leoooo
Goto Top

Mikrotik DynDNS - 443 doppelt belegen

Hallo, ich habe eine Frage bezüglich der Machbarkeit.
Hoffentlich passt die Überschrift, weiß aber nicht wie ich es sonst beschreiben sollte.
Ich bin kein gelernter IT'ler und lese mir das was ich brauche zusammen. Manchmal weiss man aber auch einfach nicht wonach man genau suchen soll um die Antwort zu finden.

Meine Netzwerkkonstellation ist,
Fritzbox bridged -> Mikrotik Hex S -> Heimnetz
zur verfügung stehen 3 öffentliche IP's

Mein Problem bzw. meine Frage ist:

Ich habe auf dem Mikrotik "Mikrotik DDns" aktiv und per CNAME auf VPN.domain.tld gelegt. Über VPN.domain.tld läuft nun der OpenVPN-Server mit dem Port 443.
Jetzt würde ich gerne hinter dem Mikrotik auch einen Nextcloudserver (Nginx) betreiben, erreichbar auch über Port 443. Dafür hätte ich auch eine eigene Domain, zb. NC.domain.tld. Wenn ich jetzt auch die DDNS-Adresse auf NC.domain.tld verlinke dann würde jede Webanfrage doch mit der ersten matchenden Firewallrule verbinden und ein Dienst nicht erreichbar sein oder?

Entschuldigt, wenn ich komplett auf dem Holzweg bin, aber den Umweg über die öffenltiche Fritzbox-IP weiterleiten auf z.B. Mikrotik-Lan2 und dann per Firewall auf den NC-Server weiterzugeben würde ich gerne wermeiden, zumal Nextcloud per smdb auf einen Datastorrage zugreift, der im Mikrotiknetz steht, muss also dann mit beiden Netzen verbunden sein....

Ich hoffe ich habe euch nicht genau so verwirrt wie ich mich gerade fühle und freue mich über konstruktive Kritik und Lösungsvorschläge ;)
Ziel ist es, sowohl OpenVPN als auch Nextcloud über den port 443 erreichen zu können.

Leoooo

Content-ID: 1940706784

Url: https://administrator.de/contentid/1940706784

Ausgedruckt am: 02.11.2024 um 20:11 Uhr

EliteHacker
EliteHacker 18.02.2022 aktualisiert um 05:26:39 Uhr
Goto Top
Hmmm..., du könntest wie immer nen Proxy vorndranschalten, aber wieso lässt du den OpenVPN-Port nicht einfach auf 1194? Warum kompliziert wenn es auch einfach geht? Dann gäbe es auch keine Probleme/Portkonflikte.

Du hast 3 öffentliche IP-Adressen zur Verfügung? Na dann mach auf der einen IP-Adresse Nextcloud mit Port 443 und auf der anderen IP-Adresse OpenVPN mit Port 443.
aqui
aqui 18.02.2022 aktualisiert um 09:06:55 Uhr
Goto Top
aber den Umweg über die öffenltiche Fritzbox-IP weiterleiten auf z.B. Mikrotik-Lan2
Das würde auch technisch gar nicht gehen denn du sagst oben ja selber in der Beschreibung das deine FritzBox rein nur Bridged arbeitet, sprich mit PPPoE Passthrough. Folglich ist die FritzBox ja gar nicht am Paket Forwarding beteiligt sondern rein nur der MT weil das Internet ja dort direkt terminiert ist ! Logisch wenn die FB quasi nur reines Modem ist.
Oder hast du jatzt alles falsch beschrieben und betreibst eine [ Router Kaskade] mit doppeltem NAT und Firewalling mit Fb und MT ??
Für eine zielführende und technisch richtige Antwort wäre das essentiell wichtig zu wissen.
Was du also vorhast ist ein simples Port Forwarding, sprich das von extern eingehende TCP 443 Frames auf die WAN IP des MT dann auf die lokale IP Adresse deines NextCloud Servers geforwardet werden, ist das richtig verstanden ?
Sollte dem so sein hat das per se mit DDNS erstmal nichts zu tun weil stinknormales Port Forwarding. Du kannst im externen Browser also auch angeben https://VPN.domain.tld und landest auf dem NetxtCloud. Der Port Forwarding Funktion ist es vollkommen Wumpe wie Endgeräte die WAN IP auflösen. Für die zählt nur das sie alles was an TCP 443 Traffic reinkommt an die lokale IP xyz weiterleiten. Nicht mehr und nicht weniger.
Wenn du also VPN.domain.tld ggf. kosmetisch etwas anders in leoooo.domain.tld umbenennst kannst du das sowohl für VPN als auch NC nutzen. Es se denn es stört dich nicht wenn du deine NextCloud auch mit VPN.domain.tld ansprichst ?! Beides zeigt ja auf die öffentliche WAN IP deines Mikrotik.
Leoooo
Leoooo 18.02.2022 um 13:43:54 Uhr
Goto Top
Hmmm..., du könntest wie immer nen Proxy vorndranschalten, aber wieso lässt du den OpenVPN-Port nicht einfach auf 1194? Warum kompliziert wenn es auch einfach geht? Dann gäbe es auch keine Probleme/Portkonflikte.

Weil ich sowohl VPN als auch Nextcloud von der Arbeit/Unterwegs aus nutze und speziell auf Arbeit sind so gut wie alle sonstigen Ports gesperrt.

Du hast 3 öffentliche IP-Adressen zur Verfügung? Na dann mach auf der einen IP-Adresse Nextcloud mit Port 443 und auf der anderen IP-Adresse OpenVPN mit Port 443.

Naja, das wäre auch meine favorisierte Lösung, aber Ich bin nur privater CabelMax Kunde bei Vodafone und habe zwar nur sehr selten ändernde Ip-Adressen aber keine echten statische IP's.... und über den Mikrotik Ddns-Service kann ich ja nur eine IP abdecken...
Leoooo
Leoooo 18.02.2022 um 13:53:29 Uhr
Goto Top
Zitat von @aqui:

aber den Umweg über die öffenltiche Fritzbox-IP weiterleiten auf z.B. Mikrotik-Lan2
Das würde auch technisch gar nicht gehen denn du sagst oben ja selber in der Beschreibung das deine FritzBox rein nur Bridged arbeitet, sprich mit PPPoE Passthrough. Folglich ist die FritzBox ja gar nicht am Paket Forwarding beteiligt sondern rein nur der MT weil das Internet ja dort direkt terminiert ist ! Logisch wenn die FB quasi nur reines Modem ist.
Oder hast du jatzt alles falsch beschrieben und betreibst eine [ Router Kaskade] mit doppeltem NAT und Firewalling mit Fb und MT ??

Mein KabelMax-Tarif hat 3 öffentliche IP-Adressen, eine Läuft direkt auf der Fritzbox auf (Praktisch für Telefonie). Die anderen beiden IP-Adressen kann ich auf LAN-Port 2-5 Bridgen.
Meine öffentliche Fritzbox IP ist z.B 111.111.111.111 und mein IP die ich auf den Mikrotik weiterleite ist z.B 111.111.112.222.

Was du also vorhast ist ein simples Port Forwarding, sprich das von extern eingehende TCP 443 Frames auf die WAN IP des MT dann auf die lokale IP Adresse deines NextCloud Servers geforwardet werden, ist das richtig verstanden ?
Sollte dem so sein hat das per se mit DDNS erstmal nichts zu tun weil stinknormales Port Forwarding. Du kannst im externen Browser also auch angeben https://VPN.domain.tld und landest auf dem NetxtCloud. Der Port Forwarding Funktion ist es vollkommen Wumpe wie Endgeräte die WAN IP auflösen. Für die zählt nur das sie alles was an TCP 443 Traffic reinkommt an die lokale IP xyz weiterleiten. Nicht mehr und nicht weniger.
Wenn du also VPN.domain.tld ggf. kosmetisch etwas anders in leoooo.domain.tld umbenennst kannst du das sowohl für VPN als auch NC nutzen. Es se denn es stört dich nicht wenn du deine NextCloud auch mit VPN.domain.tld ansprichst ?! Beides zeigt ja auf die öffentliche WAN IP deines Mikrotik.

Kosmetisch ist mir das egal. Was ich nicht verstehe ist, wie der Mikrotik denn unterscheidet, ob er nun an den VPN-Server oder an Nextcloud weiterleiten soll, weil beide Anfragen ja über 443 rein kämen...
Leoooo
Leoooo 18.02.2022 um 14:01:57 Uhr
Goto Top
Es würde ja Funktionieren, wenn ich den Mikrotik im dual WAN betreiben würde und dann per Skript DynDNS laufen lassen würde. Dann würde es ja so funktionieren wie @EliteHacker es vorgeschlagen hat. Das würde die Sache aber meiner Meinung nach nur verkomplizieren. Und eben weil ich mich damit nicht so gut auskenne würde ich es gerne so einfach wie möglich halten.