Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 3 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 829 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webserver nur von LAN nutzen

Sebastian Klempin1

Hallo Zusammen.

Bei mir zuhause läuft u.a. Vaultwarden über Docker auf einem PI.

Ich nutze die WAF der UTM damit nachträglich die Verbindung https verschlüsselt wird über das Letscrypt Cert der UTM.

Grundsätzlich war dies intuitiv schnell erreicht, aber ich würde es gerne so einstellen das man diesen Service „nur“ aus dem LAN erreichen kann zum syncen. Sicher ist sicher.

 

Einschränkungen kann man unter WAF > Side Path Routing > Access Control vornehmen. Aber wenn Dort nicht „Any“ einstellen bekomme ich auch von Intern keine Verbindung.

Dies liegt vermutlich daran, weil die Anfragen für die UTM von extern kommen.

Der UTM ist noch eine Fritz box vorgeschaltet auf der WAN Seite. (wegen Telefonie)

Ich probierte es mit einem „DNS Host“ Eintrag, also meinen ddns.net Adresse. Die UTM löst aber die Adresse falsch auf.  Es wird nicht die externe Adresse aufgelöst. Es ist egal welches interface ich angebe.

Leg ich eine statischen Host mit der Externe IP der Fritzbox an geht’s so wie erwartet.

Nun die Frage: Wie bringe ich die UTM bei das sie den DYNDNS Eintrag richtig auflöst? 

Oder ist mein Lösungsansatz generell falsch?



This thread was automatically locked due to age.
Parents
  • 0 in reply to Jonas92

    Hey,

    zu 1 die Lösung: --> Webserver nur von LAN nutzen --> Du musst zuerst unter virtueller Webserver die Schnittstelle auf "intern (Address)" setzen, dann horcht der Webserver auf der intern Schnittstelle: 

    dann wie du schon richtig gesagt hast  unter Side Path Routing > Access Control  das interne Netzwerk hinterlegen.

    zu 2: "Ich nutze die WAF der UTM damit nachträglich die Verbindung https verschlüsselt wird über das Letscrypt Cert der UTM."

    Bietet die PI kein HTTPS an?, du hast die WAF via Port 80 an die PI angebunden und du willst nachträglich verschlüsseln? Dann hast du einen Denkfehler drin, ja du hast vom Client zur WAF dank dem Lets Encrypt eine verschlüsselte Verbindung aber nur bis zur WAF, die Kommunikation zwischen WAF und PI weiter ist unverschlüsselt. Also ist der Kommunikationsweg nicht vollständig via HTTPS geschützt und damit nicht sicher.

    Aktuell ist es bei dir wie folgt, wenn ich richtig deine Aussage deute: Client --verschlüsselt--> WAF--unverschlüsselt--> PI.

    Lösung: Mit dem PI ebenfalls HTTPS via Zertifikat arbeiten.

Reply
  • 0 in reply to Jonas92

    Hey,

    zu 1 die Lösung: --> Webserver nur von LAN nutzen --> Du musst zuerst unter virtueller Webserver die Schnittstelle auf "intern (Address)" setzen, dann horcht der Webserver auf der intern Schnittstelle: 

    dann wie du schon richtig gesagt hast  unter Side Path Routing > Access Control  das interne Netzwerk hinterlegen.

    zu 2: "Ich nutze die WAF der UTM damit nachträglich die Verbindung https verschlüsselt wird über das Letscrypt Cert der UTM."

    Bietet die PI kein HTTPS an?, du hast die WAF via Port 80 an die PI angebunden und du willst nachträglich verschlüsseln? Dann hast du einen Denkfehler drin, ja du hast vom Client zur WAF dank dem Lets Encrypt eine verschlüsselte Verbindung aber nur bis zur WAF, die Kommunikation zwischen WAF und PI weiter ist unverschlüsselt. Also ist der Kommunikationsweg nicht vollständig via HTTPS geschützt und damit nicht sicher.

    Aktuell ist es bei dir wie folgt, wenn ich richtig deine Aussage deute: Client --verschlüsselt--> WAF--unverschlüsselt--> PI.

    Lösung: Mit dem PI ebenfalls HTTPS via Zertifikat arbeiten.

Children
  • 0 in reply to Jonas92

    danke für deine Antwort. 

    Ach unter den virtuellen Server... das hatte ich übersehen. 

    OK nun hab ich nur intern und das VPN Netz berechtigt und alles Szenarien abgedeckt.

    das ist ein Docker Image die empfehlen selber ein eine Reverse Proxy zu nutzen. 

    so ultimativ sicher ist das nicht aber komfortabel. 

    Der Pi hat ein eigens VLAN. 

Unfiltered HTML