13
Website von außen erreichbar machen DynDNS (No-Ip, Speedport, Subnet, Debian)
Hallo Community,
ich bin wieder am tüfteln und wende mich hier ans Forum um Erleuchtung zu erlangen:
Ich möchte meine selbst erstellten Web-Apps (PHP, JavaScript, etc) von außen erreichbar machen, also das Sie übers Internet erreichbar sind.
Ich habe einen eigenen Micro/Webserver (OMV Debian Stretch, nginx) der in einem Intranet bzw. Subnet hängt, als Entwicklungsumgebung nutze ich einen Win10 Rechner mit dem ich per FTP auf mein Repository zugreife und mit dem ich auch auf meine Skripts zugreifen kann und ganz normal im Browser diese laden bzw. testen kann. Eine FQDN-Name bzw. das Intranet habe ich schon eingerichtet.
Als Gateway benutze ich einen Speedport W724V (192.168.2.1, 192.168.2.x), drunter habe ich einen ZyXel USG 20W (192.168.2.2 bzw. 192.168.200.1) der ein Intranet aufspannt (192.168.200.x) in dem mein Windows10 Client und der Server hängen.
Folgendes habe ich schon erledigt:
Speedport (Gateway):
- No-Ip Adresse eingerichtet und entsprechend am Speedport die Daten eingegeben
- Port 80 und 443 TCP&UDP Portweiterleitung eingerichtet am Speedport
Zyxel (Subrouter):
- Port 80 und 443 Port-Forwarding eingerichtet, NAT zugewiesen, Objekt erstellt, Route eingerichtet also alles über Port 80&443 von Wan1 soll an die Ziel IP des Servers hier 192.168.200.112
- No-Ip Daten eingegeben
Microserver Linux Debian:
- Server Firewall Regeln erstellt (iptables) auf dem Server unter Linux, Port 80&443 sind offen sowie FTP und Telnet.
- DUC Client läuft auch auf dem Server
Problem:
wenn ich nmap laufen lasse um die Ports zu scannen zeigt er mir beim Speedport Port 53&80 offen, jeder andere Portscanner zeigt mir das dies geschlossen sind, hab auch mal übers Handy ohne Wlan versucht, keiner offen. Nmap zeigt mir unter Windows auf dem Client das sehr wohl Port 53&80 offen sind (ok, da ist nmap wohl genauer) aber Port 443 ist nicht offen, den brauch ich aber da ich eine HTTPS Verbindung für meine Websites brauche (Geolocation Web API etc.).
Das Teil das die DynDNS zuweißt, dieser DUC Client stammt von No-Ip Seite direkt, oder brauche ich da noch einen Linux Service dafür?
Steh auf dem Schlauch...
Hab ich soweit alles richtig gemacht? Was fehlt noch? Bin nicht so der Routing Experte, weiß aber bischen über Routingtabellen etc. bescheid.
ich bin wieder am tüfteln und wende mich hier ans Forum um Erleuchtung zu erlangen:
Ich möchte meine selbst erstellten Web-Apps (PHP, JavaScript, etc) von außen erreichbar machen, also das Sie übers Internet erreichbar sind.
Ich habe einen eigenen Micro/Webserver (OMV Debian Stretch, nginx) der in einem Intranet bzw. Subnet hängt, als Entwicklungsumgebung nutze ich einen Win10 Rechner mit dem ich per FTP auf mein Repository zugreife und mit dem ich auch auf meine Skripts zugreifen kann und ganz normal im Browser diese laden bzw. testen kann. Eine FQDN-Name bzw. das Intranet habe ich schon eingerichtet.
Als Gateway benutze ich einen Speedport W724V (192.168.2.1, 192.168.2.x), drunter habe ich einen ZyXel USG 20W (192.168.2.2 bzw. 192.168.200.1) der ein Intranet aufspannt (192.168.200.x) in dem mein Windows10 Client und der Server hängen.
Folgendes habe ich schon erledigt:
Speedport (Gateway):
- No-Ip Adresse eingerichtet und entsprechend am Speedport die Daten eingegeben
- Port 80 und 443 TCP&UDP Portweiterleitung eingerichtet am Speedport
Zyxel (Subrouter):
- Port 80 und 443 Port-Forwarding eingerichtet, NAT zugewiesen, Objekt erstellt, Route eingerichtet also alles über Port 80&443 von Wan1 soll an die Ziel IP des Servers hier 192.168.200.112
- No-Ip Daten eingegeben
Microserver Linux Debian:
- Server Firewall Regeln erstellt (iptables) auf dem Server unter Linux, Port 80&443 sind offen sowie FTP und Telnet.
- DUC Client läuft auch auf dem Server
Problem:
wenn ich nmap laufen lasse um die Ports zu scannen zeigt er mir beim Speedport Port 53&80 offen, jeder andere Portscanner zeigt mir das dies geschlossen sind, hab auch mal übers Handy ohne Wlan versucht, keiner offen. Nmap zeigt mir unter Windows auf dem Client das sehr wohl Port 53&80 offen sind (ok, da ist nmap wohl genauer) aber Port 443 ist nicht offen, den brauch ich aber da ich eine HTTPS Verbindung für meine Websites brauche (Geolocation Web API etc.).
Das Teil das die DynDNS zuweißt, dieser DUC Client stammt von No-Ip Seite direkt, oder brauche ich da noch einen Linux Service dafür?
Steh auf dem Schlauch...
Hab ich soweit alles richtig gemacht? Was fehlt noch? Bin nicht so der Routing Experte, weiß aber bischen über Routingtabellen etc. bescheid.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391470
Url: https://administrator.de/contentid/391470
Printed on: April 18, 2024 at 04:04 o'clock
13 Comments
Latest comment
Hallo,
warum nutzt du nicht einfach einen der tausenden Webhostern? So ein Webspace kostet inzwischen weniger als ein Wecken beim Bäcker.
Gleichzeitig hast du den wenigsten Aufwand und die höchste SIcherheit.
Falls du dein Vorhaben dennoch durchziehen möchtest, dann würde ich dir empfehlen den Server in eine DMZ bzw. in ein separates VLAN zu stecken.
Zum Thema zurück:
Wenn ich das richtig lese, dann machen beide Router NAT? Oder nur das Gateway und zwischen dem Speedport und dem Zyxel wird normal geroutet?
Beide Scans erfolgten vom selben Netz aus? Weil kann ja eigentlich nicht sein. Entweder der Port ist offen oder nicht. Dann hast du vermutlich eher ein Fehler bei der Verwendung des Port Scanner gemacht.
P.S. Warum überhaupt diese Routing Kaskade? Klingt für mich generell eher nach einer privaten Umgebung?
Viele Grüße,
Exception
warum nutzt du nicht einfach einen der tausenden Webhostern? So ein Webspace kostet inzwischen weniger als ein Wecken beim Bäcker.
Gleichzeitig hast du den wenigsten Aufwand und die höchste SIcherheit.
Falls du dein Vorhaben dennoch durchziehen möchtest, dann würde ich dir empfehlen den Server in eine DMZ bzw. in ein separates VLAN zu stecken.
Zum Thema zurück:
Wenn ich das richtig lese, dann machen beide Router NAT? Oder nur das Gateway und zwischen dem Speedport und dem Zyxel wird normal geroutet?
wenn ich nmap laufen lasse um die Ports zu scannen zeigt er mir beim Speedport Port 53&80 offen, jeder andere Portscanner zeigt mir das dies geschlossen sind, hab auch mal übers Handy ohne Wlan versucht, keiner offen.
Beide Scans erfolgten vom selben Netz aus? Weil kann ja eigentlich nicht sein. Entweder der Port ist offen oder nicht. Dann hast du vermutlich eher ein Fehler bei der Verwendung des Port Scanner gemacht.
P.S. Warum überhaupt diese Routing Kaskade? Klingt für mich generell eher nach einer privaten Umgebung?
Viele Grüße,
Exception
Hallo Exception,
das stimmt, das wäre die einfache Variante
. Aber hey, wer braucht schon einfach, wenn es kompliziert viel besser geht ;). Quatsch beiseite.
In eine DMZ stecken, ja das hört sich gut an, ähnlich wie ein Mail-Server. Erstmal soll es grundsätzlich funktionieren damit ich sehen kann wie ich es mir weiter kompliziert machen kann...
Hab ich was vergessen, kapier grade nicht wo mein Netz das Problem hat. Wieso reagiert der Sch... Speedport nicht, bzw. nimmt meine Regeln nicht an. Habe Port 80 UND 443 Weitergeleitet an meinen Subrouter, warum zeigt er mir nur Port 80 (und 53) an?
das stimmt, das wäre die einfache Variante
. Aber hey, wer braucht schon einfach, wenn es kompliziert viel besser geht ;). Quatsch beiseite.In eine DMZ stecken, ja das hört sich gut an, ähnlich wie ein Mail-Server. Erstmal soll es grundsätzlich funktionieren damit ich sehen kann wie ich es mir weiter kompliziert machen kann...
Hab ich was vergessen, kapier grade nicht wo mein Netz das Problem hat. Wieso reagiert der Sch... Speedport nicht, bzw. nimmt meine Regeln nicht an. Habe Port 80 UND 443 Weitergeleitet an meinen Subrouter, warum zeigt er mir nur Port 80 (und 53) an?
Nach meinem Verständniß machen beide Router NAT. Der Speedport wird als Gateway und Router im üblichen 2er Netz genutzt. Der Zyxel benutzt den Speedport nur als Gateway und spannt ein 200er Subnet in einem anderen Stockwerk auf. In dem 200er hängen der Server (Linux) und mein HomePC (Win10).
Ja, private Umgebung. Die zwei Netze sollen einfach voneinander getrennt sein.
Die Scans erfolgten aus dem 200er Netz von meine Win10 Rechner. Gescannt habe ich sowohl 192.168.2.1 (Speedport) als auch 192.168.2.2 (Zyxel IP im 2er Netz).
Der Server ist eine VM unter Proxmox, spielt das noch eine Rolle? Beide haben ja unterschiedliche IP´s auf demselben Blech...
aber erstmal soll der Speedport machen was er soll...
Ja, private Umgebung. Die zwei Netze sollen einfach voneinander getrennt sein.
Die Scans erfolgten aus dem 200er Netz von meine Win10 Rechner. Gescannt habe ich sowohl 192.168.2.1 (Speedport) als auch 192.168.2.2 (Zyxel IP im 2er Netz).
Der Server ist eine VM unter Proxmox, spielt das noch eine Rolle? Beide haben ja unterschiedliche IP´s auf demselben Blech...
aber erstmal soll der Speedport machen was er soll...
Moin...
Kauf dir einen ordentlichen Router, der kann allles was du brauchst... euch eine DMZ!
mit deiner Router Kaskade wirst du nicht glücklich!
Frank
Kauf dir einen ordentlichen Router, der kann allles was du brauchst... euch eine DMZ!
mit deiner Router Kaskade wirst du nicht glücklich!
Frank
Mein Router kann doch DMZ...der ZyXel. Der Speedport dient nur als Gateway...
was ja eine Router Kaskade wäre...
wenn der Zyxel kein Modem hat, kauf ein Vigor130 dazu, und gut ist...
Frank
wenn der Zyxel kein Modem hat, kauf ein Vigor130 dazu, und gut ist...
Frank
also den Speedport durch den Vigor ersetzen? Nach meinem Verständniß kann der Zyxel auch als Modem genutzt werden, da müßte ich aber krass umkonfigurieren.
Komme grade nicht mit: Also Kaskaden sind nicht gut? Das gibts doch in jedem Unternehmen oder Gebäude. Ein Gateway, mehrere Nutzer...
Oder routet der Gateway in dem Fall nicht?
Gruß.
BTW: der Vigor sieht gut aus...das wird alles angezeigt, TOP als reiner Gateway.
Komme grade nicht mit: Also Kaskaden sind nicht gut? Das gibts doch in jedem Unternehmen oder Gebäude. Ein Gateway, mehrere Nutzer...
Oder routet der Gateway in dem Fall nicht?
Gruß.
BTW: der Vigor sieht gut aus...das wird alles angezeigt, TOP als reiner Gateway.
Speedport ist ein Schrottrouter und kann keine statischen Routen. Das Minimum um Routing wie oben in segmentierten Umfeld umzusetzen 
Also entweder den Router tauschen gegen was Anständiges was dir transparentes Routing supportet oder....
Du musst eine Router Kaskade verwenden und der kaskadierte Router macht zentrales NAT für den SP.
Der SP wird dann aber sicher Schwierigkeiten mit dem Port Forwarding in hinter ihm geroutete Netze haben.
Er kann ja nichtmal sowas banales wie statische Routen....
Guckst du auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Bzw. was die Kaskaden Problematik angeht:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Also entweder den Router tauschen gegen was Anständiges was dir transparentes Routing supportet oder....
Du musst eine Router Kaskade verwenden und der kaskadierte Router macht zentrales NAT für den SP.
Der SP wird dann aber sicher Schwierigkeiten mit dem Port Forwarding in hinter ihm geroutete Netze haben.
Er kann ja nichtmal sowas banales wie statische Routen....
Guckst du auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Bzw. was die Kaskaden Problematik angeht:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Super, danke für die Hinweise und Denkanstöße. Brutaler Shit und das i-Tüpfelchen ist noch dieser Speedport, der nicht so reagiert wie eingestellt.
Da werde ich mir mal die Sachen reinziehen müssen.
Also muss ich die statische Route auf dem Gateway-"Router" einrichten und nicht auf dem Subrouter...?
Ich habe noch ein ASUS RT-AC1200G+ hier liegen den ich eigentlich als AP noch integrieren wollte, hab mir jetzt die Spezifikationen nicht genau angesehen, könnte ich den mal mit dem Speedport ersetzen und das ganze durchklingeln?
Problem sehe ich noch in der IPTelefonie von dem T-online gedöhns...
Da werde ich mir mal die Sachen reinziehen müssen.
Also muss ich die statische Route auf dem Gateway-"Router" einrichten und nicht auf dem Subrouter...?
Ich habe noch ein ASUS RT-AC1200G+ hier liegen den ich eigentlich als AP noch integrieren wollte, hab mir jetzt die Spezifikationen nicht genau angesehen, könnte ich den mal mit dem Speedport ersetzen und das ganze durchklingeln?
Problem sehe ich noch in der IPTelefonie von dem T-online gedöhns...
Moin...
wenn das uns unbekante Zyxel ein modem hat, brauchst du natürlich keins kaufen....
Komme grade nicht mit: Also Kaskaden sind nicht gut? Das gibts doch in jedem Unternehmen oder Gebäude. Ein Gateway, mehrere Nutzer...
ja, ein gateway für alle nutzer...da braucht es aber keine Router Kaskade für...
Oder routet der Gateway in dem Fall nicht?
was? wiso...?
Gruß.
BTW: der Vigor sieht gut aus...das wird alles angezeigt, TOP als reiner Gateway.
nix gateway... Modem das das zauberwort, das Zyxel ist das gateway...
Frank
Zitat von @ChookaA:
also den Speedport durch den Vigor ersetzen? Nach meinem Verständniß kann der Zyxel auch als Modem genutzt werden, da müßte ich aber krass umkonfigurieren.
was...wiso?also den Speedport durch den Vigor ersetzen? Nach meinem Verständniß kann der Zyxel auch als Modem genutzt werden, da müßte ich aber krass umkonfigurieren.
wenn das uns unbekante Zyxel ein modem hat, brauchst du natürlich keins kaufen....
Komme grade nicht mit: Also Kaskaden sind nicht gut? Das gibts doch in jedem Unternehmen oder Gebäude. Ein Gateway, mehrere Nutzer...
Oder routet der Gateway in dem Fall nicht?
Gruß.
BTW: der Vigor sieht gut aus...das wird alles angezeigt, TOP als reiner Gateway.
Frank
Brutaler Shit und das i-Tüpfelchen ist noch dieser Speedport, der nicht so reagiert wie eingestellt.
Ist aber schon lange bekannt. Besonders passiert das bei GRE oder ESP basierten VLANs.Ist aber auch ein generelles Problem das die billigen Umsonst Router der Provider durch die Bank Müll sind.
Außer die die eine FB z.B. an die Kunden geben.
Noch besser ist immer man beschafft sich die Router Hardware selber. Dann kann man auch sicher sein das man nicht mit TR-069 beschnüffelt wird !
lso muss ich die statische Route auf dem Gateway-"Router" einrichten und nicht auf dem Subrouter...?
Ja ! Wenn du OHNE NAT arbeitest und transparent routest !!Sinnvoll routet man natürlich immer ohne NAT (...wenn man es kann) !
roblem sehe ich noch in der IPTelefonie von dem T-online gedöhns...
Warum ??Das kann jeder VoIP Adapter wie ein Cisco SPA 112 oder IP Telefon oder VoIP Anlage im internen Netz.
Von der SP Gurke bist du in puncto VoIP logischerweise NICHT abhängig !
Übrigens: Eine FritzBox kann VoIP und statische Routen
Danke allen. Jetzt hab ich bischen Hausaufgaben zu erledigen, zieh ich mir rein alles. Stichwort: Router-Kaskade, gescheites Modem, DMZ, statische Routen etc. ... erstmal .... KAFFEEEEEEEEEEEEEEE, öhm ZÄSUR
Ist ja Wochenende mit massig Zeit zum Lesen....
