Abbildung 8: Nie war Nextcloud schneller betriebsbereit: Innerhalb von ein oder zwei Minuten machen Sie die Kollaborations-Software einsatzbereit.
Abbildung 9: Mit Syncthing verfügt Mistborn über eine leistungsstarke Software zum Synchronisieren von Daten im lokalen Netz und auf entfernten Rechnern.
Abbildung 10: Jellyfin, ein Community-Fork der teils von einer Paywall umgebenen Medien-Software Emby, ist komplett Open Source. Clients stehen für viele Plattformen bereit. Zudem verfügt die Applikation über eine ansehnliche Webschnittstelle.
Nur ein Knopfdruck
Alle diese Dienste sind per Schaltfläche zum Aufsetzen bereit. Sobald Sie einen Dienst anstoßen, erscheint eine grüne Zeile, die Sie informiert, der Start könne einige Minuten dauern. Beim RasPi als Server dauerte es je nach Komplexität der Anwendung bis zu drei Minuten, bis ein Dienst bereit war.
Derzeit müssen Sie die Webseite noch manuell aktualisieren, um zu sehen, ob der Dienst fertig geladen ist. Danach dürfen Sie die jeweilige Anwendung starten und nutzen. Sie brauchen Dienste nur einmal zu starten; nach einem Neustart können Sie sie direkt öffnen.
Der RasPi 4 hat sich als Testplattform für Mistborn bewährt. Falls Sie lediglich den Wireguard-Tunnel und Pi-hole nutzen möchten, genügt der kleine Rechner selbst für den regulären Betrieb. Wollen Sie aber weitere Dienste einbinden und das gesamte LAN unterstützen, empfiehlt sich ein Home-Server, gemieteter Webspace oder ein V-Server.
Die Seitenleiste bietet mit Metrics und Tests noch zwei weitere Kategorien an. Erstere liefert einen Überblick über die Arbeit der Firewall, während die zweite einen Port-Scan, einen DNS-Leak-Test sowie die Anzeige der öffentlichen IP-Adresse bereithält. Der Ad-Block Test verweigerte im Test die Verbindung.
Gateway
Falls Sie Angebote wie Netflix nutzen, die mit Wireguard nicht so einfach funktionieren, binden Sie ein Gateway ein. Dabei handelt es sich um einen weiteren Client, der dem VPN vorgeschaltet ist und proprietären Diensten wie Netflix vorgaukelt, sie sähen die öffentliche IP-Adresse des Geräts, auf dem Netflix läuft.
Das Einrichten eines solchen Gateways übernimmt größtenteils wieder Mistborn. Sie brauchen lediglich, wie bei anderen Clients, die von Mistborn erstellte Konfiguration unter /etc/wireguard/gateway.conf auf dem Client abzulegen (Abbildung 11).
Abbildung 11: Ein Gateway bei Mistborn ist ein weiterer Client, der zwar ebenfalls den Wireguard-Tunnel nutzt, proprietären Diensten wie Netflix aber glaubhaft macht, es bestünde eine direkte Verbindung.
Das Erstellen der Konfiguration erfolgt auf der Profilseite unter Gateways, wo Sie zunächst einen Namen vergeben. Dann erstellen Sie über die Schaltfläche Create ein Profil, wählen es aus und kopieren anschließend die Konfigurationsdatei.
Bei mobilen Geräten erledigen Sie das durch Scannen des angezeigten QR-Codes. Das Aufsetzen auf dem Gateway-Client ist in der Dokumentation beschrieben [7]. Wie Sie Mistborn auf Android-Geräten zum Laufen bringen, zeigt der Kasten “Mistborn auf Android”. Für iOS gibt es derzeit keine praktikable Lösung.
Mistborn auf Android
Wir haben Mistborn auch unter Android getestet. Die Vorgehensweise ist ähnlich wie bei anderen Clients. Zunächst erstellen Sie mit Mistborn einen neuen Client. Nachdem Sie Wireguard auf dem Android-Gerät installiert haben, öffnen Sie die Anwendung und klicken unten rechts auf das Pluszeichen. Im nun erscheinenden Menü wählen Sie Vom QR-Code Scannen und lesen die Konfiguration direkt ein. Starten Sie anschließend Wireguard, können Sie Mistborn im Browser starten.
Eine Hürde hält Android aber noch bereit: Einige der Dienste unter Extras erfordern TLS. Um diesen Wunsch zu befriedigen, erstellt Mistborn bereits bei der Installation auf dem Server ein Zertifikat mit 10 Jahren Gültigkeit. Das importieren Sie auf das Android-Gerät, indem Sie in den Einstellungen unter Sicherheit | Zusätzliche Einstellungen | Verschlüsselung und Anmeldedaten auf Von Speicher installieren tippen und das Zertifikat importieren, das Sie unter /opt/mistborn_volumes/base/tls/cert.crt finden. Der Entwickler versprach uns, demnächst einen Download-Button für das Zertifikat einzurichten.
Sicherheit
Mistborn ist technisch in mehrfacher Hinsicht auf Sicherheit ausgelegt. Alle Dienste laufen in eigenen Docker-Containern. Sie haben die Möglichkeit, per sudo docker container ls -a jederzeit nachzusehen, um welche es sich handelt und ob sie aktiv sind. Zugang zu Mistborn gibt es nur über Wireguard, der VPS-Dienst reagiert nicht auf unauthentifizierten Datenverkehr.
Das Paket iptables-persistent übernimmt das automatische Laden der Iptables-Regeln, die bei der Installation von Mistborn und jeweils beim Start von Docker erstellt werden. Detaillierte Ausführungen dazu bietet ein Kapitel der Dokumentation [8]. Das Kapitel Troubleshooting enthält einige Maßnahmen, die Sie ergreifen können, falls Mistborn einmal nicht startet. Genügt das nicht, hilft der Entwickler unter mailto:[email protected] per E-Mail gern weiter – allerdings auf Englisch.
Fazit und Ausblick
Mistborn hat uns im Test beeindruckt. Die Idee, ein Heimnetz abzusichern und dabei möglichst viele Dienste unter einer Oberfläche zu verwalten, ist professionell umgesetzt. Die recht junge Anwendung hat noch einige Ecken und Kanten, aber im Kern läuft alles rund. Wir konnten während der Testphase mit dem sehr zugänglichen Entwickler einige dieser Ecken und Kanten glätten. Er hat bereits Pläne für weitere Dienste und andere Erweiterungen [9].
