System-Boost

Kategorie: Hosting

  • Kundenprojekt: Onlineshop mytomo.de – performantes Shop-Setup mit Automatisierung & DSGVO-Konformität

    Kundenprojekt: Onlineshop mytomo.de – performantes Shop-Setup mit Automatisierung & DSGVO-Konformität

    Für mytomo.de haben wir einen skalierbaren Online-Shop umgesetzt und die wichtigsten Geschäftsprozesse automatisiert: Produktpflege, Zahlungs-/Versandprozesse, Rechnungen, Newsletter & CRM-Sync. Das Ergebnis ist ein schneller, wartungsarmer Shop mit klaren Workflows, DSGVO-sauberem Tracking und planbaren Betriebskosten.

    Ziele des Projekts

    • Stabile Verkaufsplattform mit sehr guter Performance (Core Web Vitals)
    • Einfacher Content-& Produktworkflow für das Team (ohne Entwicklerpflicht)
    • Automatisierung von Bestellungen, Versandlabels, Rechnungen, E-Mails und CRM
    • DSGVO & Compliance (Consent, Double-Opt-In, rechtssichere Dokumente)
    • Monitoring & Betrieb als Managed-Service

    Architektur (vereinfacht)

    • Shop-System: modernes, App-basiertes Shopsystem mit Sections/Blocks für flexible Inhalte (Startseite, Kategorieseiten, PDP).
    • Theme & Performance: minimaler App-Footprint, Lazy Loading, kritisches CSS, Bild-Optimierung (WebP/AVIF), Schema.org (Product, Breadcrumb, Organization).
    • Datenflüsse (n8n): zentrale Automations-Drehscheibe für Shop-Events (Bestellung, Fulfillment, Lager, Newsletter, Rechnungen).
    • Payments/Shipping: mehrere Zahlungsarten (z. B. Stripe/Klarna/PayPal) und Versanddienstleister (Label-Erstellung via API).
    • Tracking/Consent: Consent-Banner, Serverseitiges/hochsparsames Tracking (nur nach Einwilligung), UTM-Übernahme.
    • Betrieb: Uptime-Monitoring, Backups/Exports, Domain/DNS, E-Mail-Zustellbarkeit (SPF/DKIM/DMARC), Update-Fenster.

    Automatisierungen (n8n) – Kernflüsse

    1. Order → Fulfillment
      • Bestellung triggert Pick-Liste, Versandlabel-Erzeugung (DHL/DPD/… via API), Tracking-Mail, Status-Sync.
    2. Rechnungen & Belege
      • Automatische PDF-Rechnung (rechtssicher, fortlaufende Nummer), Ablage (z. B. Nextcloud) + E-Mail an Kunden.
    3. Lager/Bestand
      • Low-Stock-Alerts an Slack/Teams; optionale Nachbestell-Workflows.
    4. Marketing/CRM
      • Kontaktformular & Newsletter-Opt-In (Double-Opt-In) → Mautic/CRM.
      • Kaufereignisse schreiben Tags/Segmente (z. B. Produktkategorie → Cross-Sell-Serie).
    5. Kundendienst
      • Rücksendeanfrage erzeugt RMA-Ticket (Helpdesk) inkl. Etikett & Status-Updates.

    Funktionsumfang für das Shop-Team

    • Produktpflege: Varianten, Medien, SEO-Felder, strukturierte Daten – alles im Admin ohne Code.
    • Merchandising: Sammlungen/Kategorien, Filter (Größe/Farbe/Preis), Search-Suggest.
    • Content: Blog, Landingpages, Sections (Hero, USP-Leisten, FAQ, Trust-Badges, UGC).
    • Kasse/Checkout: Gastkauf, Adresse-Autovervollständigung, mehrere Zahlarten, Gutscheinlogik.
    • Rechtliches: Rechtstexte (Impressum/Datenschutz/Widerruf), Duplikate in Checkout & Footer, Cookie-Consent.
    • Internationalisierung (optional): mehrsprachige Oberflächen & Preise, Steuern/OSS.
    • Analytics/SEO: Core Web Vitals-Optimierung, Product-Feed für Google Merchant/Bing, 404-Monitoring & Redirects.

    Datenschutz & Compliance

    • Consent-Management (Opt-In vor jeglichem Marketing-Tracking), Do-Not-Track respektiert.
    • Double-Opt-In für Newsletter, DOI-Nachweise/Logs.
    • DSGVO-konforme Speicherung: minimal erforderliche Daten, Auftragsverarbeitungsverträge mit Dienstleistern.
    • E-Mail-Zustellbarkeit: SPF, DKIM, DMARC korrekt gesetzt (eigene Versand-Subdomain empfohlen).

    Betrieb & Betreuung (Managed)

    • Monitoring (Verfügbarkeit, Antwortzeiten, Fehler), Alarmierung bei Störungen.
    • Backups & Exports (Daten, Medien, Bestellungen), wiederkehrende Restore-Tests.
    • Security & Updates: App-/Theme-Updates nach Staging-Check, Change-Log.
    • Support: SLA-basierte Reaktionszeiten, monatliches Kontingent für Anpassungen/AB-Tests.
    • Roadmap-Sparring: neue Features (Bundles, Abo-Produkte, B2B-Preislisten, Loyalty).

    Konkrete Vorteile für mytomo.de

    • Schneller Shop ⇒ bessere Conversion & SEO (kürzere Ladezeiten, saubere Struktur).
    • Weniger Handarbeit dank End-to-End-Automationen (Label, Rechnung, CRM, E-Mails).
    • Rechtssicher & transparent (DOI, Consent, DPAs) – weniger Risiko.
    • Planbare Kosten im Betrieb – klarer Supportkanal, keine Tool-Wildwuchs.
    • Skalierbar: neue Produkte/Sprachen/Channels ohne Architekturwechsel.

    Auszug typischer KPIs (Framework zur Messung)

    • PageSpeed/Core Web Vitals (LCP/FID/CLS)
    • Checkout-Abbruchrate & Conversion-Rate nach Zahlart/Versandart
    • Warenkorbabbruch-Reaktivierung (E-Mail/Ads)
    • Wiederkaufrate nach Segment/Kampagne
    • Support-Zeit pro Bestellung (nach Automationen)

    Fazit

    Mit mytomo.de haben wir einen performanten, wartbaren Shop geliefert, der die Kernprozesse automatisiert und rechtssicher abbildet – von der Bestellung über Versand & Belege bis zur CRM/Newsletter-Anbindung. Das Team kann Inhalte selbst pflegen, während Betrieb, Sicherheit und Weiterentwicklung managed laufen.

  • Kundenprojekt: Mautic als DSGVO-konforme Marketing-Automation – mit Kontaktformular, Double-Opt-In & CRM-Sync

    Kundenprojekt: Mautic als DSGVO-konforme Marketing-Automation – mit Kontaktformular, Double-Opt-In & CRM-Sync

    Kurzfassung: Beim Kunden haben wir Mautic eingeführt, um Leads strukturiert zu erfassen, automatisiert zu qualifizieren und an Vertrieb/Support zu übergeben. Kernbestandteile:

    • Kontaktformular (Website) mit Double-Opt-In
    • Segmente, Kampagnen & Lead-Scoring
    • CRM/Backlog-Übergabe (z. B. Airtable/CRM via n8n)
    • E-Mail-Versand mit SPF/DKIM/DMARC & Bounce-Handling
    • DSGVO & Consent-Management
    • Betrieb/Monitoring/Backups als Managed-Service

    Ausgangslage & Ziele

    • Viele Website-Anfragen landeten als unstrukturierte Mails.
    • Newsletter-Anmeldungen ohne saubere Opt-In-Dokumentation.
    • Keine einheitliche Sicht auf Kampagnen-Performance und Lead-Qualität.
      Ziel: Ein offenes, kosteneffizientes System, das Leads sauber erfasst, rechtskonform pflegt, den Vertrieb automatisiert informiert und aussagekräftige Reports liefert.

    Architektur (vereinfacht)

    • Mautic in Docker/VM, EU-Hosting, hinter gehärtetem Reverse Proxy (TLS, Security-Header, Rate-Limits).
    • E-Mail-Infrastruktur: SMTP/Provider mit SPF/DKIM/DMARC, Bounce/Complaint-Rückläufer werden in Mautic verarbeitet.
    • Automations-Jobs (Cron/Queue):
      • mautic:segments:update (z. B. alle 10 min)
      • mautic:campaigns:update (alle 10 min)
      • mautic:campaigns:trigger (alle 5–10 min)
      • mautic:emails:send (alle 5–10 min)
    • n8n-Anbindung: Webhooks/REST für CRM-Sync, Alerts (Slack/Teams), Lead-Routen.

    Kontaktformular (Website → Mautic)

    Formularfelder: Vorname, Nachname, Firma, E-Mail, Telefon (optional), Nachricht, Newsletter-Opt-In (Checkbox), UTM-Parameter (hidden), Quelle/Seite (hidden).
    Schutz: Honeypot-Feld, Zeit-Schwelle („Time to submit“), optional hCaptcha/Turnstile.
    Ablauf:

    1. Nutzer sendet Formular → Mautic Form Submit.
    2. Double-Opt-In: Bestätigungs-Mail mit DOI-Link; nur bestätigte Kontakte kommen in Segment „Newsletter“ (Tag doi_confirmed).
    3. Lead-Erstellung & Routing: Kontakt erhält Tag contact_form; n8n pusht die Anfrage inklusive Normalisierung (Anrede/Opt-In) in Airtable/CRM und weist Status „Todo“ zu.
    4. Benachrichtigung: Slack/Teams/SMS an das zuständige Team mit Kontext (Quelle, Kampagne, Nachricht).

    Segmente, Kampagnen & Scoring

    • Segmente: „Kontaktformular“, „Newsletter (DOI)“, „Bestandskunden“, „Interesse: Produkt A/B“, „Deutsch/Englisch“.
    • Kampagnen (Beispiele):
      • Welcome-Serie (3-teilig): Bestätigung → Nutzen/Case → Termin-CTA.
      • Content-Pflege: Bei Download einer Checkliste → Follow-up nach 3/10 Tagen.
      • Re-Engagement: inaktive Abonnenten nach 90 Tagen mit Präferenz-Abfrage.
    • Lead-Scoring (Startwerte individuell):
      • +5 Seitenaufruf „Preise/Leistungen“
      • +10 Formular „Kontakt“/„Projektanfrage“
      • +15 Download Whitepaper/Use-Case
      • −10 Unsubscribe/Bounce
        Schwellen: z. B. MQL ≥ 20, SQL ≥ 40Alert an Vertrieb & Kalender-Link.

    E-Mail-Versand & Zustellbarkeit

    • SPF/DKIM/DMARC eingerichtet; Separate Subdomain für Marketing-Mails empfohlen.
    • Bounce-Handling (Hard/Soft), Unsubscribe pro Kampagne & global.
    • Vorlagen: responsiv (MJML/Builder), einheitliche Absender & Signatur, Preheader, Dark-Mode-Checks.
    • A/B-Tests auf Betreff/CTA; Send-Time-Distribution zur Laststeuerung.

    Tracking, Consent & DSGVO

    • Mautic-Tracking nur nach Einwilligung (Consent-Banner).
    • Anreicherungen (UTM/Referer) ausschließlich im Rahmen der Einwilligung.
    • Rechte & Löschkonzepte: Rollenbasiert (Marketing/Vertrieb/Admin); Right to Erasure & Export pro Kontakt; Aufbewahrungsfristen definiert.
    • Protokollierung: DOI-Zeitstempel, Quelle, IP (optional begrenzt), Kampagnen-Historie.

    CRM/Backlog-Übergabe (n8n)

    • Mapping & Bereinigung: Anrede-Normalisierung, Opt-In „Ja/Nein“, Pflichtfelder.
    • Airtable/CRM: Anlage in „Leads“ mit Status „Todo“, optional Duplikat-Check (E-Mail/Telefon).
    • Folge-Automation: Ticket in Helpdesk, Deal in Pipeline, interne Checkliste.
    • Reporting: UTM-Performance, DOI-Quoten, Form-Completion, MQL→SQL-Conversion.

    Reports & Dashboards

    • Kampagnen-KPIs: Open/Click/Conversion, Unsubscribe/Bounce-Rate.
    • Funnel: Formular → DOI bestätigt → MQL → SQL → Termin → Abschluss (extern importiert).
    • Segment-Wachstum & Re-Engagement-Erfolg.
    • Umsatz-Attribution (leichtgewichtig): Deals/Bestellungen via n8n in Mautic oder externes BI.

    Betrieb (Managed)

    • Monitoring (System, Queue, Cron), Backups (Dateien + DB) inkl. Restore-Tests.
    • Updates: Kern, Plugins, Sicherheitsfixes; Staging → Produktion.
    • Dokumentation & Schulung: kurze Loom-Guides für Kampagnen, Segmente, Formulare.
    • SLA & Support: definierte Reaktionszeiten, kleines Kontingent für laufende Anpassungen.

    Ergebnis für den Kunden

    • Saubere, nachweisbare Opt-Ins und automatisierter Lead-Eingang statt Mail-Chaos.
    • Schnelle Reaktionszeiten: Alerts bei „Hot Leads“, automatische Termin-CTAs.
    • Messbare Kampagnen mit klaren Segmenten und Scoring – Fokus auf Kontakte mit Kaufabsicht.
    • Kosteneffizient & offen: Open-Source, kein Vendor-Lock-in, EU-Hosting möglich.
    • Weniger Handarbeit, mehr Transparenz zwischen Marketing und Vertrieb.
  • Managed Nextcloud beim Kunden: SSO, NAS-Anbindung & Talk – die schlanke Alternative zu Microsoft 365

    Managed Nextcloud beim Kunden: SSO, NAS-Anbindung & Talk – die schlanke Alternative zu Microsoft 365

    Kurzfassung: Für einen Kunden mit mehreren selbstgehosteten Diensten (u. a. Nextcloud) haben wir eine Managed-Nextcloud-Umgebung umgesetzt:

    • Zentrale Authentifizierung (SSO) via OIDC/SAML + 2FA/Passkeys
    • Externer Speicher über NAS-Shares (SMB/NFS) und optional S3-Buckets
    • Team-Collaboration mit Talk (Chat/Calls/Meetings), Kalender/Kontakte/Mail, OnlyOffice/Collabora
    • Betrieb aus einer Hand: Updates, Monitoring, Backups, Security-Policies, Support
      Ergebnis: Microsoft-unabhängige Kollaboration mit planbaren Kosten und voller Datensouveränität.

    Das oben gezeigte Screenshot (anonymisiert) bildet eine typische Ordnerstruktur (Projekte, Share, Talk, Buchhaltung etc.) der produktiven Instanz ab – inklusive geteilten Team-Ordnern und zuletzt bearbeiteten Dateien.

    Ausgangslage & Ziele des Kunden

    • Bereits vorhandene, verstreute Dateiablagen (Server, NAS, einzelne Tools)
    • Wunsch nach unabhängiger Collaboration-Plattform (ohne vollständigen Wechsel zu Microsoft 365)
    • Zentraler Login für alle Mitarbeitenden, feingranulare Rechte und externe Freigaben
    • Nutzung vorhandener Hardware (NAS) und EU-Hosting/DSGVO-Konformität
    • Planbare Kosten, kein Vendor-Lock-in, einfache Administration

    Architektur (vereinfacht)

    • Reverse Proxy & TLS: Zugriff über einen gehärteten Reverse Proxy (z. B. Traefik/Pangolin) mit Auto-TLS, Rate-Limit/Geo-Policies und Header-Härtung.
    • Nextcloud Application Layer: Containerisiert (Docker/Podman) oder VM-basiert, skalierbar (Web + Redis + DB).
    • Authentifizierung: SSO via OIDC/SAML (z. B. Authentik/Keycloak/ADFS/Entra) + 2FA/Passkeys; Gruppen aus LDAP/AD oder IdP-Claims.
    • Speicher:
      • NAS-Anbindung per SMB/NFS als „Externer Speicher“ (Mounts/Team-Shares).
      • Optional S3-kompatibel (z. B. für Versionen/Backups/Archiv).
    • Betrieb: Monitoring (System/Apps), automatisierte Backups (Daten+DB), Update-Fenster mit Rollback-Strategie, Security-Patches.
    • Compliance: Logging/Auditing, Aufbewahrungs- und Freigabe-Policies, EU-Hosting.

    Authentifizierung, Rechte & Sicherheit

    • SSO/OIDC/SAML: Ein Login für alles; Rollen/Gruppen kommen aus IdP/AD.
    • 2FA/Passkeys/TOTP/U2F: Pflicht für Admin-/Remote-Zugriffe, optional nach Gruppen.
    • Group Folders: Team-Ordner mit ACLs (Lesen/Schreiben/Teilen), Quotas, dedizierten Freigabe-Policies.
    • File Access Control: Regelwerk (z. B. „Vertrauliche Ordner nur im Firmennetz/VPN“).
    • Freigaben: interne/externe Shares, Ablaufdatum, Passwortschutz, Upload-Anfragen (Dateianforderung an Externe).
    • Verschlüsselung: Serverseitig aktivierbar; End-to-End-Verschlüsselung für besonders sensible Ordner per Desktop/Mobile-Clients.

    Externer Speicher (NAS & Co.)

    • SMB/NFS-Mounts als „Externer Speicher“ in Nextcloud – bestehende Abteilungen (z. B. Projekte, Buchhaltung) bleiben physisch am NAS, werden aber einheitlich in Nextcloud sichtbar.
    • Rechtevererbung: optional an AD-Gruppen gekoppelt; getrennte Freigabe-Policies pro Ordner.
    • Cachen & Vorschaubilder: Vorschau-Generierung (PDF, Bilder, Videos) für schnelle Web-Ansicht.
    • Versionierung & Papierkorb: Wiederherstellung und Nachvollziehbarkeit im Tagesgeschäft.
    • Optional S3: für große Archive/Backups kosteneffizient.

    Collaboration-Funktionen (installierte/empfohlene Apps)

    • Talk: 1:1-Chat, Gruppenchats, Audio/Video-Meetings, Screensharing, Gast-Links – alles On-Prem/Cloud bei vollem Datenschutz.
    • OnlyOffice/Collabora/Nextcloud Office: Echtzeit-Bearbeitung von Office-Dokumenten (Text/Tabellen/Präsentationen) im Browser.
    • Kalender & Kontakte (CalDAV/CardDAV) + Mail: Termine, Adressbücher, Postfächer – Integration in Outlook/Apple/Thunderbird möglich.
    • Deck (Kanban), Tasks/To-Do, Notes, Forms (Formulare/Umfragen), PDF-Viewer, Scan-to-Cloud-Anbindung.
    • Flow/Automationen: Regeln (z. B. „Eingehende PDFs → Tag + Verschieben nach /Buchhaltung“).
    • Volltextsuche: Meilisearch/Elasticsearch-Anbindung für schnelle Suche in Dokumenten.
    • Passwörter/Secrets (optional), Activity (Transparenz über Änderungen), Audit/Logs.

    Unabhängigkeit von Microsoft & Kosten-Nutzen

    • Kein Zwangspaket: Nur die Komponenten, die das Team tatsächlich braucht.
    • Bring-Your-Own-Storage: Nutzung vorhandener NAS-Kapazitäten, keine pro-GB-Gebühren in der Cloud.
    • Planbare Kosten: Fixe Betriebspauschale (Monitoring, Updates, Support) + klar definierte Änderungsaufwände.
    • Datensouveränität: Daten bleiben im eigenen Storage/EU-Rechenzentrum.
    • Interoperabilität: Offene Protokolle (WebDAV/CalDAV/CardDAV/IMAP/SMTP), keine proprietären Lock-ins.

    Umsetzung für den Kunden (konkrete Schritte)

    1. Ist-Analyse & Zielbild: Nutzerstruktur, Datenquellen (NAS-Shares), Freigaben, Compliance-Anforderungen.
    2. PoC & Sizing: Testinstanz mit SSO, exemplarischen Team-Ordnern und Talk; Performance/Lasttest.
    3. SSO-Einrichtung: OIDC/SAML, Gruppen-Mapping, Rollenkonzepte; Aktivierung 2FA nach Policy.
    4. NAS-Integration: SMB/NFS-Mounts, Quotas, Rechteübernahme; „Group Folders“ und Freigaberichtlinien.
    5. App-Stack: Talk, Office-Suite, Kalender/Kontakte/Mail, Deck, Forms, Flow-Regeln, Volltextsuche.
    6. Migration: Datenübernahme (inkl. Metadaten/Vorschauen), Bereinigung alter Freigaben, Redirects.
    7. Betrieb: Monitoring/Alarme, tägliche Backups (inkl. DB), Update-Fenster, Security-Patches, SLA.
    8. Enablement: Kurze Team-Trainings (Freigaben, Talk-Meetings, Office-Co-Editing, Mobile-Apps).

    Spürbare Vorteile für das Team

    • Ein Login, alle Funktionen (SSO) – weniger Supporttickets, weniger Passwort-Wildwuchs.
    • Schneller Austausch intern/extern mit Talk & Freigaben – ohne zusätzliche Lizenzen.
    • Dokumente gemeinsam bearbeiten (Office im Browser) – keine Versions-E-Mails mehr.
    • Direkter Zugriff auf NAS-Bestände in derselben Oberfläche – inkl. Suche, Versionen, Papierkorb.
    • Offline-Sync via Desktop/Mobile-Clients – Außendienst/Remote-Teams profitieren.
    • Transparenz & Kontrolle: Aktivitäten, Protokolle, Regeln, Rechte – alles an einem Ort.
    • Kosteneffizienz: Nutzung bestehender Infrastruktur, ohne Zwang zu kompletten Suite-Abos.

    Betrieb & Sicherheit (Managed)

    • Monitoring: Verfügbarkeit, Speicher, Jobs (Cron/Preview/Index), Hintergrundprozesse, App-Gesundheit.
    • Backups & Wiederherstellungs-Tests: Daten + DB + Konfiguration; regelmäßige Restore-Proben.
    • Updates: Kernsystem + Apps + OS; staged rollout mit Snapshots/Rollback.
    • Security-Hardening: HSTS, sichere Ciphers, Rate-Limits, Fail2ban/CrowdSec am Perimeter, Forwarded-Header & trusted_proxies korrekt gesetzt.
    • Dokumentation: Admin-Playbooks, Nutzer-Guides, Change-Log.

    Fazit

    Die Managed Nextcloud des Kunden vereint Dateiablage, Kollaboration und Kommunikation in einer Umgebung, die unabhängig von Microsoft, kosteneffizient und sicher betrieben wird. Dank SSO + 2FA, NAS-Einbindung und Apps wie Talk und Office-Co-Editing arbeitet das Team heute schneller und transparenter – mit voller Kontrolle über die eigenen Daten.

  • Pangolin Reverse Proxy + CrowdSec: Sicherheitsschicht für selbstgehostete Dienste

    Pangolin Reverse Proxy + CrowdSec: Sicherheitsschicht für selbstgehostete Dienste

    Kurzfassung: Beim Kunden laufen mehrere interne Dienste (u. a. Nextcloud) hinter dem Pangolin Reverse Proxy. Pangolin terminiert den externen Zugriff über verschlüsselte WireGuard-Tunnel, erzwingt Identity & Access Management (SSO/2FA/OIDC/Passkeys) und reduziert die Angriffsfläche, weil keine eingehenden Ports nach außen geöffnet werden müssen. Ergänzend schützt CrowdSec als kollaboratives IPS/WAF mit Bouncern und bedrohungsbasierten Sperren. Ergebnis: Ein mehrlagiges, nachvollziehbares Sicherheits-Setup mit Failover, Health-Checks und optionaler Geo-Blocking-Policy.

    Pangolin Reverse Proxy + CrowdSec: Sicherheitsschicht für selbstgehostete Dienste (z. B. Nextcloud)

    Kurzfassung: Beim Kunden laufen mehrere interne Dienste (u. a. Nextcloud) hinter dem Pangolin Reverse Proxy. Pangolin terminiert den externen Zugriff über verschlüsselte WireGuard-Tunnel, erzwingt Identity & Access Management (SSO/2FA/OIDC/Passkeys) und reduziert die Angriffsfläche, weil keine eingehenden Ports nach außen geöffnet werden müssen. Ergänzend schützt CrowdSec als kollaboratives IPS/WAF mit Bouncern und bedrohungsbasierten Sperren. Ergebnis: Ein mehrlagiges, nachvollziehbares Sicherheits-Setup mit Failover, Health-Checks und optionaler Geo-Blocking-Policy.

    Warum Pangolin statt klassischem Reverse Proxy?

    • Kein Direct Exposure: Pangolin stellt den Zugriff über Nodes und WireGuard-Tunnel bereit – die Backend-Dienste bleiben ohne öffentliche Inbound-Ports. Das senkt die Angriffsfläche erheblich.
    • Identity-Aware Proxy: Jede Anfrage wird authentifiziert und autorisiert, bevor sie den Dienst erreicht (z. B. SSO via OAuth2/OIDC mit Authentik/Keycloak/Okta, TOTP/2FA, Passkeys, rollenbasierte Zugriffe, Ressource-Pins/-Passwörter).
    • Automatisiertes TLS & Protokoll-Vielfalt: Let’s Encrypt automatisch; HTTP/HTTPS sowie TCP/UDP-Weiterleitungen werden unterstützt.
    • Hochverfügbarkeit: Health-Checks, automatisches Failover und Load-Balancing zwischen Targets; Traffic zu kranken Backends wird automatisch ausgeschlossen, Recovery erfolgt selbsttätig.
    • Policies & Rules: Geo-Blocking, IP-/Pfad-Regeln, Rate-Limiting; für Self-Hosted lässt sich Geoblocking via Traefik-Plugin ergänzen.
    • Cloudflare-Tunnel-Alternative (selbstgehostet): Häufig als Self-Hosted-Pendant zu Tunneldiensten beschrieben – mit sauberem UI und Traefik-Integration.

    CrowdSec als zweite Schutzschicht

    • Open-Source, Community-basierte CTI: CrowdSec identifiziert bösartige Muster (Bruteforce, Scans etc.) und teilt Threat-Intelligence (IP-Entscheidungen) in der Community. Bouncer setzen Sperren an der Perimeter-Schicht durch (z. B. NGINX/WAF/Firewall).
    • WAF/Reverse-Proxy-How-to: CrowdSec lässt sich vor die Applikation legen (z. B. NGINX-Reverse-Proxy mit WAF), um Requests vor dem Backend zu filtern.
    • Collections für Nextcloud: Spezielle Regeln/Parser für Nextcloud (Bruteforce/Enumeration/Trusted-Domain-Checks) sind als Collection verfügbar.

    Zusammenspiel: In unserer Architektur hängt CrowdSec (WAF/Bouncer) am Eingang, Pangolin erzwingt Identität/Policies, und die eigentlichen Dienste (z. B. Nextcloud) sind nur über den Tunnel erreichbar. So entsteht Defense-in-Depth: Block – Auth – Serve.

    Architektur (vereinfacht)

    1. Internet → CrowdSec-geschützter Entry (Bouncer/WAF).
    2. Pangolin Node authentifiziert Nutzer (SSO/OIDC, TOTP/Passkeys), prüft Rules (Geo-Block, Pfad/IP, Rate-Limit) und leitet nur legitime Requests weiter.
    3. WireGuard-Tunnel routet die Anfrage sicher zum internen Dienst (z. B. Nextcloud); Health-Checks entscheiden, welches Target bedient wird.
    4. Backend (Nextcloud & Co.) antwortet über denselben Pfad zurück.

    Nextcloud: Reverse-Proxy-Besonderheiten

    • Client-IP korrekt durchreichen: Nextcloud erwartet die echte Client-IP via X-Forwarded-For (konfigurierbar über forwarded_for_headers). Unbedingt trusted_proxies setzen, damit IP-Spoofing verhindert wird.
    • HTTPS überall: Produktivbetrieb nur über TLS. (TLS-Terminierung kann Pangolin übernehmen; Zwischen-Segment optional via mTLS/VPN).
    • CrowdSec-Szenarien aktivieren: Für Nextcloud die passende Collection installieren, damit Login-Bruteforce/Enumeration erkannt werden.

    Betrieb & Härtung (Auszug aus der Praxis)

    • Identity Providers (IdP): OIDC/OAuth2 anschließen (Authentik/Keycloak). Nutzer/Rollen können auto-provisioniert werden; RBAC zentral definieren.
    • TLS-Automatisierung: Let’s-Encrypt-Zertifikate via Pangolin; Wildcard optional je nach DNS-Setup.
    • Geo-Policies: Länder gezielt erlauben/verbieten (z. B. Admin-Pfad nur aus DACH). Priority-Regeln beachten.
    • Health-Checks: Dedizierte /health-Endpoints definieren; Timeouts/HTTP-Codes (200/201/202/204) passend einstellen; unhealthy interval aggressiver wählen, um schneller zu recovern.
    • CrowdSec-Bouncer: Je nach Stack nginx-, firewall- oder app-bouncer einsetzen, um Entscheidungen durchzusetzen (Erkennen allein reicht nicht).
    • Nextcloud-Warnung „Reverse proxy header configuration is incorrect“ vermeiden: trusted_proxies korrekt pflegen; die Doku erklärt Header-Handling & Konfig.

    Vorteile für den Kunden

    • Minimale Angriffsfläche: Keine offenen Inbound-Ports, Anfragen immer durch Auth-/Policy-Schicht.
    • Skalierbar & hochverfügbar: Load-Balancing, Health-Checks, automatisches Failover.
    • Richtlinien- & Compliance-tauglich: Identity-Aware Access (SSO/2FA/Passkeys), Geo-Regeln, Logging.
    • Community-Threat-Intel: CrowdSec blockt bekannte Angreifer vor der App. (crowdsec.net)

    Fazit

    Pangolin + CrowdSec liefert ein mehrlagiges Security-Design für selbstgehostete Anwendungen wie Nextcloud: Tunneling statt Portfreigaben, Identity-Aware Proxy vor den Diensten, WAF/IPS an der Perimeter-Schicht – und Policies/Geo/Failover aus einer Hand. Für Teams bedeutet das: weniger Angriffsfläche, konsistente Authentifizierung und robuste Verfügbarkeit.

WordPress Appliance - Powered by TurnKey Linux