Webserver in DMZ - Zugriff vom LAN aus auf DynDNS-URL

Hi Frank,

ich hab den Aufbau nicht ganz verstanden. Die FB läuft im Bridge Mode, d.h. die externe IP liegt auf dem WAN Interface der UTM an? Und an der UTM hast Du einen weiteren Port für die DMZ, der dann zurück auf die FB auf Port 2 geht? Wie verhält sich denn die FB im Bridge Mode? Können die restlichen 3 LAN Ports normal genutzt werden, aber ohne Verbindung ins Internet über den WAN Port? Sozusagen als Switch für die DMZ?

Wenn Du keinen Business Anschluss von UM hast, und somit mehrere öffentliche IP Adressen, bringen Dir die beiden DynDNS Namen nix weil beide auf die gleiche IP zeigen. Trotzdem sollte die UTM das aber auflösen. Als Workaround könntest Du einen statischen DNS Eintrag für cloud.dyn.xxx mit der 192.168.11.2 in der UTM anlegen.

Gruß

Jas Man

Hallo Jas,

danke für Deine Rückmeldung - Deinen Vorschlag war top - es geht :-)

Ich habe einen Business Anschluss bei UM - und die IP am Bridged Port ist anders wie die an der FB. Die unterschiedlichen DynDNS Namen funktionieren auch (kann z.B. die Fritzbox von außen über den eigenen Namen erreichen).

Ja die restlichen 3 Ports können normal verwendet werden. Und je nach Gateway Einstellungen kann ich einstellen ob der Zugriff über die UTM oder über die FB nach außen erfolgt.

Grüße

Frank

Trotzdem komisch warum die UTM den DNS Eintrag der FB nicht auflöst, und von Extern schon. Oder meinst Du mit auflösen, dass Du die Seite nicht aufrufen kannst? Das ist was anderes und lässt sich mit asynchronem Routing erklären.

Naja, hauptsache es läuft. Markier den Beitrag doch noch als gelöst für die Nachwelt :)

Gruß

Jas Man

Ich meinte, dass ich die Seite nicht aufrufen kann.

Hallo Frank,

sorry bin grad erst darauf gestoßen. Ganz ehrlich... ich habe mir Dein Anfangs-Post drei Mal durchgelesen. Trotzdem habe ich nicht verstanden, warum Du die DMZ an der Fritz UND an der UTM hängen hast ;-).

Ich habe zu Hause nur eine IP-Adresse. Damit "bediene" ich mehrere Webserver. Ich arbeite da mit der Web Application Firewall (WAF). Diese leitet je nachdem über welche Sub-Domain die Anfragen kommen, diese an den dafür zuständigen Webserver. Da ist es egal, ob diese im internen LAN (diese sind zusätzlich mit der Umkehrauthentifizierung gesichert) oder in der DMZ liegen.

Aufbau: Internet -> Fritzbox 192.168.178.1/24 -> UTM-WAN 192.168.178.20/24 (EXPOSED HOST der Fritz) -> UTM-LAN 192.168.188.1/24 // UTM-DMZ 192.168.199.1/24

Die Fritzbox macht DynDNS, da ich keine feste IP habe. Zusätzlich habe ich eine Domain bei one.com. Dort habe ich die ganzen Sub-Domains als A-Eintrag mit Ziel DynDNS der Fritz im DNS eingetragen. Das würde aber auch mit verschiedenen DynDNS-Einträgen genauso funktionieren.

Rufe ich dann sub1.domain.de auf, lande ich auf der WAF und diese schickt mich weiter zum Webserver1. Bei sub2.domain.de zum Webserver2, usw. Dabei ist es der WAF egal, ob der Server im LAN oder DMZ liegt. Es sind ja ihr bekannte Netze.

Deine Lösung, die DMZ auch an die Fritz zu hängen, finde ich eher kritisch, da die UTM dann die DMZ nicht wirklich schützen kann.

Zu Deinem Problem, dass Du den DMZ-Server aus dem LAN nur über die IP erreichen kannst. Die UTM mag es nicht, wenn Du über die gleiche IP-Adresse beim Aufruf raus und quasi wieder reinkommst. Erstelle einen Host in der UTM mit der INTERNEN IP des Hosts und dem (Dyn)Hostnamen unter DNS-Einstellungen. Diese Einträge haben in der UTM Vorrang zu DNS-Abfragen. 
Wenn Du hier z.B. einen Host www.google.de mit der internen IP 192.168.2.22 erstellen würdest, dann würden alle im internen Netz, die www.google.de aufrufen auf dem Webserver von 192.168.2.22 landen. Hab mir mit so einem Eintrag noch letztens einen Spaß (bei einem Kunden) erlaubt, wo von einem PC immer wieder auf xvideo.com zugegriffen wurde. Anstatt denjenigen anzuscheissen, habe ich den damit auf einen internen dafür aufgesetzten Webserver umgeleitet, auf dem eine "böse" Tittenfrau ihn dann angeschnautzt hat ;-).
Seitdem wird diese Seite nicht mehr aufgerufen *lol*

Beispiel:

Unknown said:

Ich meinte, dass ich die Seite nicht aufrufen kann.

 

OK, das ist natürlich was anderes. Mit "kann nicht aufgelöst werden" meint man normalerweise, dass z.B. ein ping auf die Domain mit "Host konnte nicht gefunden werden" beantwortet wird. Da würde man dann in eine andere Richtung suchen. Aber das nur zur Info.

Einen Beitrag markiert man übrigends mit "This helped me" unter der Antwort, die einem geholfen hat als gelöst. Dann erscheint der Beitrag im Forum als gelöst, und der Helfer bekommt auch ein "Hast Du fein gemacht".

Hallo,

danke für Deine Antwort.

Muss zugeben den Ansatz mit der WAF hatte ich gar nicht auf dem Schirm. Hatte mich bislang auch nicht damit beschäftigt.

Legst Du Deine Server als "Virtual Webserver" an?

Danke

Mark

Hallo Mark,

Du musst Deinen vorhandenen Webserver als echten Webserver einrichten. Danach als virtuellen Webserver die ankommende Verbindung (sprich die URL, über die zugegriffen wird).

Hier ein Beispiel:

Danke - jetzt gleich noch eine Frage - ich habe auf meinem Server (für meinen DynDNS) ein Letsencrypt Zertifikat erstellt.

Bekomme ich das irgendwie in die UTM?

Oder wie hast Du das gelöst?

Ich habe ein Wildcard-Zertifikat von StartSSL für meine DE-Domain. Das nutze ich dann in der UTM. Das ist aber egal, wer den ausgestellt hat.

Hast Du ein PKCS#12-Zertifikat oder Zertifikat und PrivateKey getrennt? PKCS kannst Du direkt in die UTM importieren:

Ansonsten kannst Du Dir aus Deinem Zertifikat und PrivateKey ein PKCS erstellen. Am Schnellsten online (z.B. hier https://www.sslshopper.com/ssl-converter.html ) oder per openssl bei Dir auf dem Server. Wie das geht, ist auch im obigen Link beschrieben.