern verschlüsselst das per WPA3.
 
Du brauchst nur einen einzigen Peer in Deinem Homelan, der ist dann quasi ein Router. Ich hab zwei, einen LXC und einen RasPi, das gibt eine HA-Konfiguration. (Single Point of Failure ist dann "nur noch" die Internetverbindung.)

Ach so, als sich für mich erst so, als wäre die Serverkomponente ein Orchestrierer der die Konfigs etc. Verteilt und dann eine direkte Verbindung aufbaut (P2P wie oben erwähnt)
Sowas nutzen wir bei uns für die VPN Verbindungen der Laptops in der Firma - wobei das Ziel dann eben halt unsere FW ist.

Mag seine Vorzüge haben, aber da bleibe ich direkt bei WG - so habe ich nur den WG Port veröffentlicht, und nicht gleich eine "ganze" VM.
Wobei ich mir schon überlegt habe, den Weg über die Hetzner Cloud zu gehen - dann verbinden sich mein Router daheim und meine Clients mit der Hetzner Cloud und ich brauche daheim gar keinen Port mehr öffnen, und meine Public IP ist auch "weg". Failover VPN habe ich dadurch indirekt auch, da dann mein Router einfach über den zweiten Internetanschluss den Tunnel zur Hetzner Cloud wieder aufbaut. Und über deren FW kann ich die Instanz dann auch soweit zu machen wie ich möchte.

Btw. So kann man auch cgnat etc. umgehen, wenn man damit Probleme haben sollte.

Wobei man natürlich auch den Netbirdserver auf sowas hosten könnte :d

Allerdings hat Hetzner die Preise in letzter Zeit ordentlich angezogen..
 
Zuletzt bearbeitet:
Wie auch immer man das dreht und wendet, wenn Du nur WireGuard nutzt und kein Overlay-Netzwerk, dann hast Du keine Third-Party drin und bist insofern theoretisch klar im Vorteil gegenüber einen anderen Lösung. Und einfacher ist ein Overlay-Netzwerk auch nicht. Du musst ja immer noch regeln, wer wohin darf. Richtig ist, das Netzwerk selbst enthält keine Third-Party, aber Du musst zusätzlich der Overlay-Netzwerk-Software vertrauen und dem User-Verifizierungsprozess, der ja quasi immer ausgelagert wird...
Es richtet sich in erster Linie an Firmen mit Mitarbeitern, deren Zugriffe eh granular gemanaget werden müssen.

Wo soll aber zuhause der Vorteil sein? Dass ich Bekannten mal Zugriff auf irgendwas gewähre? Das kann ich jetzt auch schon mit WireGuard machen oder vielleicht besser mit Pangolin.
Die vom WireGuard-Projekt selbst zur Verfügung gestellte Software hat allerdings oft ein Problem mit dynamischen Endpoints. Genau genommen, wenn beide dynamisch sind. Das kann zuhause ein Problem sein und das kann eine Drittlösung wie ein Overlay-Netzwerk vielleicht besser händeln. Es gibt aber auch von Dritten kostenlose, reine WireGuard-Clients, die diese Probleme ebenfalls umgehen können. Es hat also etwas von Kanonen und Spatzen, wenn ich mir so was zuhause installiere.
 
Zuletzt bearbeitet:
Es richtet sich in erster Linie an Firmen mit Mitarbeitern, deren Zugriffe eh granular gemanaget werden müssen.
Da frage ich mich, wie ein Firmennetzwerk aufgebaut ist, wo man Netbird zu sowas nutzt, bzw. der Usecase..bei uns Regeln wir das über die Firewall und AD Berechtigungen.
Mir erschließt sich da nicht der Sinn, sowas dann noch on top zu haben.

Abseits dessen, dass ich damit ggf. eine sehr komfortable Lösung habe meine VPN Verbindungen zu verwalten - sollte das die vorhandene Firewall nicht gut können.
Ok, der selfhostet Aspekt und dass das in dem Fall aus Berlin kommt kann man als Pluspunkt sehen, wenn man möchte.

Aber da es sich ja anscheinend größerer Beliebtheit erfreut - gibt es da genug Anwendungsfälle :d
 
.bei uns Regeln wir das über die Firewall und AD Berechtigungen.
Dabei geht es vor allem um Remote-Worker. Da ist dann teilweise noch TOTP integriert für einzelne Ressourcen usw. und wird als sicherer bewertet, als ein einfacher VPN-Zugang. Ich will es gar nicht schlecht machen, ich bezweifel nur den Anwendungsfall für zuhause.
 
Was heisst eigentlich dieses Buzzword "Zero-Trust"? Hint: Man muss IMMER jemandem vertrauen...
 
Mindestens dmem Admin, der das einrichtet 😉
 
Und der Software. Und der Suplly-Chain der Software. Und und und - es ist kein relevanter Unterschied zu nicht "zero trust"...
 
Vlt. verstehen wir das Zero Trust auch nur falsch - das ist eine Warnung, kein Pluspunkt xD
Also einfach mal sowas entgegen Bringen, wenn einer einem etwas mit Zero Trust als Pluspunkt verkaufen möchte und die Reaktion abwarten.
Beitrag automatisch zusammengeführt:

Dabei geht es vor allem um Remote-Worker. Da ist dann teilweise noch TOTP integriert für einzelne Ressourcen usw. und wird als sicherer bewertet, als ein einfacher VPN-Zugang. Ich will es gar nicht schlecht machen, ich bezweifel nur den Anwendungsfall für zuhause.
Ach so, ja gut. Bei uns gehts über VPN dann eh nur auf den jeweiligen Team RDS Host inkl. Anmeldung etc. und von dort aus dann weiter.
 
Pangolin ist übrigens auch "Zero Trust" wenn man sich darauf versteifen mag.

Hier mal ein schöner Vergleich Pangolin vs. Netbird:

Edit:
Der Abschnitt "Web Apps and clientless Access" stimmt so leider nicht mehr. Netbird bietet inzwischen die gleichen Möglichkeiten, wenn auch noch in Beta.
 
Ich möchte weder Google Noch Apple noch Samsung mein komplettes Kaufverhalten offenbaren.
Gibt's einen Nachweis, daß das überhaupt so ist? Ich halte das für eine der zahllosen urban legends.
Bezahlen mit Smartphone ist um Größenordnungen sicherer als die klassische Karte, weil mit häufig neu generierten virtuellen Kreditkartennummern und Keys operiert wird. Das Übelste dagegen ist, zu einer Karte mit Original-Nr. noch irgendwo 'ne Pin einzutippen. :hust:
Du gehst im Web interface auf "Setup Key erstellen" und schon kannst du jedes Gerät das du willst in deine Gruppe hinzufügen.
Ja genau. Ich. Über meinen mit "üblichen" Methoden gesicherten Zugang. :rolleyes:
Bank, Krankenkasse, Steueramt. Alles online, alles hackbar. Sinkt das Risiko, wenn man punktuell verzichtet? Vielleicht. Vielleicht auch nicht. Im Fall von den drei genannten kann ich eh nicht mehr ohne, das wird mehr und mehr erzwungen. Man müsste dann schon eine Art Staatsverweigerer werden.
Ist nicht so als hätten sich die Chinese nicht monatelang auf Microsofts Servern herumgetrieben ohne das jemand irgendwas davon mitbekommen hat oder?
Das könnte bei Deiner Bank auch passieren, oder?

Ich bin kein NetBird-Verkäufer. Wenn Du es nicht nutzt, werde ich nicht ärmer. Wenn ich es nutze, werde ich reicher. Mindestens an Möglichkeiten. Das ist so wie mit Twint, Google Wallet, Google Pay zusammen. Mehr Möglichkeiten, mehr Vergnügen. :coolblue: Ich gehöre deninitiv in die Kategorie Hedonismus und nicht in Paranoia. :bigok:
Seit den seligen ISDN-Zeiten bin ich damit bis heute ohne ernsthafte Probleme gefahren. Klar, ist keine Garantie für ewig. Sicher ist nur, irgendwann sind wir tot. :angel:
#yolo #wiifm
Wo soll aber zuhause der Vorteil sein?
Ich hatte bereits den Fall, daß in einem Hotel mein WG auf den Fritz geblockt wurde. Mußte dann auf mobiles Internet, was aber immer noch häufig mehr schlecht als recht geht.
So kam ich auf TailScale, das ging dann im WLAN. Und jetzt eben NetBird, weil mir das besser gefällt. So läuft's halt.

Noch 'ne Ergänzung für Sicherheitsfans: https://docs.netbird.io/manage/access-control/posture-checks Das ist dann halt kostenpflichtig ...
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh