aubanan
Goto Top

Internen Server von intern über externe IP erreichen

Hallo zusammen,

an einem Standort mit fester DSL IP läuft ein Server (IIS).
Dieser ist von extern erreichbar über https://standort.meine-domain.de
Dazu ist im Router (pfsense) der Port 443 geöffnet und wird auf die lokale IP des IIS geroutet.

Von intern erreiche ich den Server nicht über https://standort.meine-domain.de

DNS im LAN macht ein Windows Server (DC).

Kann jemand hier weiterhelfen, wo es hakt?

Danke und Grüße
Chris

Content-Key: 3031410833

Url: https://administrator.de/contentid/3031410833

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: manuel-r
manuel-r 09.06.2022 um 17:09:27 Uhr
Goto Top
Ganz einfach:
Du legst an deinem DNS eine Zone für "meine-domain.de" an und darin dann einen A-Record für den Host "standort" mit der internen IP.

Manuel
Mitglied: em-pie
Lösung em-pie 09.06.2022 aktualisiert um 17:14:50 Uhr
Goto Top
Moin,

Stichwort: Split DNS

DNS im LAN macht ein Windows Server (DC).
Gute Voraussetzung.
Lege dort eine neue Zone an, welche "standort.meine-domain.de" lautet und lasse sie direkt auf die IP eures IIS zeigen.

Dann greifen die internen Clients (sofern Sie den DC als DNS hinterlegt haben) auf die interne IP zu und die externen kommen über den WAN-Port (und ich hoffe über den ReverseProxy) zum IIS.

@manuel-r
Dann muss es aber eine einen DNS-Record geben, bei dem www.meine-domain.de auf den offiziellen Webauftritt zeigt (sofern vorhanden).

Gruß
em-pie

Edit: Typo
Mitglied: manuel-r
manuel-r 09.06.2022 um 17:13:14 Uhr
Goto Top
Stimmt
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.06.2022 aktualisiert um 17:21:21 Uhr
Goto Top
Moin,

oder einfach einen Router nehmen, der Hairpin-NAT beherrscht. (z.B. eine Fritzbox. *duck und wech*)

lks

PS: Einen IIS mit dem nackten Hinternins Internet zu hängen ist keine gute Idee.
Mitglied: awesomenik
awesomenik 09.06.2022 um 17:21:06 Uhr
Goto Top
Mit Split-DNS kann man das Problem natürlich bequem umgehen. Wenn man das ganze netzwerkseitig angehen möchte, ist NAT Reflection der Begriff, den du suchst.

Wie man das mit einer pfsense einrichtet, steht hier. https://docs.netgate.com/pfsense/en/latest/nat/reflection.html
Mitglied: Aubanan
Aubanan 09.06.2022 um 17:21:30 Uhr
Goto Top
Danke für die schnellen Antworten.
Auf dem IIS ist ein Web-Zertifikat eingebunden. Dieses ist auf standort.meine-domain.de ausgestellt.

Rufe ich von intern standort.meine-domain.de auf und werde per DNS (DC) auf die interne IP des IIS geleitet, bekomme ich dann nicht ein Zertifikats Problem? Dachte, dass ich genau deswegen auch von intern über extern gehen MUSS.

thx
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.06.2022 um 17:22:42 Uhr
Goto Top
Zitat von @Aubanan:

Rufe ich von intern standort.meine-domain.de auf und werde per DNS (DC) auf die interne IP des IIS geleitet, bekomme ich dann nicht ein Zertifikats Problem? Dachte, dass ich genau deswegen auch von intern über extern gehen MUSS.

Solange das Zertifikat auf den Namen und nicht die IP-Adresse ausgestellt ist, ist das kein Problem.

lks
Mitglied: ipzipzap
ipzipzap 09.06.2022 um 23:23:33 Uhr
Goto Top
Hallo,

Zitat von @Aubanan:
Dazu ist im Router (pfsense)...

bei pfsense heißt Hairpin-NAT NAT-Reflection:

https://docs.netgate.com/pfsense/en/latest/nat/reflection.html

cu,
ipzipzap
Mitglied: StefanKittel
StefanKittel 10.06.2022 aktualisiert um 01:08:02 Uhr
Goto Top
Zitat von @Aubanan:
Auf dem IIS ist ein Web-Zertifikat eingebunden. Dieses ist auf standort.meine-domain.de ausgestellt.

Rufe ich von intern standort.meine-domain.de auf und werde per DNS (DC) auf die interne IP des IIS geleitet, bekomme ich dann nicht ein Zertifikats Problem? Dachte, dass ich genau deswegen auch von intern über extern gehen MUSS.
Zertifikate sind nur an den Hostnamen (z.B. xyz.firma.de gebunden). Nicht an die IP-Adresse.
Solange Dein Browser mit xyz.firma.de einen IP des IIS erreicht ist der glücklich.

Split DNS am Beispiel
WAN xyz.firma.de 85.15.25.35 (Port Weiterleitung, DNS mit fester öffentlicher IP-Adresse)
LAN xyz.firma.de 192.168.10.15 (Direkte Verbindung, DNS mit fester LAN IP-Adresse)

Dies wird z.B. ganz häufig für Exchange verwendet damit Handy und Notebooks sich sowohl im LAN, WLAN und WAN verbinden können ohne Änderungen an den Geräten. Solange man dafür kein VPN verwendet.

Stefan
Mitglied: Aubanan
Aubanan 11.06.2022 um 23:06:52 Uhr
Goto Top
Danke für die hilfreichen Hinweise.
Anlegen einer Zone im DNS (standort.meine-domain.de Windows DC) hat zum Ziel geführt.
Mit NAT-Reflection in der pfsense habe ich mich jetzt noch nicht beschäftigt. Vielleicht hat das Vorteile im vergleich zu DNS Zone.