12
Webserver in VLAN nach außen freigeben
Guten Morgen zusammen,
Ich habe eine Fritzbox 7430 als DSL Modem im Einsatz. Dahinter ist ein Mikrotik hAP ac². Der Mikrotik Router ist DHCP-Server teilt mein Netzwerk in 4 VLANS auf. DMZ, Home, Guest und Test.
Im Netz Home steht eine NAS auf der ein Nextcloud Server läuft. Diesen habe ich früher einfach per Portforwarding in der Fritzbox freigegeben.
Wie kann ich den Webserver jetzt freigeben? Ich habe probiert per NAT die Anfrage im Mikrotik-Router an den Webserver weiterzuleiten. Das hat aber alles leider nicht so richtig funktioniert.
Sind die NAT-Regeln soweit richtig oder habe ich da einen Denkfehler drin?
Brauche ich zusätzlich noch eine Firewallregel, die die Kommunikation von außen zum Webserver erlaubt?
Bitte verzeiht mir mein fehlendes Fachwissen, ich bin nur Softwareentwickler und kein Netzwerkspezialist
.
Viele Grüße
das-mo
Ich habe eine Fritzbox 7430 als DSL Modem im Einsatz. Dahinter ist ein Mikrotik hAP ac². Der Mikrotik Router ist DHCP-Server teilt mein Netzwerk in 4 VLANS auf. DMZ, Home, Guest und Test.
Im Netz Home steht eine NAS auf der ein Nextcloud Server läuft. Diesen habe ich früher einfach per Portforwarding in der Fritzbox freigegeben.
Wie kann ich den Webserver jetzt freigeben? Ich habe probiert per NAT die Anfrage im Mikrotik-Router an den Webserver weiterzuleiten. Das hat aber alles leider nicht so richtig funktioniert.
0 chain=dstnat action=dst-nat to-addresses=192.168.10.21 to-ports=80 protocol=tcp dst-port=8080 log=yes log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.10.21 to-ports=443 protocol=tcp dst-port=4433 log=yes log-prefix="" Sind die NAT-Regeln soweit richtig oder habe ich da einen Denkfehler drin?
Brauche ich zusätzlich noch eine Firewallregel, die die Kommunikation von außen zum Webserver erlaubt?
Bitte verzeiht mir mein fehlendes Fachwissen, ich bin nur Softwareentwickler und kein Netzwerkspezialist
.Viele Grüße
das-mo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 461175
Url: https://administrator.de/contentid/461175
Printed on: April 19, 2024 at 19:04 o'clock
12 Comments
Latest comment
Moin
Warum machst Du NAT mit dem Mikrotik?
Sinnvoller wäre es, ohne NAT zu arbeiten und Zugriffe durch Firewallregeln zu beschränken.
Du solltest also NAT auf dem Mikrotik deaktivieren und die statischen Routen zu den Netzen hinter dern Mikrotik in der Fritzbox eintragen.
Dann wäre für die Erreichbarkeit Deines webservers nur eine Pirtweiterleitung auf der Fritzbox notwendig.
Wie man Router richtig kaskadiert erklärt Kollege aqui hier in seiner Anleitung "Routing von 2 und mehr IP Netzen mit Windows, Linux und Router".
lks
Warum machst Du NAT mit dem Mikrotik?
Sinnvoller wäre es, ohne NAT zu arbeiten und Zugriffe durch Firewallregeln zu beschränken.
Du solltest also NAT auf dem Mikrotik deaktivieren und die statischen Routen zu den Netzen hinter dern Mikrotik in der Fritzbox eintragen.
Dann wäre für die Erreichbarkeit Deines webservers nur eine Pirtweiterleitung auf der Fritzbox notwendig.
Wie man Router richtig kaskadiert erklärt Kollege aqui hier in seiner Anleitung "Routing von 2 und mehr IP Netzen mit Windows, Linux und Router".
lks
Ich habe eine Fritzbox 7430 als DSL Modem im Einsatz.
Wirklich als reines Modem oder wieder laienhaft Modem und Router verwechselt und in Wahrheit ist es eine Router Kaskade mit doppeltem NAT ?IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wie Kollege LKS schon richtig sagt ist es sinnfrei NAT auf dem Mikrotik zu aktivieren, das sollte man niemals machen.
Besser ist dort ohne NAT zu arbeiten und transparent zu routen !
Siehe dazu auch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wie kann ich den Webserver jetzt freigeben?
Leider vermutlich gar nicht 
Der Grund sind die limitierten Features der FritzBox als billiges Consumer Gerät. Du darfst da nicht das Featureset des Mikrotik voraussetzen !
Normal wäre das ja kein Problem. Du richtest ein Port Forwarding von TCP 80 und TCP 443 auf die lokale IP Adresse des NextCloud Servers ein und gut iss. Mit einem normalen Router alles kein Problem.
Auch dann nicht wenn diese IP Adressen über statische Routen erreichbar sind.
Deshalb wirst du das so mit der FB Hardware nicht umsetzen können.
Wie gesagt nur wenn die vor dem MT liegende FritzBox als NAT Router arbeitet in einer Router Kaskade.
Ist es wirklich so das die FB als reines Modem arbeitet, du also das Internet direkt auf dem MT terminierst, dann sieht die Welt natürlich ganz anders aus. Dann ist das über eine einfache Port Forwarding Regel im MT umzusetzen. Quasi wie es vorher war bei dir mit der FB.
Da aber AVM den reinen Modem Betrieb mit den FBs nicht mehr supportet gehen wir mal davon aus das du dein Design hier technisch falsch beschrieben hast und es vermutlich doch ein Kaskaden Design ist...?!
Fazit:
Du wirst dann nicht umhin kommen deinen NextCloud Server wieder direkt ins Koppelnetz zw. FB und MT zu legen (LAN Port der FB) und dann mit einfachem Port Forwarding auf der FB zu arbeiten.
Ist vermutlich auch nicht das Schlechteste, denn so musst du nicht das Loch das du mit dem Port Forwarding in deine FB gebohrt hast auch noch direkt auf die Netze hinter dem MT ausweiten.
Gerade bei den Allerwelt Ports TCP 80 und 443 ist das ein erhebliches Risiko.
Letztlich das das also der bessere Weg es dann so zu machen.
Zitat von @aqui:
Bei der FritzBox kannst du aber keine Port Forwardings auf IP Adressen einrichten die NICHT im lokalen LAN liegen.
Bei der FritzBox kannst du aber keine Port Forwardings auf IP Adressen einrichten die NICHT im lokalen LAN liegen.
Ich meine das geht. Muß ich aber nichmal nachschauen.
lks
Danke für eure ausführlichen Antworten.
Ich nutze die Fritzbox nicht als reines Modem. Die statischen Routen sind bereits eingetragen.
Wenn ich das richtig verstanden habe, habe ich zwei Möglichkeiten:
1. Fritzbox austauschen
2. NAS von Home in die DMZ umlegen
Ich habe hier noch einen TP-Link AC1200 rumfliegen. Bevor ich den aber konfiguriere gebe ich lieber der NAS eine andere IP.
Viele Grüße
ads-mo
Ich nutze die Fritzbox nicht als reines Modem. Die statischen Routen sind bereits eingetragen.
Wenn ich das richtig verstanden habe, habe ich zwei Möglichkeiten:
1. Fritzbox austauschen
2. NAS von Home in die DMZ umlegen
Ich habe hier noch einen TP-Link AC1200 rumfliegen. Bevor ich den aber konfiguriere gebe ich lieber der NAS eine andere IP.
Viele Grüße
ads-mo
Ich nutze die Fritzbox nicht als reines Modem.
Wie zu erwarten. Das wird hier leider sehr oft falsch beschrieben....habe ich zwei Möglichkeiten:
Ja, richtig.Option 2 macht so oder so Sinn, denn keiner würde ungeschützten Traffic gerne in seinem Heimnetz haben.
Die DMZ ist für Port Forwarding Traffic der richtige Ort.
Zitat von @Lochkartenstanzer:
Ich meine das geht. Muß ich aber nichmal nachschauen.
Zitat von @aqui:
Bei der FritzBox kannst du aber keine Port Forwardings auf IP Adressen einrichten die NICHT im lokalen LAN liegen.
Bei der FritzBox kannst du aber keine Port Forwardings auf IP Adressen einrichten die NICHT im lokalen LAN liegen.
Ich meine das geht. Muß ich aber nichmal nachschauen.
Gerade mit einer 7590 ausprobiert. Portweiterleitung auf ein Gerät hinter einem DD-WRT-Router funktioniert ohne Probleme.
lks
Und das ohne NAT auf dem DD-WRT ???
Cool ! 
OK, dann nehm ich alles von oben zurück und behaupte das Gegenteil. Ich habe hier noch eine olle FB rumliegen. Werde ich auch mal checken obs da mit der aktuellen Firmware auch funktioniert !
Danke auf alle Fälle für das informative Feedback !!
Dann kann der TO das ja doch so umsetzen.
Allerdings sollte er dennoch besser den NC Server in der DMZ belassen. Es ist sicher wenig sinnvoll, wie oben schon mehrfach gesagt, ungeschützten Internet Traffic direkt in sein Heimnetz zu lassen.
Noch wichtiger ist dann auch das er dass sinnfreie NAT auf dem Mikrotik deaktiviert.
Infos dazu siehe auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
OK, dann nehm ich alles von oben zurück und behaupte das Gegenteil. Ich habe hier noch eine olle FB rumliegen. Werde ich auch mal checken obs da mit der aktuellen Firmware auch funktioniert !
Danke auf alle Fälle für das informative Feedback !!
Dann kann der TO das ja doch so umsetzen.
Allerdings sollte er dennoch besser den NC Server in der DMZ belassen. Es ist sicher wenig sinnvoll, wie oben schon mehrfach gesagt, ungeschützten Internet Traffic direkt in sein Heimnetz zu lassen.
Noch wichtiger ist dann auch das er dass sinnfreie NAT auf dem Mikrotik deaktiviert.
Infos dazu siehe auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Zitat von @aqui:
Cool !
OK, dann nehm ich alles von oben zurück und behaupte das Gegenteil. Ich habe hier noch eine olle FB rumliegen. Werde ich auch mal checken obs da mit der aktuellen Firmware auch funktioniert !
Cool !
OK, dann nehm ich alles von oben zurück und behaupte das Gegenteil. Ich habe hier noch eine olle FB rumliegen. Werde ich auch mal checken obs da mit der aktuellen Firmware auch funktioniert !
Man muß die IP-Adresse manuell eingeben. Man darf sich nicht davon irritieren lasen, daß er einem eine Liste der lokalen Geräte an den Kopf wirft. Irgendwo steht da noch "manuelle Eingabe".
lks
Meine NAS ist jetzt in der DMZ und NAT ist auf dem Mikrotik deaktiviert.
Funktioniert jetzt alles.
Vielen Dank euch beiden!
Funktioniert jetzt alles.
Vielen Dank euch beiden!
Zitat von @das-mo:
Meine NAS ist jetzt in der DMZ und NAT ist auf dem Mikrotik deaktiviert.
Funktioniert jetzt alles.
Vielen Dank euch beiden!
Meine NAS ist jetzt in der DMZ und NAT ist auf dem Mikrotik deaktiviert.
Funktioniert jetzt alles.
Vielen Dank euch beiden!
gern geschehen.
lks
