Apache Webserver im LAN via SSH reverse Proxy erreichbar - IP und vHost Konfiguration
Hallo liebe Community und einen schönen Sonntagmorgen ,
leider habe ich nach stundenlangem googeln keine Antwort gefunden und wende mich nun vertrauensvoll an euch.
Folgendes Szenario ist gegeben:
Skizze:
HomeVM mit Apache/WebDAV auf Port 443/TCP -----------------> Router mit NAT -------------------------> Strato vServer -------------------------------------------> WWW
----------------------- SSH Reverse Tunnel für Port 443 -------------> vServer mit erreichbarem Port 443/TCP ---> WWW (Client connect auf HomeVM)
<---------------------------------------------------- Durchgehend verschlüsselte SSL-Verbindung zwischen Client und HomeVM ----------------------------------------------->
Ich betreibe einen Apache Webserver auf einer Ubuntu VM im lokalen LAN bei mir zu Hause. Der Port 443 wird via SSH Reverse Proxy zu einem Strato vServer im Internet geleitet.
(Auf meiner Heim-VM: ssh -R 443:localhost:443 root@StratovServer)
Das funktioniert auch ohne Probleme.
Folgende Schwierigkeiten sind mir jedoch nun aufgefallen und ich habe keine Lösung gefunden:
1. Im Apache Log wird nur localhost angezeigt. Nicht jedoch die Remote Client IP.
-> Ich möchte gerne Zugriffskontrolle via fail2ban einrichten. Dies ist so jedoch nicht möglich. Gibt es eine Möglichkeit SSHd mitzuteilen, dass er die entsprechende Client IP mit schicken soll und Apache kann diese in's Log schreiben?.
2. Ein Apache Reverse Proxy kommt nicht in Frage, da ich damit nicht die Möglichkeit habe eine SSL Verbindung ohne Unterbrechung durchzureichen. Ich möchte sicherstellen, dass es zu keinem Zeitpunkt eine unverschlüsselte Verbindung zwischen dem Client und der HomeVM gibt. Die Verbindung soll zwingend durchgehend via SSL abgesichert werden. Zusätzlich möchte ich in Zukunft SSL-Cert-based authentifizieren, sodass dies ebenfalls zu Problemen führen würde.
Das Dilemma ist perfekt. - Ich hoffe mir kann hier jemand mit hilfreichen Tips zur Seite stehen.
Ich danke schon jetzt vielmals für Hilfe jeglicher Art! Falls ihr noch weitere Infos haben wollt oder ich etwas wichtiges vergessen habe. -> Immer raus damit.
Liebe Grüße
NetworkUser
leider habe ich nach stundenlangem googeln keine Antwort gefunden und wende mich nun vertrauensvoll an euch.
Folgendes Szenario ist gegeben:
Skizze:
HomeVM mit Apache/WebDAV auf Port 443/TCP -----------------> Router mit NAT -------------------------> Strato vServer -------------------------------------------> WWW
----------------------- SSH Reverse Tunnel für Port 443 -------------> vServer mit erreichbarem Port 443/TCP ---> WWW (Client connect auf HomeVM)
<---------------------------------------------------- Durchgehend verschlüsselte SSL-Verbindung zwischen Client und HomeVM ----------------------------------------------->
Ich betreibe einen Apache Webserver auf einer Ubuntu VM im lokalen LAN bei mir zu Hause. Der Port 443 wird via SSH Reverse Proxy zu einem Strato vServer im Internet geleitet.
(Auf meiner Heim-VM: ssh -R 443:localhost:443 root@StratovServer)
Das funktioniert auch ohne Probleme.
Folgende Schwierigkeiten sind mir jedoch nun aufgefallen und ich habe keine Lösung gefunden:
1. Im Apache Log wird nur localhost angezeigt. Nicht jedoch die Remote Client IP.
-> Ich möchte gerne Zugriffskontrolle via fail2ban einrichten. Dies ist so jedoch nicht möglich. Gibt es eine Möglichkeit SSHd mitzuteilen, dass er die entsprechende Client IP mit schicken soll und Apache kann diese in's Log schreiben?.
2. Ein Apache Reverse Proxy kommt nicht in Frage, da ich damit nicht die Möglichkeit habe eine SSL Verbindung ohne Unterbrechung durchzureichen. Ich möchte sicherstellen, dass es zu keinem Zeitpunkt eine unverschlüsselte Verbindung zwischen dem Client und der HomeVM gibt. Die Verbindung soll zwingend durchgehend via SSL abgesichert werden. Zusätzlich möchte ich in Zukunft SSL-Cert-based authentifizieren, sodass dies ebenfalls zu Problemen führen würde.
Das Dilemma ist perfekt. - Ich hoffe mir kann hier jemand mit hilfreichen Tips zur Seite stehen.
Ich danke schon jetzt vielmals für Hilfe jeglicher Art! Falls ihr noch weitere Infos haben wollt oder ich etwas wichtiges vergessen habe. -> Immer raus damit.
Liebe Grüße
NetworkUser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300801
Url: https://administrator.de/forum/apache-webserver-im-lan-via-ssh-reverse-proxy-erreichbar-ip-und-vhost-konfiguration-300801.html
Ausgedruckt am: 23.12.2024 um 16:12 Uhr
2 Kommentare
Neuester Kommentar
Zitat von @NetworkUser:
Hallo liebe Community und einen schönen Sonntagmorgen ,
1. Im Apache Log wird nur localhost angezeigt. Nicht jedoch die Remote Client IP.
-> Ich möchte gerne Zugriffskontrolle via fail2ban einrichten. Dies ist so jedoch nicht möglich. Gibt es eine Möglichkeit SSHd mitzuteilen, dass er die entsprechende Client IP mit schicken soll und Apache kann diese in's Log schreiben?.
Hallo liebe Community und einen schönen Sonntagmorgen ,
1. Im Apache Log wird nur localhost angezeigt. Nicht jedoch die Remote Client IP.
-> Ich möchte gerne Zugriffskontrolle via fail2ban einrichten. Dies ist so jedoch nicht möglich. Gibt es eine Möglichkeit SSHd mitzuteilen, dass er die entsprechende Client IP mit schicken soll und Apache kann diese in's Log schreiben?.
Nein. Denn die Verbindungen gehen ja vom apache aus gesehen von localhost aus. Du müßtest schon ein VPN einrichten und so dafür sorgen, daß durch korrektes Routing die korrekten IP-Adressen beim Apache ankommen.
- VPN von Apache-rechner zu "smarthost" bei strato.
- default route des apache-Servers in den tunnel.
- routing/nat auf dem smarthost zu apacheserver.
Dann sollte alles korrekt beim Apache protokolliert werden.
Das Dilemma ist perfekt. - Ich hoffe mir kann hier jemand mit hilfreichen Tips zur Seite stehen.
s.o.
lks