joezwei
Goto Top

Kein Zugriff auf einem Server von außen

Hallo zusammen,
Ich habe auf einem Server 2008 einen Remote Web Access installiert.
Nun ist es leider so, dass ich über einen externen Browser nicht auf dem Server zugreifen kann. Im lokalen Netz ist es möglich. Der Router hat eine statische IP. Firewall ist für den Port frei. DNS funktioniert per NSLOOKUP.
Bin dankbar für jeden Hinweis.

Content-ID: 181301

Url: https://administrator.de/forum/kein-zugriff-auf-einem-server-von-aussen-181301.html

Ausgedruckt am: 26.12.2024 um 04:12 Uhr

Ravers
Ravers 01.03.2012 um 13:52:04 Uhr
Goto Top
Hi,

und der Port wird auch richtig geforwardet auf den Server?
Denke hier liegt das Problem. Kann man in der Firewall in den Logs irgendwas sehen?
Wie ist den die Fehlermeldung?

Ansonsteen ist deine Beschreibung - na sagen wir mal, recht bescheiden face-wink

greetz
ravers
Joezwei
Joezwei 01.03.2012 um 14:04:52 Uhr
Goto Top
Hallo,
viele Dank für deine Antwort. Ich muss gestehen ich bin in der Hinsicht jetzt nicht so erfahren. Die Logs habe ich noch nicht durch geschaut. Die Fehlermeldung ist die, das der Server zulange zum Antworten braucht.
Ich habe die Remoterollen mehr standardmäßig eingerichtet.
Gruß
Andreas
potshock
potshock 01.03.2012 um 14:57:38 Uhr
Goto Top
Hi Joezwei,

du versuchst es auch wirklich von aussen?
Oder versuchst du von intern über die öffentlich Ip zuzugreifen.

Dies können viele Consumer Router nicht! Lass es mal einen wirklich von extern testen.

Potshock
Creamer
Creamer 01.03.2012 um 16:17:34 Uhr
Goto Top
Hallo!

Hört sich erst mal nach einer fehlenden Route an, so ohne weitere informationen.

Dein Server steht ja vermutlich im LAN oder DMZ. Der Firewall muss man nun noch sagen, dass es eine IP außerhalb des LANs gibt, und dort müsste Port 443 (HTTPS) von der externen IP auf die interne LAN/DMZ-IP geroutet/geforwarded werden.
Die Fiewall leitet danach alles, was Port 443 ist, von der ext. IP auf die interne IP um und umgekehrt. Das erst mal grob. Je nach Konfiguration der Firewall/Router muss man noch mehr machen, aber das wäre das ungefähre Prinzip.

Man könnte auch sagen, der Exchange steht mit einem Füßchen in der DMZ bzw. Internet, sonst kommt man von außen eben nicht an ihn dran.


Beispiel:

interne IP. 192.168.100.100
externe IP: 82.182.33.100 (ausgedacht)

Firewall:
Route setzen 192.168.100.100 - 82.182.33.100
HTTPS erlaubt (Port 443)
ICMP erlaubt (Ping, nur während des Testens von außen, da Ping recht schnell aussagt, ob's geht oder nicht; wenn's läuft,. wieder ICMP entfernen)

Aus dem Internet greift jemand per Browser und https auf die 82.usw zu; die Firewall leitet jetzt NUR die HTTPS-Anfragen weiter an die 192.usw. und umgekehrt.

Natürlich muss am Exchange in der Management Console auch noch so einiges konfiguriert werden, z.B. Zertifikat oder ähnliche Sicherheitsgeschichten.


Hoffe, das hilft im Ansatz!

Gruß,
Creamer
Joezwei
Joezwei 01.03.2012 um 17:22:07 Uhr
Goto Top
Hallo,
ja ich habe es direkt von außen versucht...leider ohne Erfolg
Gruß
Joe
Joezwei
Joezwei 01.03.2012 um 17:22:58 Uhr
Goto Top
Hallo Creamer,
danke für deine Antwort....ich werde mal versuchen es umzusetzen.
Gruß
Joe
Pjordorf
Pjordorf 01.03.2012, aktualisiert am 18.10.2012 um 18:50:11 Uhr
Goto Top
Hallo,

Zitat von @Creamer:
der Exchange steht mit einem Füßchen
Natürlich muss am Exchange
Ähm. Wo hast du etwas von Exchange beim TO gelesen?

@ Joezwei:
Ich finde da nur
einem Server 2008 einen Remote Web Access installiert
und bin noch nicht mal sicher was genau du damit meinst. OMA, OWA, RWW ist es nicht. Und Remote Web App könnte es sein. Hmmmm.

Gruß,
Peter

[Nachtrag]
Vielleicht beziehst du dich auf dein Wie richte ich einen Remote auf einem Server 2008 ein oder?
[/Nachtrag]
Joezwei
Joezwei 01.03.2012 um 17:48:26 Uhr
Goto Top
Hallo Peter,
stimmt...es gibt keinen Exchange sonder nur einen Remote auf den Server...wie gesagt die Rollen alle standardmäßig installiert.
Also ein Remote Web App.
Gruß
Joe
Pjordorf
Pjordorf 01.03.2012 um 18:06:38 Uhr
Goto Top
Hallo,

Zitat von @Joezwei:
Also ein Remote Web App.
Und jetzt brauchst du dein TS Wweb App, oder? Hast du auch den IIS7 am laufen? Du willst doch per Webseite auf die Apps zugreifen können, oder? Oder willst du direkt per RDP auf die Apps auf deinem TS aus dem Internet ohne Sicherheit (VPN) zugreifen? Oder willst du über VPN .... Man, wir raten nicht gerne rum. Du hast dir aber bestimmt folgende Seiten schon angesehen, oder? http://technet.microsoft.com/en-us/library/cc771908(v=ws.10).aspx oder http://technet.microsoft.com/en-us/library/cc753844(v=ws.10).aspx http://technet.microsoft.com/en-us/library/cc731264(v=ws.10).aspx

Gruß,
Peter
Joezwei
Joezwei 01.03.2012 um 19:06:25 Uhr
Goto Top
Hallo Peter

Oder willst du direkt per RDP auf die Apps auf deinem TS aus dem Internet

genau das hatte ich vor.
den IIS7 habve ich auch drauf. Wie schon erwähnt habe ich nicht so viel Erfahrung damit und bin deshalb für jede Hilfe dankbar.
Gruß
Joe
Joezwei
Joezwei 01.03.2012 um 19:34:56 Uhr
Goto Top
Es ist ja auch so wenn ich den Server lokal über einen Browser anspreche erscheint auch die Remot Standard Anmeldeseite...leider halt nicht von Ausserhalb.
Vielleicht habe ich aber auch bei der Installation etwas vergessen. Wie gesagt alles standardmäßig durch installiert. Remotsitzungshost, Remotegateway, Remote App-Manager, Webserver IIS
Also ich habe die Sachen schon alle nach Seiten wie Technet microsoft und der Gleichen installiert aber da mir dafür die Erfahrung fehlt bin ich mir sicher, dass es nur eine Kleinigkeit ist.
Wäre schön wennman mir helfen könnte, danke
Pjordorf
Pjordorf 01.03.2012 um 20:28:44 Uhr
Goto Top
Hallo,

Zitat von @Joezwei:
Oder willst du direkt per RDP auf die Apps auf deinem TS aus dem Internet
genau das hatte ich vor.
Das glaube ich nicht das du per RDP direkt auf deinen Ts willst. Das wäre dann das RDP Protokoll (TCP Port 3389) ungeschützt und ungesichert durch das Internet mittels deines routers uaf deine TS weiterzuleiten und zu nutzen. Da ist ruckzug dein TS nicht mehr dein TS.

den IIS7 habve ich auch drauf.
Dann kannst du ja das Remote WEB App nutzen was dann über HTTPS (TCP Port 443) und Zertifikat läuft. Dazu den Port auf deinem router an den IIS leiten.

Du solltest dir nur vorher klar werden welcher Zugriff welche risiken hat und dich dann für ein Verfahren entscheiden. Das, und nur das dann auch an deinen Router entsprechend einstellen. Jeder geöffnete Port und weiterleitung erhöht das Risiko. Nur ein nicht verbundenes Internet ist ein sicheres Internetface-smile

Gruß,
Peter
Pjordorf
Pjordorf 01.03.2012 um 20:37:01 Uhr
Goto Top
Hallo,

Zitat von @Joezwei:
Es ist ja auch so wenn ich den Server lokal über einen Browser anspreche erscheint auch die Remot Standard Anmeldeseite...leider halt nicht von Ausserhalb.
Weil von Ausserhalb deines Netzes (LAN) der Weg zu deinem TS noch ein paar andere Geräte (Router / Gateway) und Applikationen (Firewall / NAT etc.) durchlaufen muss?

Remotsitzungshost, Remotegateway, Remote App-Manager, Webserver IIS
Und was ist mit deinen Router? TCP Port 443 ist dein Kandidat.

wie Technet microsoft und der Gleichen installiert
Du hast dir das ganze Technet auf deinen Server Installiert?face-smile

Wäre schön wennman mir helfen könnte, danke
Ich habe dir einiges an Links schon genannt. http://technet.microsoft.com/en-us/library/cc731264(v=ws.10).aspx und daraus dann der Link zu http://technet.microsoft.com/en-us/library/cc771530.aspx

Gruß,
Peter
Joezwei
Joezwei 01.03.2012 um 21:10:11 Uhr
Goto Top
Hallo zusammen,
das waren schon mal ein paar gute Tipps...danke schön. Also ich hatte wirklich vor Das Remote App zu nutzen. Also muss ich den Port 443 am Router freigeben?
Vielen Dank für eure Hilfe und sorry wenn ich mich ziemlich umständlich ausdrücke face-smile
Pjordorf
Pjordorf 01.03.2012 um 21:20:14 Uhr
Goto Top
Hallo,

Zitat von @Joezwei:
den Port 443 am Router freigeben?
Naja. Freigeben eines Ports in einem Router wird schlichtweg irgendwie nicht gehen. Du kannst aber Ports in einem Router weiterleiten (Forwarden) oder auch sperren. Aber Freigeben?face-smile

Im deinem Router für deine externe Schnittstelle (WAN Schnittstelle mit einer vom ISP zugewiesenen IP (hier eine Feste IP wäre angebracht)) den TCP (es gibt auch noch UDP) Port 443 (https) eingehend an die IP (Internes LAN Netz) deines IIS weiterleiten. Das kann nur genau 1 mal eingerichtet werden. Mehr ist nicht zu tun. Andere Ports sind hier nicht nötig.

Gruß,
Peter
Joezwei
Joezwei 02.03.2012 um 13:50:36 Uhr
Goto Top
Hallo zusammen,
vielen Dank für eure freundliche Unterstützung.
Ich musste in meinem Router den Port 443 freigeben und siehe da...es funktionierte. face-smile
Danke schön und ein schönes Wochenende.
Gruß
Joe
Pjordorf
Pjordorf 02.03.2012 um 16:15:17 Uhr
Goto Top
Hallo,

Zitat von @Joezwei:
Ich musste in meinem Router den Port 443 freigeben und siehe da...es funktionierte. face-smile
Na sieshte. Die ganze Aufregung umsonst. Ein paar gezielte Fragen und schon klappts. Schön das es jetzt klappt.


Gruß,
Peter
Joezwei
Joezwei 02.03.2012 um 17:56:12 Uhr
Goto Top
Ja stimmt... danke dir face-smile
Gruß
Joe