Externen Vserver nur per VPN erreichbar machen ? Mehrere interne Dienste auf dem Server..
Hallo,
ich habe einen vserver im Internet. Er hat logischerweise eine eigene von aussen erreichbare IP und es läuft Debian Wheezy darauf.
Habe Openvpn bereits ohne weitere Probleme eingerichtet und kann auch meinen gesamten Internet Traffic über den Vserver leiten.
Zuhause ist dass vollkommen sinnlos, aber an Hotspots ist es recht brauchbar, und im Urlaub kann so eine deutsche IP zu manch Fußballereignissen auch sehr praktisch sein
Also das VPN geht.
Jetzt würde ich gerne einen FTP Dienst und ein paar weitere auf dem Server laufen lassen, die aber nur durch das VPN erreichbar sein sollen.
Wie man das zuhause macht ist total einfach. Da haben wir ja nen Router, ein Gateway das NAT usw. Aber wie muss man da auf einem Server vorgehen, der ja gar kein internes Netzwerk hat ?
Muss ich die Dienste, die nicht direkt erreichbar sein sollen auf ein virtuelles Interfache binden (eth0:1 - 192.168.xxx.xxx) ?
Muss ich dann mit hilfe von IP_Tables die zugriffe von der offentlichen IP aus unterbinden.
Hat evtl. jemand eine Beispielkonfiguration für IP_Tables, damit ich mich nicht aus dem SSH sofort aussperre, wenn ich die Firewall aktiviere ?
Ich hoffe, ich bekomme jetzt nicht gleich den google Hammer auf den Kopf.....Ich kenne mich mit Netzwerk und Lan im Großen und ganzen gut aus, aber mit einem Server mit öffentlicher IP hatte ich noch nicht viel zu tun.
Grüße
Chris
ich habe einen vserver im Internet. Er hat logischerweise eine eigene von aussen erreichbare IP und es läuft Debian Wheezy darauf.
Habe Openvpn bereits ohne weitere Probleme eingerichtet und kann auch meinen gesamten Internet Traffic über den Vserver leiten.
Zuhause ist dass vollkommen sinnlos, aber an Hotspots ist es recht brauchbar, und im Urlaub kann so eine deutsche IP zu manch Fußballereignissen auch sehr praktisch sein
Also das VPN geht.
Jetzt würde ich gerne einen FTP Dienst und ein paar weitere auf dem Server laufen lassen, die aber nur durch das VPN erreichbar sein sollen.
Wie man das zuhause macht ist total einfach. Da haben wir ja nen Router, ein Gateway das NAT usw. Aber wie muss man da auf einem Server vorgehen, der ja gar kein internes Netzwerk hat ?
Muss ich die Dienste, die nicht direkt erreichbar sein sollen auf ein virtuelles Interfache binden (eth0:1 - 192.168.xxx.xxx) ?
Muss ich dann mit hilfe von IP_Tables die zugriffe von der offentlichen IP aus unterbinden.
Hat evtl. jemand eine Beispielkonfiguration für IP_Tables, damit ich mich nicht aus dem SSH sofort aussperre, wenn ich die Firewall aktiviere ?
Ich hoffe, ich bekomme jetzt nicht gleich den google Hammer auf den Kopf.....Ich kenne mich mit Netzwerk und Lan im Großen und ganzen gut aus, aber mit einem Server mit öffentlicher IP hatte ich noch nicht viel zu tun.
Grüße
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 222832
Url: https://administrator.de/contentid/222832
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
5 Kommentare
Neuester Kommentar
Auf ein Subinterface mit einer RFC 1918 IP Adresse zu gehen macht logischerweise keinen Sinn, denn dann fährst du ja 2 IP Adressen auf einem Draht. Abgesehen davon bleibt ja die öffentliche IP Adresse immer bestehen auf dem vServer so das der immer so auch weltweit erreichbar bleibt.
Theoretisch könnte man eine Firewall in einer VM davor installieren was aber technisch nicht möglich ist, da du auf den Host der deinen vServer hostet logischerweise keinen Einfluss hast und die internen virtuellen Adapter so auch nicht verändern kannst.
Fazit: Das ist eine Sackgasse…
Was übrig bleibt sind dann die guten iptables, sprich also die Firewall des vServers. Du musst also deinen Server wasserdicht verrammeln das nur noch UDP 1194 Pakete auf die öffentliche IP durchkommen dürfen.
Damit schliesst du dann alles andere komplett aus und lässt nur noch den OVPN Tunnel durch. Das wäre dann wasserdicht und kein anderer könnte den Server von extern erreichen. Einzig über die OVPN Verbindung hättest du Zugang.
Das Risiko ist aber das du damit vom Gedeih und Verderb der OVPN Verbindung abhängig bist. Auch was das Management des Servers anbetrifft.
Es macht also duchaus Sinn doch zusätzlich zu UDP 1194 auch TCP 22 freizulassen, damit du immer noch einen SSH Zugang hast für alle Fälle. Den kannst du ja mit einem Zertifikat so absichern das da keiner Blödsinn machen kann.
Damit hättest du dann dein Vorhaben umgesetzt.
Theoretisch könnte man eine Firewall in einer VM davor installieren was aber technisch nicht möglich ist, da du auf den Host der deinen vServer hostet logischerweise keinen Einfluss hast und die internen virtuellen Adapter so auch nicht verändern kannst.
Fazit: Das ist eine Sackgasse…
Was übrig bleibt sind dann die guten iptables, sprich also die Firewall des vServers. Du musst also deinen Server wasserdicht verrammeln das nur noch UDP 1194 Pakete auf die öffentliche IP durchkommen dürfen.
Damit schliesst du dann alles andere komplett aus und lässt nur noch den OVPN Tunnel durch. Das wäre dann wasserdicht und kein anderer könnte den Server von extern erreichen. Einzig über die OVPN Verbindung hättest du Zugang.
Das Risiko ist aber das du damit vom Gedeih und Verderb der OVPN Verbindung abhängig bist. Auch was das Management des Servers anbetrifft.
Es macht also duchaus Sinn doch zusätzlich zu UDP 1194 auch TCP 22 freizulassen, damit du immer noch einen SSH Zugang hast für alle Fälle. Den kannst du ja mit einem Zertifikat so absichern das da keiner Blödsinn machen kann.
Damit hättest du dann dein Vorhaben umgesetzt.
Einen SMB/CIFS Dienst ins Internet stellen (Samba) ist nicht dein Ernst, oder ?? Sowas machen nichtmal blutige Anfänger aber nundenn.
Zurück zur Aufganbenstellung.
Gehe doch erstmal strategisch vor…
Du machst erstmal den server dicht und lässt von außen nur noch das VPN rein (bei dir dann Port 443, nutzt du da UDP oder TCP ??) und Port TCP 22 (SSH für den remoten Zugang)
Dann baust du dein VPN mit OpenVPN auf. Wie eine korrekte Installation aussieht kannst du hier nachlesen.
Du siehst ja auch das OVPN ein internes IP Netz benutzt, das ist das IP Netz was mit "server 172.16.2.0 255.255.255.0" z.B. in der Server Konfig Datei gesetzt wird. Hier muss ein einzigartiges IP Netz verwendet werden was sonst in deinem Umfeld nicht vorkommt.
Genau dieses IP Netz nutzt auch der OVPN Client als Absender IP. Dieses IP Netz wird an deinem vServer ganz genauso wie ein weiteres Interface behandelt. Wenn du nun also über das VPN entweder den Webserver, dein Samba, FTP oder was auch immer ansprichst, dann landest du auf deinem Server über dieses Interface und der routet auch ganz normal diese Dienste über dieses Interface, sprich den VPN Tunnel, an den Client.
Da geht dann nix über das Internet oder die öffentliche IP. Das Interface transportiert nur den VPN Tunnel.
Es ist unverständlich was du da frickelst mit "Dienste binden" usw. das ist eigentlich Unsinn wenn man eine stinknormale OVPN Konfig laufen hat.
Zurück zur Aufganbenstellung.
Gehe doch erstmal strategisch vor…
Du machst erstmal den server dicht und lässt von außen nur noch das VPN rein (bei dir dann Port 443, nutzt du da UDP oder TCP ??) und Port TCP 22 (SSH für den remoten Zugang)
Dann baust du dein VPN mit OpenVPN auf. Wie eine korrekte Installation aussieht kannst du hier nachlesen.
Du siehst ja auch das OVPN ein internes IP Netz benutzt, das ist das IP Netz was mit "server 172.16.2.0 255.255.255.0" z.B. in der Server Konfig Datei gesetzt wird. Hier muss ein einzigartiges IP Netz verwendet werden was sonst in deinem Umfeld nicht vorkommt.
Genau dieses IP Netz nutzt auch der OVPN Client als Absender IP. Dieses IP Netz wird an deinem vServer ganz genauso wie ein weiteres Interface behandelt. Wenn du nun also über das VPN entweder den Webserver, dein Samba, FTP oder was auch immer ansprichst, dann landest du auf deinem Server über dieses Interface und der routet auch ganz normal diese Dienste über dieses Interface, sprich den VPN Tunnel, an den Client.
Da geht dann nix über das Internet oder die öffentliche IP. Das Interface transportiert nur den VPN Tunnel.
Es ist unverständlich was du da frickelst mit "Dienste binden" usw. das ist eigentlich Unsinn wenn man eine stinknormale OVPN Konfig laufen hat.