Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 16 replies
  • Subscribers 5 subscribers
  • Views 23198 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webserver in DMZ - Zugriff vom LAN aus auf DynDNS-URL

MarcMüller

Hallo,

 

ich habe folgende Situation bei mir:

  • Unitymedia --> Fritzbox (Port 1) --> Bridgeport --> UTM --> LAN (192.168.1.0/24) / --> DMZ (192.168.11.0/24)
  • Die Fritzbox ist am Port 2 (192.168.11.1) mit dem DMZ Port verbunden. Damit kann ich die FB (die ja hinter der UTM liegt) auch vom LAN aus ereichen.
  • Die UTM hat den DynDNS Namen home.dyn.xx
  • Die Fritzbox hat den DynDNS Namen cloud.dyn.xx

Ich habe jetzt einen Rechner mit Ubuntu + Owncloud aufgesetzt. Dieser steht in der DMZ und verwendet als Gateway die Fritzbox (dort dann auch die Portweiterleitung).

 

Aus "fremden" Netzen (LTE oder anderer Internetanschluss) erreiche ich die Owncloud unter cloud.dyn.xx - funktioniert alles top.

Aber aus meinem LAN wird die Adresse cloud.dyn.xx nicht aufgelöst. Ich kann die Owncloud aus dem LAN "nur" über die IP (192.168.11.2) erreichen.

 

Woran liegt das? Ich habe es extra direkt an die FB angehängt, damit nicht der DynDNS Namen der UTM aufgerunfen werden muss. Woran liegt es, dass der Aufrug der URL (cloud.dyn.xx) nicht durch die UTM ins Internet geleitet wird und dann wieder bei der Fritzbox ankommt?

Habe ich einen grundlegenden Denkfehler?

 

Danke und Grüße

Frank



This thread was automatically locked due to age.
Parents
  • +1

    Hi Frank,

    ich hab den Aufbau nicht ganz verstanden. Die FB läuft im Bridge Mode, d.h. die externe IP liegt auf dem WAN Interface der UTM an? Und an der UTM hast Du einen weiteren Port für die DMZ, der dann zurück auf die FB auf Port 2 geht? Wie verhält sich denn die FB im Bridge Mode? Können die restlichen 3 LAN Ports normal genutzt werden, aber ohne Verbindung ins Internet über den WAN Port? Sozusagen als Switch für die DMZ?

    Wenn Du keinen Business Anschluss von UM hast, und somit mehrere öffentliche IP Adressen, bringen Dir die beiden DynDNS Namen nix weil beide auf die gleiche IP zeigen. Trotzdem sollte die UTM das aber auflösen. Als Workaround könntest Du einen statischen DNS Eintrag für cloud.dyn.xxx mit der 192.168.11.2 in der UTM anlegen.

     

    Gruß

    Jas Man

  • 0 in reply to Jas Man

    Hallo Jas,

    danke für Deine Rückmeldung - Deinen Vorschlag war top - es geht :-)

     

    Ich habe einen Business Anschluss bei UM - und die IP am Bridged Port ist anders wie die an der FB. Die unterschiedlichen DynDNS Namen funktionieren auch (kann z.B. die Fritzbox von außen über den eigenen Namen erreichen).

    Ja die restlichen 3 Ports können normal verwendet werden. Und je nach Gateway Einstellungen kann ich einstellen ob der Zugriff über die UTM oder über die FB nach außen erfolgt.

     

    Grüße

    Frank

     

  • 0 in reply to ManuelAbeledo

    Hallo,

    danke für Deine Antwort.

    Muss zugeben den Ansatz mit der WAF hatte ich gar nicht auf dem Schirm. Hatte mich bislang auch nicht damit beschäftigt.

    Legst Du Deine Server als "Virtual Webserver" an?

    Danke

    Mark

  • 0 in reply to MarcMüller

    Hallo Mark,

    Du musst Deinen vorhandenen Webserver als echten Webserver einrichten. Danach als virtuellen Webserver die ankommende Verbindung (sprich die URL, über die zugegriffen wird).

    Hier ein Beispiel:

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • 0 in reply to ManuelAbeledo

    Danke - jetzt gleich noch eine Frage - ich habe auf meinem Server (für meinen DynDNS) ein Letsencrypt Zertifikat erstellt.

    Bekomme ich das irgendwie in die UTM?

    Oder wie hast Du das gelöst?

  • 0 in reply to MarcMüller

    Ich habe ein Wildcard-Zertifikat von StartSSL für meine DE-Domain. Das nutze ich dann in der UTM. Das ist aber egal, wer den ausgestellt hat.

    Hast Du ein PKCS#12-Zertifikat oder Zertifikat und PrivateKey getrennt? PKCS kannst Du direkt in die UTM importieren:

    Ansonsten kannst Du Dir aus Deinem Zertifikat und PrivateKey ein PKCS erstellen. Am Schnellsten online (z.B. hier https://www.sslshopper.com/ssl-converter.html ) oder per openssl bei Dir auf dem Server. Wie das geht, ist auch im obigen Link beschrieben.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • 0 in reply to ManuelAbeledo

    ok danke  - jetzt habe ich noch ne Frage :-)

    Ich habe einen echten und virtuellen Server angelegt (auf meine Webcam). Aber wenn ich die URL aufrufe kommt nichts. Muss ich trotzdem DNAT und Firewall Regeln erstellen?

    Welchen Tarif hast Du bei StartSSL genommen?

    Ich brauche es rein privat für ein paar wenige Anwendungen.

  • 0 in reply to MarcMüller

    Nein, Du brauchst keinerlei NAT oder Firewall Regeln.

    Die Angabe unter "Domains" ist Deine DynDns-Adresse? Hast Du da auch einen Host, der diesen DynDns setzt? Mach mal eine Eingabeaufforderung auf (Windows-Taste + R -> cmd -> Enter) und gib da mal ein: nslookup cam.<Domain>.org
    Zeigt der Dir Deine externe IP an?

    Andere mögliche Ursache: wird der Port 80 von der Fritzbox zur UTM geleitet?

    Ich habe den "StartSSL Identity Validation" für 59.90$/Jahr. Für ein paar Anwendungen reicht Dir absolut der kostenlose Tarif. Da kannst Du zwar keine Wildcards mit erstellen, aber für ein paar Sub-Domains kannst Du dann einzelne Zertifikate erstellen. Bis 10 Stück sogar in einem Zertifikat zusammengefasst. Die Zertifikate gelten zwar dann nur ein Jahr, aber einmal im Jahr ca. 4-5 Minuten investieren, um ein neues zu generieren, ist akzeptabel ;-).

    NACHTRAG: Ruf die URL mal übers Handy per UMTS auf. Wenn Du es übers LAN machst, dann kommt das "Problem" der UTM (über die gleiche IP raus wie rein).

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • 0 in reply to ManuelAbeledo

    Cool, wusste ich auch noch net das man mit der WAF SubDomains unter der gleichen IP betreiben kann.

    Ist StartSSL wieder in den Rootzertifikaten von Mozilla und Co. dabei? Die wurden doch letztes Jahr rausgekegelt wg. Schmu bei der Übernahme durch eine andere Cert-Stelle, oder?

  • 0 in reply to Jas Man

    Du kannst sogar verschiedene Domains (und/oder dessen Subdomains) unter einer IP mit der WAF betreiben ;-). Diese müssen halt nur auf Deine Public IP zeigen.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • 0 in reply to ManuelAbeledo

    jetzt muss ich nochmal wegen dem zertifikat nachfrage....

    ich habe jetzt aktuell auf dem webserver ein letsencrypt zertifikat für meinen dyndns namen meinname.dyn.xx - wenn ich jetzt in der utm für meine domain www.ich.de ein zertifikat hochlade - wirft mir das ja alles durcheinander...

     mache ich im webserver und in der utm das selbe zertifikat?

  • 0 in reply to MarcMüller

    Wenn Du das über die WAF machst, dann muss die UTM das passende Zertifikat zur URL haben. Was dahinter hängt (auch https) ist egal. Die Verifizierung des Zertifikats erfolgt dann bei der UTM. Dein echter Webserver kann sogar nur http sprechen. Dann ist der halt bis zur UTM (und NUR bis dahin) unverschlüsselt.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

Reply
  • 0 in reply to MarcMüller

    Wenn Du das über die WAF machst, dann muss die UTM das passende Zertifikat zur URL haben. Was dahinter hängt (auch https) ist egal. Die Verifizierung des Zertifikats erfolgt dann bei der UTM. Dein echter Webserver kann sogar nur http sprechen. Dann ist der halt bis zur UTM (und NUR bis dahin) unverschlüsselt.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

Children
No Data
Unfiltered HTML