aubanan
09.06.2022
view4102
view10
0
Goto Top

Internen Server von intern über externe IP erreichen

gelöstFrageNetzwerkeRouter, Routing
Hallo zusammen,

an einem Standort mit fester DSL IP läuft ein Server (IIS).
Dieser ist von extern erreichbar über https://standort.meine-domain.de
Dazu ist im Router (pfsense) der Port 443 geöffnet und wird auf die lokale IP des IIS geroutet.

Von intern erreiche ich den Server nicht über https://standort.meine-domain.de

DNS im LAN macht ein Windows Server (DC).

Kann jemand hier weiterhelfen, wo es hakt?

Danke und Grüße
Chris
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 3031410833

Url: https://administrator.de/contentid/3031410833

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
manuel-r
manuel-r 09.06.2022 um 17:09:27 Uhr
Goto Top
Ganz einfach:
Du legst an deinem DNS eine Zone für "meine-domain.de" an und darin dann einen A-Record für den Host "standort" mit der internen IP.

Manuel
heart2
em-pie
Lösung em-pie 09.06.2022 aktualisiert um 17:14:50 Uhr
Goto Top
Moin,

Stichwort: Split DNS

DNS im LAN macht ein Windows Server (DC).
Gute Voraussetzung.
Lege dort eine neue Zone an, welche "standort.meine-domain.de" lautet und lasse sie direkt auf die IP eures IIS zeigen.

Dann greifen die internen Clients (sofern Sie den DC als DNS hinterlegt haben) auf die interne IP zu und die externen kommen über den WAN-Port (und ich hoffe über den ReverseProxy) zum IIS.

@manuel-r
Dann muss es aber eine einen DNS-Record geben, bei dem www.meine-domain.de auf den offiziellen Webauftritt zeigt (sofern vorhanden).

Gruß
em-pie

Edit: Typo
manuel-r
manuel-r 09.06.2022 um 17:13:14 Uhr
Goto Top
Stimmt
Lochkartenstanzer
Lochkartenstanzer 09.06.2022 aktualisiert um 17:21:21 Uhr
Goto Top
Moin,

oder einfach einen Router nehmen, der Hairpin-NAT beherrscht. (z.B. eine Fritzbox. *duck und wech*)

lks

PS: Einen IIS mit dem nackten Hinternins Internet zu hängen ist keine gute Idee.
awesomenik
awesomenik 09.06.2022 um 17:21:06 Uhr
Goto Top
Mit Split-DNS kann man das Problem natürlich bequem umgehen. Wenn man das ganze netzwerkseitig angehen möchte, ist NAT Reflection der Begriff, den du suchst.

Wie man das mit einer pfsense einrichtet, steht hier. https://docs.netgate.com/pfsense/en/latest/nat/reflection.html
Aubanan
Aubanan 09.06.2022 um 17:21:30 Uhr
Goto Top
Danke für die schnellen Antworten.
Auf dem IIS ist ein Web-Zertifikat eingebunden. Dieses ist auf standort.meine-domain.de ausgestellt.

Rufe ich von intern standort.meine-domain.de auf und werde per DNS (DC) auf die interne IP des IIS geleitet, bekomme ich dann nicht ein Zertifikats Problem? Dachte, dass ich genau deswegen auch von intern über extern gehen MUSS.

thx
Lochkartenstanzer
Lochkartenstanzer 09.06.2022 um 17:22:42 Uhr
Goto Top
Zitat von @Aubanan:

Rufe ich von intern standort.meine-domain.de auf und werde per DNS (DC) auf die interne IP des IIS geleitet, bekomme ich dann nicht ein Zertifikats Problem? Dachte, dass ich genau deswegen auch von intern über extern gehen MUSS.

Solange das Zertifikat auf den Namen und nicht die IP-Adresse ausgestellt ist, ist das kein Problem.

lks
ipzipzap
ipzipzap 09.06.2022 um 23:23:33 Uhr
Goto Top
Hallo,

Zitat von @Aubanan:
Dazu ist im Router (pfsense)...

bei pfsense heißt Hairpin-NAT NAT-Reflection:

https://docs.netgate.com/pfsense/en/latest/nat/reflection.html

cu,
ipzipzap
StefanKittel
StefanKittel 10.06.2022 aktualisiert um 01:08:02 Uhr
Goto Top
Zitat von @Aubanan:
Auf dem IIS ist ein Web-Zertifikat eingebunden. Dieses ist auf standort.meine-domain.de ausgestellt.

Rufe ich von intern standort.meine-domain.de auf und werde per DNS (DC) auf die interne IP des IIS geleitet, bekomme ich dann nicht ein Zertifikats Problem? Dachte, dass ich genau deswegen auch von intern über extern gehen MUSS.
Zertifikate sind nur an den Hostnamen (z.B. xyz.firma.de gebunden). Nicht an die IP-Adresse.
Solange Dein Browser mit xyz.firma.de einen IP des IIS erreicht ist der glücklich.

Split DNS am Beispiel
WAN xyz.firma.de 85.15.25.35 (Port Weiterleitung, DNS mit fester öffentlicher IP-Adresse)
LAN xyz.firma.de 192.168.10.15 (Direkte Verbindung, DNS mit fester LAN IP-Adresse)

Dies wird z.B. ganz häufig für Exchange verwendet damit Handy und Notebooks sich sowohl im LAN, WLAN und WAN verbinden können ohne Änderungen an den Geräten. Solange man dafür kein VPN verwendet.

Stefan
Aubanan
Aubanan 11.06.2022 um 23:06:52 Uhr
Goto Top
Danke für die hilfreichen Hinweise.
Anlegen einer Zone im DNS (standort.meine-domain.de Windows DC) hat zum Ziel geführt.
Mit NAT-Reflection in der pfsense habe ich mich jetzt noch nicht beschäftigt. Vielleicht hat das Vorteile im vergleich zu DNS Zone.
gelöstFrageNetzwerkeRouter, Routing
Mehr von AubananAubananExchange OWA als MailTo Protokoll handler in FirefoxAubananAubananUserabfrage in CMD script beantwortenAubanan - 5 KommentareAubananBitlocker per cmd entsperrenAubanan - 2 KommentareAubananCMD script findet USB Laufwerk nichtAubanan - 6 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 Kommentare