8
Zugriff auf Webserver mit Router als VPN Client
Hallo zusammen,
ich möchte aus meinem Heimnetz heraus einen Webserver betreiben. Da es hier keine vernünftigen Anschlüsse gibt, surfe ich über einen LTE Router. Ich habe keinen Business Tarif, daher auch keine eigene öffentliche IPv4 Adresse. Die Idee war also im Router (Asus 4G-AC53U) zunächst eine Portweiterleitung einzurichten auf den PC, auf dem der Webserver läuft. Den Port des Webservers habe ich auf 8080 umgestellt. Der Webserver hat 192.168.1.2. Von anderen PCs aus komme ich auch auf den Webserver, funktioniert alles. Jetzt die große Frage, wie komme ich von außen auf den Webserver?
Der Router kann sich als VPN Client mit einem VPN Server verbinden. Also habe ich einen VPN Anbieter rausgesucht (portunity) der auch feste öffentliche IP Adressen anbietet. Vor Kauf habe ich natürlich angefragt und es wurde gesagt, dass das genau für diesen Anwendungsfall genutzt werden könnte. Nun habe ich seitdem Stunden mit deren Support telefoniert, die haben per Teamviewer versucht den Router einzurichten etc. etc. Es hat alles nichts geholfen, wenn von außen auf die feste VPN IP zugegriffen wird, funktioniert es nicht.
Hat hier jemand vielleicht eine Idee was noch falsch sein könnte? Leider kann ich den Zugriff ja ohne VPN von außen auch nicht testen, da es durch das Provider NAT sowieso nicht ankommt.
ich möchte aus meinem Heimnetz heraus einen Webserver betreiben. Da es hier keine vernünftigen Anschlüsse gibt, surfe ich über einen LTE Router. Ich habe keinen Business Tarif, daher auch keine eigene öffentliche IPv4 Adresse. Die Idee war also im Router (Asus 4G-AC53U) zunächst eine Portweiterleitung einzurichten auf den PC, auf dem der Webserver läuft. Den Port des Webservers habe ich auf 8080 umgestellt. Der Webserver hat 192.168.1.2. Von anderen PCs aus komme ich auch auf den Webserver, funktioniert alles. Jetzt die große Frage, wie komme ich von außen auf den Webserver?
Der Router kann sich als VPN Client mit einem VPN Server verbinden. Also habe ich einen VPN Anbieter rausgesucht (portunity) der auch feste öffentliche IP Adressen anbietet. Vor Kauf habe ich natürlich angefragt und es wurde gesagt, dass das genau für diesen Anwendungsfall genutzt werden könnte. Nun habe ich seitdem Stunden mit deren Support telefoniert, die haben per Teamviewer versucht den Router einzurichten etc. etc. Es hat alles nichts geholfen, wenn von außen auf die feste VPN IP zugegriffen wird, funktioniert es nicht.
Hat hier jemand vielleicht eine Idee was noch falsch sein könnte? Leider kann ich den Zugriff ja ohne VPN von außen auch nicht testen, da es durch das Provider NAT sowieso nicht ankommt.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 428488
Url: https://administrator.de/contentid/428488
Printed on: April 19, 2024 at 21:04 o'clock
8 Comments
Latest comment
Bevor wir ins Eingemachte gehen sollte du mal erwähnen WELCHES VPN Protokoll du denn überhaupt verwendest mit dem v4 Tunnelbroker !
Da bist du leider sehr oberflächlich in deiner Beschreibung
Zweiter wichtiger Punkt ist dann die Frage WO das NAT gemacht wird ?
Auf deinem Router oder auf dem des VPN IPv4 Tunnelproviders ?
Das kannst du sehr einfach sehen wenn du dir auf deinem Router einmal die Interfaces und deren Adressierung ansiehst. Dort müsste auf dem Tunnmel Interface bei aktivem VPN Tunnel dann z.B. eine öffentliche IP Adresse zu sehen sein.
Das würde dann bedeuten das deine Seite NAT macht.
Dann brauchst du ein Port Forwarding auf dem Tunnel Interface deines Routers. Genau genommen ein Port Translation, denn wenn dein interner Webserver auf TCP 8080 arbeitet musst du ja eigehende TCP 80 (HTTP) Sessions auch TCP 8080 translaten. Es sei denn du willst gleich direkt von außen per 8080 zugreifen, dann reicht einfaches Port Forwarding.
Die öffentliche IPv4 Adresse die du am Tunnel Interface des Routers bekommst ist immer die Zieladresse für deinen Server wenn du vom Internet aus zugreifen willst.
Mehr Details wären hilfreich.
Da bist du leider sehr oberflächlich in deiner Beschreibung
Zweiter wichtiger Punkt ist dann die Frage WO das NAT gemacht wird ?
Auf deinem Router oder auf dem des VPN IPv4 Tunnelproviders ?
Das kannst du sehr einfach sehen wenn du dir auf deinem Router einmal die Interfaces und deren Adressierung ansiehst. Dort müsste auf dem Tunnmel Interface bei aktivem VPN Tunnel dann z.B. eine öffentliche IP Adresse zu sehen sein.
Das würde dann bedeuten das deine Seite NAT macht.
Dann brauchst du ein Port Forwarding auf dem Tunnel Interface deines Routers. Genau genommen ein Port Translation, denn wenn dein interner Webserver auf TCP 8080 arbeitet musst du ja eigehende TCP 80 (HTTP) Sessions auch TCP 8080 translaten. Es sei denn du willst gleich direkt von außen per 8080 zugreifen, dann reicht einfaches Port Forwarding.
Die öffentliche IPv4 Adresse die du am Tunnel Interface des Routers bekommst ist immer die Zieladresse für deinen Server wenn du vom Internet aus zugreifen willst.
Hat hier jemand vielleicht eine Idee was noch falsch sein könnte?
Dazu müsste man mehr Details zu deiner Konfig sehen. Da du das nicht leiferst könenn wir hie rnur im freien Fall raten Mehr Details wären hilfreich.
Moin moin ,
Warum denn dieser ganze Heck Meck . Sicherheitsmäßig auch sehr bedenklich die Konstellation.
Latenz fangen wir mal gar nicht erst an.
Je nachdem, was das für ein Website ist , gibts doch auch Webspace für lau oder nen schmalen Taler.
Was hast du denn wo GENAU konfiguriert . Steht der Tunnel denn ?
Welcher Portweiterleitungen hast du wo konfiguriert ? Liegt der Webserver in einer VM oder direkt auf dem PC, der warscheinlich auch noch Windows mit Apache ist ....
Gruss
Warum denn dieser ganze Heck Meck . Sicherheitsmäßig auch sehr bedenklich die Konstellation.
Latenz fangen wir mal gar nicht erst an.
Je nachdem, was das für ein Website ist , gibts doch auch Webspace für lau oder nen schmalen Taler.
Was hast du denn wo GENAU konfiguriert . Steht der Tunnel denn ?
Welcher Portweiterleitungen hast du wo konfiguriert ? Liegt der Webserver in einer VM oder direkt auf dem PC, der warscheinlich auch noch Windows mit Apache ist ....
Gruss
Hallo, ja ok sorry, ich dachte man könnte daran schon einen Fehler feststellen ;)
Also der genannte Asus Router verbindet sich per LTE mit der Telekom. Daraufhin verbindet er sich als VPN Client über OpenVPN mit dem Service von portunity. Dazu konnte man dort eine *.opvn? Datei herunterladen, die im Router hochgeladen werden konnte. Die VPN Verbindung kann erfolgreich hergestellt werden. Nachdem die VPN Verbindung hergestellt wurde erhalte ich von portunity (weil extra gebucht) immer die gleiche feste IP nach außen hin. D.h. wenn ich wieistmeineip.de aufrufe, sehe ich immer die gleiche IP, nämlich die mir zugewiesen wurde. Das ist ja schon mal gut und auch so gewollt.
Zur Konfiguration derzeit:
PC mit Webserver 192.168.1.2 (feste IP per DHCP über MAC Adresse) - Webserver läuft auf Port 8080, der auch von außen direkt angesteuert werden soll (http://VPN-IP-ADRESSE:8080).
Router hat 192.168.1.1 und Port-Weiterleitung eingestellt, die wie folgt aussieht: Egal welche source IP, Port 8080 soll auf IP 192.168.1.2 Port 8080 weitergeleitet werden sowohl für TCP als auch UDP.
Da ich intern im Netzwerk (bspw. anderer PC 192.168.1.3) die Adresse http://192.168.1.2:8080 aufrufen kann und die Seite angezeigt wird, wäre ich davon ausgegangen, dass es mit der Portweiterleitung auch von außen gehen sollte. Das VPN nutze ich ja nur, damit ich eine feste erreichbare IP nach außen hin habe, da es mit LTE ja scheinbar ohne teuren Business Vertrag nicht anders geht.
Vielleicht könnt ihr nun besser sagen, was ich falsch mache? Zumindest soll es so funktionieren, wie mir von dem Unternehmen mehrfach bestätigt wurde :/
Also der genannte Asus Router verbindet sich per LTE mit der Telekom. Daraufhin verbindet er sich als VPN Client über OpenVPN mit dem Service von portunity. Dazu konnte man dort eine *.opvn? Datei herunterladen, die im Router hochgeladen werden konnte. Die VPN Verbindung kann erfolgreich hergestellt werden. Nachdem die VPN Verbindung hergestellt wurde erhalte ich von portunity (weil extra gebucht) immer die gleiche feste IP nach außen hin. D.h. wenn ich wieistmeineip.de aufrufe, sehe ich immer die gleiche IP, nämlich die mir zugewiesen wurde. Das ist ja schon mal gut und auch so gewollt.
Zur Konfiguration derzeit:
PC mit Webserver 192.168.1.2 (feste IP per DHCP über MAC Adresse) - Webserver läuft auf Port 8080, der auch von außen direkt angesteuert werden soll (http://VPN-IP-ADRESSE:8080).
Router hat 192.168.1.1 und Port-Weiterleitung eingestellt, die wie folgt aussieht: Egal welche source IP, Port 8080 soll auf IP 192.168.1.2 Port 8080 weitergeleitet werden sowohl für TCP als auch UDP.
Da ich intern im Netzwerk (bspw. anderer PC 192.168.1.3) die Adresse http://192.168.1.2:8080 aufrufen kann und die Seite angezeigt wird, wäre ich davon ausgegangen, dass es mit der Portweiterleitung auch von außen gehen sollte. Das VPN nutze ich ja nur, damit ich eine feste erreichbare IP nach außen hin habe, da es mit LTE ja scheinbar ohne teuren Business Vertrag nicht anders geht.
Vielleicht könnt ihr nun besser sagen, was ich falsch mache? Zumindest soll es so funktionieren, wie mir von dem Unternehmen mehrfach bestätigt wurde :/
Dazu konnte man dort eine *.opvn? Datei herunterladen, die im Router hochgeladen werden konnte.
Wäre intelligent gewesen die mal zu posten, denn die besagt ja genau WAS der Tunnel dann macht:OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hätte uns ne Menge Nachfragerei erspart...
sehe ich immer die gleiche IP, nämlich die mir zugewiesen wurde. Das ist ja schon mal gut und auch so gewollt.
Das ist per se auch richtig !Die Kardinalsfrage ist aber nun WO wir die Adress Translation gemacht ??
Direkt bei dir am Router ?? Bedeutet: Du hast eine öffentliche IPv4 IP am Tunnel Interface des Routers.
Deshalb nochmal die Frage: Ist dem so ??
Oder....der VPN Provider macht NAT. Sprich der Tunnel wird auch über eine RFC 1918 IP zum VPN Provider transportiert und dort geNATet. Ist das der Fall schmälert das dann deine Chancen von außen auf die v4 Adresse zuzugreifen.
Egal welche source IP, Port 8080 soll auf IP 192.168.1.2 Port 8080 weitergeleitet werden sowohl für TCP als auch UDP.
Ist richtig !Bedenke aber das du dem Router sagen musst das die Port Weiterleitung für das Tunnel Interface gilt und NICHT für das normale WAN Interface. Logisch, denn die Connections von außen kommen ja über das Tunnel Interface rein. Wenn du PFW auf dem normalen WAN Port machst greift das nicht, denn dort sind deine Daten ja noch in einem SSL Tunnel vom OpenVPN verpackt. Ein Port Forwarding dort ist also vollkommen wirkungslos.
Auch logisch, der Router "sieht" dort ja keinen TCP 8080 Traffic sondern nur den OpenVPN getunnelten in einem SSL Tunnel mit UDP 1194. Deshalb bleibt das PFW dort wirkungslos und kann nur am Tunnel Interface greifen, denn dort liegen ja wieder die ins VPN eingepackten TCP 8080 Daten an.
Verstehst du vermutlich selber..?!
Vielleicht könnt ihr nun besser sagen, was ich falsch mache?
Siehe oben. Du hast sehr wahrscheinlich das PFW am WAN Port und nicht am Tunnel Port konfiguriert.
Zitat von @aqui:
Die Kardinalsfrage ist aber nun WO wir die Adress Translation gemacht ??
Direkt bei dir am Router ?? Bedeutet: Du hast eine öffentliche IPv4 IP am Tunnel Interface des Routers.
Deshalb nochmal die Frage: Ist dem so ??
Oder....der VPN Provider macht NAT. Sprich der Tunnel wird auch über eine RFC 1918 IP zum VPN Provider transportiert und dort geNATet. Ist das der Fall schmälert das dann deine Chancen von außen auf die v4 Adresse zuzugreifen.
sehe ich immer die gleiche IP, nämlich die mir zugewiesen wurde. Das ist ja schon mal gut und auch so gewollt.
Das ist per se auch richtig !Die Kardinalsfrage ist aber nun WO wir die Adress Translation gemacht ??
Direkt bei dir am Router ?? Bedeutet: Du hast eine öffentliche IPv4 IP am Tunnel Interface des Routers.
Deshalb nochmal die Frage: Ist dem so ??
Oder....der VPN Provider macht NAT. Sprich der Tunnel wird auch über eine RFC 1918 IP zum VPN Provider transportiert und dort geNATet. Ist das der Fall schmälert das dann deine Chancen von außen auf die v4 Adresse zuzugreifen.
Die Frage kann ich auch beantworten, ich benutze nämlich selbst auch einen solchen Tunnel:
Dem Tunnel-Client wird immer die öffentliche IP zugewiesen, so dass man ohne Filterung alle Ports und Protokolle direkt am Tunnelinterface hat. Das ist ja auch der Sinn der Sache
@tolleslte:
Die Frage wäre jetzt:
Hast du mehrere Router in deinem Netz? Falls ja, stelle sicher dass der Tunnelrouter auch das Default-Gateway für deinen Webserver ist.
Falls auf dem Webserver eine Firewall läuft, stelle die auch mal testweise komplett ab.
Ansonsten müsstest du mit Wireshark/tcpdump prüfen, ob du eingehende Pakete auf deinem Webserver siehst. Damit könntest du sicherstellen, ob dein Portforwarding funktioniert oder ob es ein lokales Problem an deinem Server ist.
@LordGurke
Oder ist das da NAT und FW auch aktiv ?
so dass man ohne Filterung alle Ports und Protokolle direkt
Nur mal OT der Neugierde wegen gefragt: Wie siehts da eigentlich dann mit der Security aus an dem Tunnel Interface ? NAT und eine Firewall dürften da ja nicht aktiv sein weil der Router das ja nur auf dem physischen Interface macht ?! Hat man dann das offene Internet am Tunel Interface ?Oder ist das da NAT und FW auch aktiv ?
Das hängt ja davon ab, wie der Router das handhabt. Ich habe das bei mir innerhalb eines LXC-Containers als virtuellen Router laufen und habe damit natürlich alle Freiheiten, da mit iptables herumzukonfigurieren, zu WRT-Routern kann ich da wenig sagen.
Wenn der Router resp. die Firewall in der Lage ist, den VPN-Tunnel als "böses" Netzwerk zu betrachten und entsprechend die Firewall- und NAT-Regeln darauf anzuwenden, verhält sich das Tunnelinterface ja am Ende wie ein PPP-Interface einer DSL-Verbindung.
Ich meine: Wieso sollte das auf physische Interfaces beschränkt sein? Ein PPP-Interface ist ja auch nicht physisch
Wenn der Router resp. die Firewall in der Lage ist, den VPN-Tunnel als "böses" Netzwerk zu betrachten und entsprechend die Firewall- und NAT-Regeln darauf anzuwenden, verhält sich das Tunnelinterface ja am Ende wie ein PPP-Interface einer DSL-Verbindung.
Ich meine: Wieso sollte das auf physische Interfaces beschränkt sein? Ein PPP-Interface ist ja auch nicht physisch
Klar, da hast du absolut Recht. Wenn man so flexible Router Hardware hat ist das natürlich kein Problem. Beim Cisco oder Mikrotik usw. ist das analog wie auch bei den meisten Firewalls. Mal spannend zu erfahren ob der o.g. Asus das auch kann.
Danke für das OT Feedback und weiter mit dem Thread...
Danke für das OT Feedback und weiter mit dem Thread...
