Kein Zugriff auf einem Server von außen
Hallo zusammen,
Ich habe auf einem Server 2008 einen Remote Web Access installiert.
Nun ist es leider so, dass ich über einen externen Browser nicht auf dem Server zugreifen kann. Im lokalen Netz ist es möglich. Der Router hat eine statische IP. Firewall ist für den Port frei. DNS funktioniert per NSLOOKUP.
Bin dankbar für jeden Hinweis.
Ich habe auf einem Server 2008 einen Remote Web Access installiert.
Nun ist es leider so, dass ich über einen externen Browser nicht auf dem Server zugreifen kann. Im lokalen Netz ist es möglich. Der Router hat eine statische IP. Firewall ist für den Port frei. DNS funktioniert per NSLOOKUP.
Bin dankbar für jeden Hinweis.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181301
Url: https://administrator.de/forum/kein-zugriff-auf-einem-server-von-aussen-181301.html
Ausgedruckt am: 26.12.2024 um 04:12 Uhr
18 Kommentare
Neuester Kommentar
Hallo!
Hört sich erst mal nach einer fehlenden Route an, so ohne weitere informationen.
Dein Server steht ja vermutlich im LAN oder DMZ. Der Firewall muss man nun noch sagen, dass es eine IP außerhalb des LANs gibt, und dort müsste Port 443 (HTTPS) von der externen IP auf die interne LAN/DMZ-IP geroutet/geforwarded werden.
Die Fiewall leitet danach alles, was Port 443 ist, von der ext. IP auf die interne IP um und umgekehrt. Das erst mal grob. Je nach Konfiguration der Firewall/Router muss man noch mehr machen, aber das wäre das ungefähre Prinzip.
Man könnte auch sagen, der Exchange steht mit einem Füßchen in der DMZ bzw. Internet, sonst kommt man von außen eben nicht an ihn dran.
Beispiel:
interne IP. 192.168.100.100
externe IP: 82.182.33.100 (ausgedacht)
Firewall:
Route setzen 192.168.100.100 - 82.182.33.100
HTTPS erlaubt (Port 443)
ICMP erlaubt (Ping, nur während des Testens von außen, da Ping recht schnell aussagt, ob's geht oder nicht; wenn's läuft,. wieder ICMP entfernen)
Aus dem Internet greift jemand per Browser und https auf die 82.usw zu; die Firewall leitet jetzt NUR die HTTPS-Anfragen weiter an die 192.usw. und umgekehrt.
Natürlich muss am Exchange in der Management Console auch noch so einiges konfiguriert werden, z.B. Zertifikat oder ähnliche Sicherheitsgeschichten.
Hoffe, das hilft im Ansatz!
Gruß,
Creamer
Hört sich erst mal nach einer fehlenden Route an, so ohne weitere informationen.
Dein Server steht ja vermutlich im LAN oder DMZ. Der Firewall muss man nun noch sagen, dass es eine IP außerhalb des LANs gibt, und dort müsste Port 443 (HTTPS) von der externen IP auf die interne LAN/DMZ-IP geroutet/geforwarded werden.
Die Fiewall leitet danach alles, was Port 443 ist, von der ext. IP auf die interne IP um und umgekehrt. Das erst mal grob. Je nach Konfiguration der Firewall/Router muss man noch mehr machen, aber das wäre das ungefähre Prinzip.
Man könnte auch sagen, der Exchange steht mit einem Füßchen in der DMZ bzw. Internet, sonst kommt man von außen eben nicht an ihn dran.
Beispiel:
interne IP. 192.168.100.100
externe IP: 82.182.33.100 (ausgedacht)
Firewall:
Route setzen 192.168.100.100 - 82.182.33.100
HTTPS erlaubt (Port 443)
ICMP erlaubt (Ping, nur während des Testens von außen, da Ping recht schnell aussagt, ob's geht oder nicht; wenn's läuft,. wieder ICMP entfernen)
Aus dem Internet greift jemand per Browser und https auf die 82.usw zu; die Firewall leitet jetzt NUR die HTTPS-Anfragen weiter an die 192.usw. und umgekehrt.
Natürlich muss am Exchange in der Management Console auch noch so einiges konfiguriert werden, z.B. Zertifikat oder ähnliche Sicherheitsgeschichten.
Hoffe, das hilft im Ansatz!
Gruß,
Creamer
Hallo,
Ähm. Wo hast du etwas von Exchange beim TO gelesen?
@ Joezwei:
Ich finde da nur
und bin noch nicht mal sicher was genau du damit meinst. OMA, OWA, RWW ist es nicht. Und Remote Web App könnte es sein. Hmmmm.
Gruß,
Peter
[Nachtrag]
Vielleicht beziehst du dich auf dein Wie richte ich einen Remote auf einem Server 2008 ein oder?
[/Nachtrag]
Ähm. Wo hast du etwas von Exchange beim TO gelesen?
@ Joezwei:
Ich finde da nur
einem Server 2008 einen Remote Web Access installiert
Gruß,
Peter
[Nachtrag]
Vielleicht beziehst du dich auf dein Wie richte ich einen Remote auf einem Server 2008 ein oder?
[/Nachtrag]
Hallo,
Und jetzt brauchst du dein TS Wweb App, oder? Hast du auch den IIS7 am laufen? Du willst doch per Webseite auf die Apps zugreifen können, oder? Oder willst du direkt per RDP auf die Apps auf deinem TS aus dem Internet ohne Sicherheit (VPN) zugreifen? Oder willst du über VPN .... Man, wir raten nicht gerne rum. Du hast dir aber bestimmt folgende Seiten schon angesehen, oder? http://technet.microsoft.com/en-us/library/cc771908(v=ws.10).aspx oder http://technet.microsoft.com/en-us/library/cc753844(v=ws.10).aspx http://technet.microsoft.com/en-us/library/cc731264(v=ws.10).aspx
Gruß,
Peter
Und jetzt brauchst du dein TS Wweb App, oder? Hast du auch den IIS7 am laufen? Du willst doch per Webseite auf die Apps zugreifen können, oder? Oder willst du direkt per RDP auf die Apps auf deinem TS aus dem Internet ohne Sicherheit (VPN) zugreifen? Oder willst du über VPN .... Man, wir raten nicht gerne rum. Du hast dir aber bestimmt folgende Seiten schon angesehen, oder? http://technet.microsoft.com/en-us/library/cc771908(v=ws.10).aspx oder http://technet.microsoft.com/en-us/library/cc753844(v=ws.10).aspx http://technet.microsoft.com/en-us/library/cc731264(v=ws.10).aspx
Gruß,
Peter
Hallo,
Du solltest dir nur vorher klar werden welcher Zugriff welche risiken hat und dich dann für ein Verfahren entscheiden. Das, und nur das dann auch an deinen Router entsprechend einstellen. Jeder geöffnete Port und weiterleitung erhöht das Risiko. Nur ein nicht verbundenes Internet ist ein sicheres Internet
Gruß,
Peter
Zitat von @Joezwei:
Oder willst du direkt per RDP auf die Apps auf deinem TS aus dem Internet
genau das hatte ich vor.
Das glaube ich nicht das du per RDP direkt auf deinen Ts willst. Das wäre dann das RDP Protokoll (TCP Port 3389) ungeschützt und ungesichert durch das Internet mittels deines routers uaf deine TS weiterzuleiten und zu nutzen. Da ist ruckzug dein TS nicht mehr dein TS.Oder willst du direkt per RDP auf die Apps auf deinem TS aus dem Internet
genau das hatte ich vor.
den IIS7 habve ich auch drauf.
Dann kannst du ja das Remote WEB App nutzen was dann über HTTPS (TCP Port 443) und Zertifikat läuft. Dazu den Port auf deinem router an den IIS leiten.Du solltest dir nur vorher klar werden welcher Zugriff welche risiken hat und dich dann für ein Verfahren entscheiden. Das, und nur das dann auch an deinen Router entsprechend einstellen. Jeder geöffnete Port und weiterleitung erhöht das Risiko. Nur ein nicht verbundenes Internet ist ein sicheres Internet
Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @Joezwei:
Es ist ja auch so wenn ich den Server lokal über einen Browser anspreche erscheint auch die Remot Standard Anmeldeseite...leider halt nicht von Ausserhalb.
Weil von Ausserhalb deines Netzes (LAN) der Weg zu deinem TS noch ein paar andere Geräte (Router / Gateway) und Applikationen (Firewall / NAT etc.) durchlaufen muss?Es ist ja auch so wenn ich den Server lokal über einen Browser anspreche erscheint auch die Remot Standard Anmeldeseite...leider halt nicht von Ausserhalb.
Remotsitzungshost, Remotegateway, Remote App-Manager, Webserver IIS
Und was ist mit deinen Router? TCP Port 443 ist dein Kandidat.wie Technet microsoft und der Gleichen installiert
Du hast dir das ganze Technet auf deinen Server Installiert?Wäre schön wennman mir helfen könnte, danke
Ich habe dir einiges an Links schon genannt. http://technet.microsoft.com/en-us/library/cc731264(v=ws.10).aspx und daraus dann der Link zu http://technet.microsoft.com/en-us/library/cc771530.aspxGruß,
Peter
Hallo,
Naja. Freigeben eines Ports in einem Router wird schlichtweg irgendwie nicht gehen. Du kannst aber Ports in einem Router weiterleiten (Forwarden) oder auch sperren. Aber Freigeben?
Im deinem Router für deine externe Schnittstelle (WAN Schnittstelle mit einer vom ISP zugewiesenen IP (hier eine Feste IP wäre angebracht)) den TCP (es gibt auch noch UDP) Port 443 (https) eingehend an die IP (Internes LAN Netz) deines IIS weiterleiten. Das kann nur genau 1 mal eingerichtet werden. Mehr ist nicht zu tun. Andere Ports sind hier nicht nötig.
Gruß,
Peter
Naja. Freigeben eines Ports in einem Router wird schlichtweg irgendwie nicht gehen. Du kannst aber Ports in einem Router weiterleiten (Forwarden) oder auch sperren. Aber Freigeben?
Im deinem Router für deine externe Schnittstelle (WAN Schnittstelle mit einer vom ISP zugewiesenen IP (hier eine Feste IP wäre angebracht)) den TCP (es gibt auch noch UDP) Port 443 (https) eingehend an die IP (Internes LAN Netz) deines IIS weiterleiten. Das kann nur genau 1 mal eingerichtet werden. Mehr ist nicht zu tun. Andere Ports sind hier nicht nötig.
Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @Joezwei:
Ich musste in meinem Router den Port 443 freigeben und siehe da...es funktionierte.
Na sieshte. Die ganze Aufregung umsonst. Ein paar gezielte Fragen und schon klappts. Schön das es jetzt klappt.Ich musste in meinem Router den Port 443 freigeben und siehe da...es funktionierte.
Gruß,
Peter