Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Webserver in VLAN nach außen freigeben

Mitglied: das-mo

das-mo (Level 1) - Jetzt verbinden

10.06.2019 um 10:33 Uhr, 461 Aufrufe, 12 Kommentare

Guten Morgen zusammen,

Ich habe eine Fritzbox 7430 als DSL Modem im Einsatz. Dahinter ist ein Mikrotik hAP ac². Der Mikrotik Router ist DHCP-Server teilt mein Netzwerk in 4 VLANS auf. DMZ, Home, Guest und Test.
Im Netz Home steht eine NAS auf der ein Nextcloud Server läuft. Diesen habe ich früher einfach per Portforwarding in der Fritzbox freigegeben.
Wie kann ich den Webserver jetzt freigeben? Ich habe probiert per NAT die Anfrage im Mikrotik-Router an den Webserver weiterzuleiten. Das hat aber alles leider nicht so richtig funktioniert.

01.
 0    chain=dstnat action=dst-nat to-addresses=192.168.10.21 to-ports=80 protocol=tcp dst-port=8080 log=yes log-prefix="" 
02.
 1    chain=dstnat action=dst-nat to-addresses=192.168.10.21 to-ports=443 protocol=tcp dst-port=4433 log=yes log-prefix=""
Sind die NAT-Regeln soweit richtig oder habe ich da einen Denkfehler drin?
Brauche ich zusätzlich noch eine Firewallregel, die die Kommunikation von außen zum Webserver erlaubt?

Bitte verzeiht mir mein fehlendes Fachwissen, ich bin nur Softwareentwickler und kein Netzwerkspezialist .

Viele Grüße
das-mo
Mitglied: Lochkartenstanzer
10.06.2019, aktualisiert um 11:00 Uhr
Moin

Warum machst Du NAT mit dem Mikrotik?

Sinnvoller wäre es, ohne NAT zu arbeiten und Zugriffe durch Firewallregeln zu beschränken.

Du solltest also NAT auf dem Mikrotik deaktivieren und die statischen Routen zu den Netzen hinter dern Mikrotik in der Fritzbox eintragen.

Dann wäre für die Erreichbarkeit Deines webservers nur eine Pirtweiterleitung auf der Fritzbox notwendig.


Wie man Router richtig kaskadiert erklärt Kollege aqui hier in seiner Anleitung "Kopplung von 2 Routern am DSL Port" und "Routing von 2 und mehr IP Netzen mit Windows, Linux und Router".

lks
Bitte warten ..
Mitglied: aqui
LÖSUNG 10.06.2019, aktualisiert um 16:29 Uhr
Ich habe eine Fritzbox 7430 als DSL Modem im Einsatz.
Wirklich als reines Modem oder wieder laienhaft Modem und Router verwechselt und in Wahrheit ist es eine Router Kaskade mit doppeltem NAT ?
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Wie Kollege LKS schon richtig sagt ist es sinnfrei NAT auf dem Mikrotik zu aktivieren, das sollte man niemals machen.
Besser ist dort ohne NAT zu arbeiten und transparent zu routen !
Siehe dazu auch:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
und
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...

Wie kann ich den Webserver jetzt freigeben?
Leider vermutlich gar nicht
Der Grund sind die limitierten Features der FritzBox als billiges Consumer Gerät. Du darfst da nicht das Featureset des Mikrotik voraussetzen !
Normal wäre das ja kein Problem. Du richtest ein Port Forwarding von TCP 80 und TCP 443 auf die lokale IP Adresse des NextCloud Servers ein und gut iss. Mit einem normalen Router alles kein Problem.
Bei der FritzBox kannst du aber keine Port Forwardings auf IP Adressen einrichten die NICHT im lokalen LAN liegen.
Auch dann nicht wenn diese IP Adressen über statische Routen erreichbar sind.
Deshalb wirst du das so mit der FB Hardware nicht umsetzen können.
(geändert, siehe Feedback von LKS unten !)
Wie gesagt nur wenn die vor dem MT liegende FritzBox als NAT Router arbeitet in einer Router Kaskade.

Ist es wirklich so das die FB als reines Modem arbeitet, du also das Internet direkt auf dem MT terminierst, dann sieht die Welt natürlich ganz anders aus. Dann ist das über eine einfache Port Forwarding Regel im MT umzusetzen. Quasi wie es vorher war bei dir mit der FB.
Da aber AVM den reinen Modem Betrieb mit den FBs nicht mehr supportet gehen wir mal davon aus das du dein Design hier technisch falsch beschrieben hast und es vermutlich doch ein Kaskaden Design ist...?!
Fazit:
Du wirst dann nicht umhin kommen deinen NextCloud Server wieder direkt ins Koppelnetz zw. FB und MT zu legen (LAN Port der FB) und dann mit einfachem Port Forwarding auf der FB zu arbeiten.
Ist vermutlich auch nicht das Schlechteste, denn so musst du nicht das Loch das du mit dem Port Forwarding in deine FB gebohrt hast auch noch direkt auf die Netze hinter dem MT ausweiten.
Gerade bei den Allerwelt Ports TCP 80 und 443 ist das ein erhebliches Risiko.
Letztlich das das also der bessere Weg es dann so zu machen.
Bitte warten ..
Mitglied: Lochkartenstanzer
10.06.2019 um 12:57 Uhr
Zitat von aqui:

Bei der FritzBox kannst du aber keine Port Forwardings auf IP Adressen einrichten die NICHT im lokalen LAN liegen.

Ich meine das geht. Muß ich aber nichmal nachschauen.

lks
Bitte warten ..
Mitglied: das-mo
10.06.2019 um 14:08 Uhr
Danke für eure ausführlichen Antworten.

Ich nutze die Fritzbox nicht als reines Modem. Die statischen Routen sind bereits eingetragen.
Wenn ich das richtig verstanden habe, habe ich zwei Möglichkeiten:
1. Fritzbox austauschen
2. NAS von Home in die DMZ umlegen

Ich habe hier noch einen TP-Link AC1200 rumfliegen. Bevor ich den aber konfiguriere gebe ich lieber der NAS eine andere IP.

Viele Grüße
ads-mo
Bitte warten ..
Mitglied: aqui
10.06.2019 um 15:47 Uhr
Ich nutze die Fritzbox nicht als reines Modem.
Wie zu erwarten. Das wird hier leider sehr oft falsch beschrieben.
...habe ich zwei Möglichkeiten:
Ja, richtig.
Option 2 macht so oder so Sinn, denn keiner würde ungeschützten Traffic gerne in seinem Heimnetz haben.
Die DMZ ist für Port Forwarding Traffic der richtige Ort.
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 10.06.2019, aktualisiert um 16:04 Uhr
Zitat von Lochkartenstanzer:

Zitat von aqui:

Bei der FritzBox kannst du aber keine Port Forwardings auf IP Adressen einrichten die NICHT im lokalen LAN liegen.

Ich meine das geht. Muß ich aber nichmal nachschauen.

Gerade mit einer 7590 ausprobiert. Portweiterleitung auf ein Gerät hinter einem DD-WRT-Router funktioniert ohne Probleme.


lks
Bitte warten ..
Mitglied: aqui
10.06.2019 um 16:06 Uhr
Und das ohne NAT auf dem DD-WRT ???
Bitte warten ..
Mitglied: Lochkartenstanzer
10.06.2019 um 16:08 Uhr
Zitat von aqui:

Und das ohne NAT auf dem DD-WRT ???

Jupp.

lks
Bitte warten ..
Mitglied: aqui
10.06.2019, aktualisiert um 16:28 Uhr
Cool !
OK, dann nehm ich alles von oben zurück und behaupte das Gegenteil. Ich habe hier noch eine olle FB rumliegen. Werde ich auch mal checken obs da mit der aktuellen Firmware auch funktioniert !
Danke auf alle Fälle für das informative Feedback !!

Dann kann der TO das ja doch so umsetzen.
Allerdings sollte er dennoch besser den NC Server in der DMZ belassen. Es ist sicher wenig sinnvoll, wie oben schon mehrfach gesagt, ungeschützten Internet Traffic direkt in sein Heimnetz zu lassen.
Noch wichtiger ist dann auch das er dass sinnfreie NAT auf dem Mikrotik deaktiviert.
Infos dazu siehe auch hier:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
Bitte warten ..
Mitglied: Lochkartenstanzer
10.06.2019 um 17:06 Uhr
Zitat von aqui:

Cool !
OK, dann nehm ich alles von oben zurück und behaupte das Gegenteil. Ich habe hier noch eine olle FB rumliegen. Werde ich auch mal checken obs da mit der aktuellen Firmware auch funktioniert !

Man muß die IP-Adresse manuell eingeben. Man darf sich nicht davon irritieren lasen, daß er einem eine Liste der lokalen Geräte an den Kopf wirft. Irgendwo steht da noch "manuelle Eingabe".

lks
Bitte warten ..
Mitglied: das-mo
10.06.2019 um 17:06 Uhr
Meine NAS ist jetzt in der DMZ und NAT ist auf dem Mikrotik deaktiviert.
Funktioniert jetzt alles.

Vielen Dank euch beiden!
Bitte warten ..
Mitglied: Lochkartenstanzer
10.06.2019 um 17:12 Uhr
Zitat von das-mo:

Meine NAS ist jetzt in der DMZ und NAT ist auf dem Mikrotik deaktiviert.
Funktioniert jetzt alles.

Vielen Dank euch beiden!

gern geschehen.

lks
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
VLAN - vom Default vLan ins vLAN 10
gelöst Frage von DaPeddaNetzwerkmanagement2 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe, VM's hosted by iSCSI von einem Rack in ein neues umzusiedeln; und ...

Netzwerkgrundlagen
VLAN Struktur - Switches in welches VLAN
Frage von ITF02Netzwerkgrundlagen4 Kommentare

Hallo zusammen, ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch ...

Router & Routing
VLAN Netzwerkproblem
gelöst Frage von letstryandfindoutRouter & Routing4 Kommentare

Hallo zusammen, ich habe ein kleines Problem bei einem Netzwerk und finde meinen Fehler einfach nicht. Hier aber mal ...

LAN, WAN, Wireless
VLAN-Verständnisfrage
gelöst Frage von Winfried-HHLAN, WAN, Wireless46 Kommentare

Liebe Experten, eine kurze VLAN-Verständnisfrage: Ich habe einen WLAN-AP (Cisco WAP321) mit 2 SSIDs (Firma und Gast). Firma bekommt ...

Neue Wissensbeiträge
LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 2 TagenLAN, WAN, Wireless

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Windows 10

Microsoft macht Bluetooth absichtlich kaputt: Windows 10 Update blockiert Bluetooth-Verbindungen zu Android

Tipp von 1Werner1 vor 2 TagenWindows 107 Kommentare

Moin, jetzt spinnt MS total , was muss ich da auf Chip.de lesen: Auch im Juni schließt Microsoft im ...

Soziale Netzwerke

Facebook - künftig ohne Account des Bundeslandes Sachsen-Anhalt

Information von VGem-e vor 3 TagenSoziale Netzwerke3 Kommentare

Servus, mal sehen, ob andere öffentliche Einrichtungen folgen wollen/können Gruß

Humor (lol)
Facebook Mailer auf NIX-Spamlist
Information von Henere vor 3 TagenHumor (lol)

Eben aus dem Log meines Postfix gefischt. Recht haben Sie. FB ist SPAM :-) lachende Grüße, Henere

Heiß diskutierte Inhalte
Router & Routing
Synology NAS in anderem Subnetz nicht erreichbar
Frage von Tech1KonniRouter & Routing24 Kommentare

Hallo Leute, ich bin Software-Entwickler und daher auch etwas bewandert in den Grundkenntnissen der Netzwerktechnik. Aktuell habe ich allerdings ...

Netzwerke
Zugriff auf mehrere Clients via RDP
Frage von xXMariusXxNetzwerke11 Kommentare

Moin, ich würde gerne auf mehrere Clients in einem Netzwerk via RDP zugreifen. Gibt es eine elegantere Lösung als ...

Windows 7
RDP funktioniert nur einmal
Frage von Sc0rc3dWindows 710 Kommentare

Hi, ich arbeite mittels Remote Desktop von zu Hause. Manchmal per VPN und manchmal direkt (Portfreigabe 3389 -> 46XXX). ...

Windows Server
Probleme Installation Windows Server 2019
Frage von AK-47.2Windows Server7 Kommentare

Hallo zusammen, ich habe das Problem einen Windows Server 2019 auf ein Testsystem zu bringen. Das Mainboard ist ein ...