5
Fritzbox 7590: Wie NAS u. darauf virtualisierten Webserver absichern?
Servus Leute,
in einer Wohnung ist eine Fritzbox 7590 installiert, dahinter ein ganz normales Heimnetzwerk und eine daran angeschlossenes NAS (von Synology mit zwei Lan-Ports).
Auf der NAS läuft virtualisiert ein kleiner Webserver, der öffentlich erreichbar sein soll.
Der erste Gedanke war, den zweiten Lan-Port des NAS an Lan-4 der Fritzbox anzuschließen. Dann darüber den Gastzugang laufen zu lassen, um die NAS (nur den virtualisierten Teil) vom restlichen Heimnetzwerk zu trennen. Darüber lässt sich aber nach Recherche keine Portweiterleitungen einrichten (443). Also fällt diese Möglichkeit leider raus.
Was wäre die einfachste Möglichkeit, wenn die Fritzbox an Ort und Stelle bleiben soll, um den virtualisierten Webserver von außen erreichbar zu machen? Ein weiterer Router soll eigentlich nicht angeschafft werden, es wäre ein Switch vorhanden, der auch VLAN beherrscht (allerdings natürlich die FB nicht). Eine kleine Firewall? Aber dann gäbe es ein doppeltes NAT?
Es müsste sich um einen halbwegs vertretbaren Kompromiss für ein ausschließlich privat genutztes Netzwerk handeln. VPN nutze ich für andere Zwecke.
Ich habe schon viel recherchiert, aber würde gerne euren Rat einholen.
in einer Wohnung ist eine Fritzbox 7590 installiert, dahinter ein ganz normales Heimnetzwerk und eine daran angeschlossenes NAS (von Synology mit zwei Lan-Ports).
Auf der NAS läuft virtualisiert ein kleiner Webserver, der öffentlich erreichbar sein soll.
Der erste Gedanke war, den zweiten Lan-Port des NAS an Lan-4 der Fritzbox anzuschließen. Dann darüber den Gastzugang laufen zu lassen, um die NAS (nur den virtualisierten Teil) vom restlichen Heimnetzwerk zu trennen. Darüber lässt sich aber nach Recherche keine Portweiterleitungen einrichten (443). Also fällt diese Möglichkeit leider raus.
Was wäre die einfachste Möglichkeit, wenn die Fritzbox an Ort und Stelle bleiben soll, um den virtualisierten Webserver von außen erreichbar zu machen? Ein weiterer Router soll eigentlich nicht angeschafft werden, es wäre ein Switch vorhanden, der auch VLAN beherrscht (allerdings natürlich die FB nicht). Eine kleine Firewall? Aber dann gäbe es ein doppeltes NAT?
Es müsste sich um einen halbwegs vertretbaren Kompromiss für ein ausschließlich privat genutztes Netzwerk handeln. VPN nutze ich für andere Zwecke.
Ich habe schon viel recherchiert, aber würde gerne euren Rat einholen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1432813014
Url: https://administrator.de/contentid/1432813014
Printed on: June 28, 2024 at 21:06 o'clock
5 Comments
Latest comment
Der erste Gedanke war, den zweiten Lan-Port des NAS an Lan-4 der Fritzbox anzuschließen. Dann darüber den Gastzugang laufen zu lassen, um die NAS (nur den virtualisierten Teil) vom restlichen Heimnetzwerk zu trennen
... das wäre auch mein Gedankengang gewesen.
Wenn das nicht klappt, kann ich mir keine andere Lösung vorstellen als nen 08/15 Mikrotik dazwischen. Da könntest Du ggfs. auch das NAT deaktivieren. Und zur Not kannste den Kram auch von Fritze über Mikrotik ans NAS "durchreichen". Habe ich für nen VPN-Server auch schon gemacht.
VG
VPN nutze ich für andere Zwecke
Perfekt, das macht die VPN Verbindung nebenbei spielerisch mit.
Zitat von @NordicMike:
VPN nutze ich für andere Zwecke
Perfekt, das macht die VPN Verbindung nebenbei spielerisch mit.lt. TO > ".... Auf der NAS läuft virtualisiert ein kleiner Webserver, der öffentlich erreichbar sein soll." ist dies die Anforderung
mfg
kowa
1
Der TO hat die Frage doch schon selber beantwortet. Die Anforderung ist ja klar formuliert:
"... ein kleiner Webserver, der öffentlich erreichbar sein soll."
Fakt ist:
Es bleibt also unter den o.a. Voraussetzungen dann nur ein Loch in die FritzBox Firewall zu bohren und den Port TCP 443 Internet Traffic per Port Forwarding ins Netz des NAS Servers bzw. auf diesen zu bringen.
Ob das gut und sinnvoll ist mit einem Gerät das ggf. noch mehr sensible Daten speichert bleibt mal außen vor und muss der TO sich selber beantworten.
Mehr ist mit der einfachen FritzBox Hardware und deren mangelndes Featureset nicht drin.
Case closed...
"... ein kleiner Webserver, der öffentlich erreichbar sein soll."
Fakt ist:
- Port Forwarding ins Gastnetz Segment ist nicht supportet
- Weitere Segmentierung supportet die FritzBox auch nicht
- Weiterer Router o. Firewall nicht gewünscht
- VPN ist keine öffentliche Erreichbarkeit
Es bleibt also unter den o.a. Voraussetzungen dann nur ein Loch in die FritzBox Firewall zu bohren und den Port TCP 443 Internet Traffic per Port Forwarding ins Netz des NAS Servers bzw. auf diesen zu bringen.
Ob das gut und sinnvoll ist mit einem Gerät das ggf. noch mehr sensible Daten speichert bleibt mal außen vor und muss der TO sich selber beantworten.
Mehr ist mit der einfachen FritzBox Hardware und deren mangelndes Featureset nicht drin.
Case closed...
Es bleibt also unter den o.a. Voraussetzungen dann nur ein Loch in die FritzBox Firewall zu bohren und den Port TCP 443 Internet Traffic per Port Forwarding ins Netz des NAS Servers bzw. auf diesen zu bringen.
Ob das gut und sinnvoll ist mit einem Gerät das ggf. noch mehr sensible Daten speichert bleibt mal außen vor und muss der TO sich selber beantworten.
Mehr ist mit der einfachen FritzBox Hardware und deren mangelndes Featureset nicht drin.
Case closed...
Ob das gut und sinnvoll ist mit einem Gerät das ggf. noch mehr sensible Daten speichert bleibt mal außen vor und muss der TO sich selber beantworten.
Mehr ist mit der einfachen FritzBox Hardware und deren mangelndes Featureset nicht drin.
Case closed...
Richtig zusammengefasst. Allerdings ginge das Port Forwarding an die virtualisierte VM mit eigener Netzwerkschnittstelle bzw. Adressbereich. Da ist nichts sensibles drauf. Klar, hat die VM lücken bzw. Synology untätig, käme man natürlich auf die NAS selbst.
Würde es was bringen an die Fritzbox z. B. wie einer schon geschrieben hat einen kleinen Mikrotik Router dranzuhängen oder gar einen UniFi Security Gateway? Letzteres ist wohl nicht ganz so kompliziert. Daran dann den virtualisierten Webserver und entsprechend Portforwarding und wahrscheinlich doppelt NAT. Das Heimnetzwerk liefe über die Fritzbox.
Modem statt Fritzbox und ordentlicher Router ist keine Option.
Danke euch!
