Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Externen Vserver nur per VPN erreichbar machen ? Mehrere interne Dienste auf dem Server..

Mitglied: chr2002

chr2002 (Level 1) - Jetzt verbinden

23.11.2013 um 23:44 Uhr, 3149 Aufrufe, 5 Kommentare

Hallo,

ich habe einen vserver im Internet. Er hat logischerweise eine eigene von aussen erreichbare IP und es läuft Debian Wheezy darauf.
Habe Openvpn bereits ohne weitere Probleme eingerichtet und kann auch meinen gesamten Internet Traffic über den Vserver leiten.
Zuhause ist dass vollkommen sinnlos, aber an Hotspots ist es recht brauchbar, und im Urlaub kann so eine deutsche IP zu manch Fußballereignissen auch sehr praktisch sein

Also das VPN geht.

Jetzt würde ich gerne einen FTP Dienst und ein paar weitere auf dem Server laufen lassen, die aber nur durch das VPN erreichbar sein sollen.
Wie man das zuhause macht ist total einfach. Da haben wir ja nen Router, ein Gateway das NAT usw. Aber wie muss man da auf einem Server vorgehen, der ja gar kein internes Netzwerk hat ?

Muss ich die Dienste, die nicht direkt erreichbar sein sollen auf ein virtuelles Interfache binden (eth0:1 - 192.168.xxx.xxx) ?
Muss ich dann mit hilfe von IP_Tables die zugriffe von der offentlichen IP aus unterbinden.
Hat evtl. jemand eine Beispielkonfiguration für IP_Tables, damit ich mich nicht aus dem SSH sofort aussperre, wenn ich die Firewall aktiviere ?

Ich hoffe, ich bekomme jetzt nicht gleich den google Hammer auf den Kopf.....Ich kenne mich mit Netzwerk und Lan im Großen und ganzen gut aus, aber mit einem Server mit öffentlicher IP hatte ich noch nicht viel zu tun.

Grüße

Chris
Mitglied: aqui
24.11.2013 um 14:34 Uhr
Auf ein Subinterface mit einer RFC 1918 IP Adresse zu gehen macht logischerweise keinen Sinn, denn dann fährst du ja 2 IP Adressen auf einem Draht. Abgesehen davon bleibt ja die öffentliche IP Adresse immer bestehen auf dem vServer so das der immer so auch weltweit erreichbar bleibt.
Theoretisch könnte man eine Firewall in einer VM davor installieren was aber technisch nicht möglich ist, da du auf den Host der deinen vServer hostet logischerweise keinen Einfluss hast und die internen virtuellen Adapter so auch nicht verändern kannst.
Fazit: Das ist eine Sackgasse…
Was übrig bleibt sind dann die guten iptables, sprich also die Firewall des vServers. Du musst also deinen Server wasserdicht verrammeln das nur noch UDP 1194 Pakete auf die öffentliche IP durchkommen dürfen.
Damit schliesst du dann alles andere komplett aus und lässt nur noch den OVPN Tunnel durch. Das wäre dann wasserdicht und kein anderer könnte den Server von extern erreichen. Einzig über die OVPN Verbindung hättest du Zugang.
Das Risiko ist aber das du damit vom Gedeih und Verderb der OVPN Verbindung abhängig bist. Auch was das Management des Servers anbetrifft.
Es macht also duchaus Sinn doch zusätzlich zu UDP 1194 auch TCP 22 freizulassen, damit du immer noch einen SSH Zugang hast für alle Fälle. Den kannst du ja mit einem Zertifikat so absichern das da keiner Blödsinn machen kann.
Damit hättest du dann dein Vorhaben umgesetzt.
Bitte warten ..
Mitglied: chr2002
24.11.2013 um 16:22 Uhr
So in etwa dachte ich auch, dass ich es machen muss. Mit den iptables. Meine VPNs laufen alle auf TCP 443, weil man da nicht so schnell einer Portsperre erliegt, wenn man z.B. im Cafe oder sonstigen Hotspots mal ein sicheres Gateway braucht.

Irgendwann soll auf dem Server mal ein WWW Server durch die iptables Firewall rauskucken dürfen, aber nur auf port 80.

Nur weiß ich noch nicht, wohin ich die Dienste binden muss. Wenn ich meinen Samba Server auf die öffentliche IP binde, dann geht die Anfrage nicht durch den Tunnel und scheitert an der Firewall vom Server. Wenn ich die Dienste an 127.0.0.1 binde, kommt kein Routing durch den Tunnel zustande. Also muss ich irgendwie eine z.B. 192.168.xxx.xxx haben, um daran die Dienste zu binden und ein Routing durch den Tunnel zu bekommen.

TCP 22 werde ich auf alle Fälle zusätzlich offen lassen. Einen SSH Zugang möchte ich zur Sicherheit noch haben.
Bitte warten ..
Mitglied: chr2002
27.11.2013 um 20:29 Uhr
Kann mir keiner Weiterhelfen, wie ich das mit den internen IPs anstellen muss ?
Bitte warten ..
Mitglied: aqui
28.11.2013 um 09:39 Uhr
Einen SMB/CIFS Dienst ins Internet stellen (Samba) ist nicht dein Ernst, oder ?? Sowas machen nichtmal blutige Anfänger aber nundenn.
Zurück zur Aufganbenstellung.
Gehe doch erstmal strategisch vor…
Du machst erstmal den server dicht und lässt von außen nur noch das VPN rein (bei dir dann Port 443, nutzt du da UDP oder TCP ??) und Port TCP 22 (SSH für den remoten Zugang)
Dann baust du dein VPN mit OpenVPN auf. Wie eine korrekte Installation aussieht kannst du hier nachlesen.
Du siehst ja auch das OVPN ein internes IP Netz benutzt, das ist das IP Netz was mit "server 172.16.2.0 255.255.255.0" z.B. in der Server Konfig Datei gesetzt wird. Hier muss ein einzigartiges IP Netz verwendet werden was sonst in deinem Umfeld nicht vorkommt.

Genau dieses IP Netz nutzt auch der OVPN Client als Absender IP. Dieses IP Netz wird an deinem vServer ganz genauso wie ein weiteres Interface behandelt. Wenn du nun also über das VPN entweder den Webserver, dein Samba, FTP oder was auch immer ansprichst, dann landest du auf deinem Server über dieses Interface und der routet auch ganz normal diese Dienste über dieses Interface, sprich den VPN Tunnel, an den Client.
Da geht dann nix über das Internet oder die öffentliche IP. Das Interface transportiert nur den VPN Tunnel.
Es ist unverständlich was du da frickelst mit "Dienste binden" usw. das ist eigentlich Unsinn wenn man eine stinknormale OVPN Konfig laufen hat.
Bitte warten ..
Mitglied: chr2002
30.11.2013 um 12:51 Uhr
Vielen Dank für Deine Tips !

Damit komme ich auf alle Fälle weiter, habe das OVPN Netz ganz ausser Acht gelassen, weil ich sonst immer TAP Brücken verwende. Beim Vserver habe ich aber schon eine Tun Verbindung am Laufen und ein 10.8.x.x Netz zur Verfügung.

Aber ich möchte auch sagen, dass ich nicht blöd bin und auch kein blutiger Anfänger Ich schreibe doch die ganze Zeit von VPN und Server Dicht machen, da ist es ja vollkommen egal, welche Dienste ich hinter der Firewall verstecke. Sei es Samba, Pyload, FTP oder was auch immer. Es ist HINTER dem VPN und eh nicht von aussen erreichbar.
Dass man keinen Samba Server ins Internet stellt, ist wohl so gut wie jedem klar.

Ich werde mich jetzt mal mit den IPtables befassen und hoffen, dass ich mich nicht aussperre. Wäre auch kein Weltuntergang, weil ich ja noch über das Webbasierte Management Interface rankomme und da eine lokale Konsole zur Verfügung steht
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk

Mikrotik + Webserver + NAT + intern erreichbar (WANIP) - extern nicht?!

gelöst Frage von nepixlWindows Netzwerk4 Kommentare

Hallo zusammen, Achtung: dieser Thread könnte Potential für einen Freitagsthread mitsich bringen! (Sehe ich den Wald vor lauter Bäumen ...

Exchange Server

Exchange 2013 OWA nur intern aber nicht extern erreichbar

gelöst Frage von ukulele-7Exchange Server4 Kommentare

Hallo, habe hier zwei Exchange Server: Produktiv Exchange 2003: Interne OWA Adresse: - geht Externe OWA Adresse: - geht ...

Hosting & Housing

Firmenwebsite von intern nicht erreichbar

gelöst Frage von crack24Hosting & Housing10 Kommentare

Hallo, die Website unserer Firma ist seit ein paar Tagen aus unserem internen Netz nicht mehr erreichbar. Immer Timeout. ...

Windows Netzwerk

RDP kein Zugriff (intern und extern)

gelöst Frage von andi74151Windows Netzwerk6 Kommentare

Seit kurzen kann ich mich nicht mehr auf eine virtuelle Maschine windows 7 per RDP zugreifen. Es kommt immer ...

Neue Wissensbeiträge
Sicherheits-Tools
Putty hat heftige Bugs korrigiert!
Information von Lochkartenstanzer vor 7 StundenSicherheits-Tools5 Kommentare

Moin, Wie man aus herauslesen kann, sind in den Versionen vor 0.71 gravierende Bugs, die es angeraten erscheinen lassen, ...

Off Topic
Sachen die die Welt nicht braucht - Platz 1
Tipp von brammer vor 3 TagenOff Topic14 Kommentare

Hallo, ich habs als Tipp angelegt als Erfahrungsbericht nein Danke brammer

Humor (lol)
Spirit of Health-Kongress in Berlin
Information von AnkhMorpork vor 3 TagenHumor (lol)3 Kommentare

tgif! Beim dritten Spirit of Health-Kongress trafen sich am Wochenende Alternativmediziner und Naturheilkundler im Maritim Hotel Berlin, um sich ...

Windows 7

Updates zum Nachrüsten des SHA-2-Support für Windows 7 SP1, Windows Server 2008 (R2) und WSUS 3.0 SP2 sind da

Information von kgborn vor 5 TagenWindows 7

Wie bereits früher angekündigt (Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019) hat Microsoft die ...

Heiß diskutierte Inhalte
ISDN & Analoganschlüsse
Für was ist der Kasten direkt neben dem EVz59 zuständig?
Frage von Windows10GegnerISDN & Analoganschlüsse17 Kommentare

Hallo, im Schwarzwald habe ich folgendes Foto gemacht: Der Rechte Kasten ist der APL. So was ähnliches wie den ...

Cloud-Dienste
Remotedesktopverbindungen beeinflussen sich gegenseitig
gelöst Frage von Samy89Cloud-Dienste15 Kommentare

Moin, ich habe mehrere RDPs gleichzeitig laufen, auf denen jeweils ein Script via Powershell läuft. In diesem Prozess benutzt ...

Netzwerkgrundlagen
Reicht 10GBit Uplink Port für Stacking für ein 10GBit Switch?
gelöst Frage von walnickNetzwerkgrundlagen12 Kommentare

Hallo, Ich habe eine frage. Ich überlege gerade 2 neue Switche von CiscoSG350XG-24F  zu kaufen und die als Core ...

DNS
Größere DNS Probleme nach zweitem DC. Eigentlich sollte es auch dadurch besser werden
Frage von TeWutzDNS12 Kommentare

Hallo zusammen, nachdem ich letzte Woche erfolgreich einen zweiten DC ) an den Start gebracht habe melden sich weiterhin ...