15
Website ist im Lan nicht über die Domain erreichbar, über dass www funktioniert es
Hallo zusammen!
Ich habe einen eigenen Webserver im Haus auf dem eine WP-Testseite läuft. Diese ist über die statische IP und Domain vom www aus erreichbar, im Lan führt mich die Domain aber auf die Startseite meines Routers ().
Wie muss ich das konfigurieren? Bitte habt ein wenig Geduld mit mir, ich stehe in diesem Bereich noch am Anfang.
RockyLinux8 und Nginx.
Die Siteconfig sieht wie folgt aus:
server {
listen 80;
listen [::]:80;
server_name ;
return 301 *$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ;
root /var/www/***/public_html;
Vielen lieben Dank vorab!
Swen
Ich habe einen eigenen Webserver im Haus auf dem eine WP-Testseite läuft. Diese ist über die statische IP und Domain vom www aus erreichbar, im Lan führt mich die Domain aber auf die Startseite meines Routers ().
Wie muss ich das konfigurieren? Bitte habt ein wenig Geduld mit mir, ich stehe in diesem Bereich noch am Anfang.
RockyLinux8 und Nginx.
Die Siteconfig sieht wie folgt aus:
server {
listen 80;
listen [::]:80;
server_name ;
return 301 *$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ;
root /var/www/***/public_html;
Vielen lieben Dank vorab!
Swen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1170166630
Url: https://administrator.de/contentid/1170166630
Printed on: June 16, 2024 at 18:06 o'clock
15 Comments
Latest comment
Wie rufst du die Webseite denn im LAN auf? IP oder DNS ?
Beides funktioniert nicht.
Moin,
D.h. Wenn dein Webserver im LAN die 192.168.100.99 hätte und du
Welchen Router setzt du ein?
DNS sauber eingerichtet?
Gruß
em-pie
D.h. Wenn dein Webserver im LAN die 192.168.100.99 hätte und du
https://192.168.100.99 aufrust, landest du auf der IP deines Routers?Welchen Router setzt du ein?
DNS sauber eingerichtet?
Gruß
em-pie
Kannst du die IP denn aus dem lokalen Netz anpingen ?
Oder pingst du dann auch den Router?
Gruß,
Wilko
Oder pingst du dann auch den Router?
Gruß,
Wilko
Hallo,
aufgrund der IP des Routers tippe ich auf ein Heimnetz.
Das Webinterface vieler Consumer-Router (also DHCP-, DNS- und sonst-was-Server) lässt sich via www.<domain.tld> aufrufen. Verwendest du bei dir im LAN die gleiche Domain wie im WAN? Wenn ja, weißt du schon mal, warum du auf dem Router landest.
Verifizieren kannst du das mit einem nslookup sowohl des Hostnames "www" als auch des FQDNs "www.nzd11.de" aus dem LAN.
Das schon mal zum Thema DNS. Dann müsste der Aufruf via IP aber eigentlich aus dem LAN klappen. Du hast explizit IPv4 und IPv6 aktiviert. Funktioniert der Zugriff über keines der beiden Protokolle? Ist IPv6 im LAN überhaupt aktiv?
Da sich der Webserver aus dem WAN erreichen lässt, liegt vermutlich kein Problem mit "sites-available" und "sites-enabled" vor. Auch lässt es darauf schließen, dass der Host auf den richtigen Interfaces lauscht.
Dann hast du in der Config noch explizit "server_name" angegeben. Dort ist keine IP-Adresse angegeben. Ergo muss die Namensauflösung im LAN zwingend funktionieren, da der Webserver sonst nciht weiß, welchen Serverblock er ausrollen soll.
Testweise kannst du dort zusätzlich noch die IP des Hosts im LAN eintragen und versuchen, die Webseite via LAN-IP (nicht DNS) zu öffnen. Wenn das klappt, weißt du, wo du drehen musst: https://nginx.org/en/docs/http/server_names.html und beim DNS ;)
Ich hoffe einfach mal, dass am Router kein simples ein Portforwarding ins LAN eingestellt wurde. Existieren Schutzmaßnahmen? Wenn ja, welche?
Die Firewall des Webserverhosts kann (sollte aber eher nicht) das LAN aussperren.
Ist der Host im gleichen Subnetz?
Ist der Webserver in einer DMZ oder als "exposed host" irgendwie "anders" oder "ausgelagert"?
Ganz allgemein:
Ist der Host pingbar? (Vermutlich ja, denn irgendwie muss er ja konfiguriert worden sein.)
Sind die Ports tcp/80 und tcp/443 aus dem LAN erreichbar?
aufgrund der IP des Routers tippe ich auf ein Heimnetz.
Das Webinterface vieler Consumer-Router (also DHCP-, DNS- und sonst-was-Server) lässt sich via www.<domain.tld> aufrufen. Verwendest du bei dir im LAN die gleiche Domain wie im WAN? Wenn ja, weißt du schon mal, warum du auf dem Router landest.
Verifizieren kannst du das mit einem nslookup sowohl des Hostnames "www" als auch des FQDNs "www.nzd11.de" aus dem LAN.
Das schon mal zum Thema DNS. Dann müsste der Aufruf via IP aber eigentlich aus dem LAN klappen. Du hast explizit IPv4 und IPv6 aktiviert. Funktioniert der Zugriff über keines der beiden Protokolle? Ist IPv6 im LAN überhaupt aktiv?
Da sich der Webserver aus dem WAN erreichen lässt, liegt vermutlich kein Problem mit "sites-available" und "sites-enabled" vor. Auch lässt es darauf schließen, dass der Host auf den richtigen Interfaces lauscht.
Dann hast du in der Config noch explizit "server_name" angegeben. Dort ist keine IP-Adresse angegeben. Ergo muss die Namensauflösung im LAN zwingend funktionieren, da der Webserver sonst nciht weiß, welchen Serverblock er ausrollen soll.
Testweise kannst du dort zusätzlich noch die IP des Hosts im LAN eintragen und versuchen, die Webseite via LAN-IP (nicht DNS) zu öffnen. Wenn das klappt, weißt du, wo du drehen musst: https://nginx.org/en/docs/http/server_names.html und beim DNS ;)
Ich hoffe einfach mal, dass am Router kein simples ein Portforwarding ins LAN eingestellt wurde. Existieren Schutzmaßnahmen? Wenn ja, welche?
Die Firewall des Webserverhosts kann (sollte aber eher nicht) das LAN aussperren.
Ist der Host im gleichen Subnetz?
Ist der Webserver in einer DMZ oder als "exposed host" irgendwie "anders" oder "ausgelagert"?
Ganz allgemein:
Ist der Host pingbar? (Vermutlich ja, denn irgendwie muss er ja konfiguriert worden sein.)
Sind die Ports tcp/80 und tcp/443 aus dem LAN erreichbar?
1
Ja, genau so ist es.
Ich verwende einen NuCom Glasfaser Router den ich von meinem Anbieter hier in Spanien habe. Das Einzig was ich dort einstellen kann sind die Ports, was von außen ja funktioniert.
Auf dem Server weiß ich nicht wie ich die DNS Einträge richtig erstellen muss.
Muss ich hierfür einen eigenen DNS Server einrichten?
Ich verwende einen NuCom Glasfaser Router den ich von meinem Anbieter hier in Spanien habe. Das Einzig was ich dort einstellen kann sind die Ports, was von außen ja funktioniert.
Auf dem Server weiß ich nicht wie ich die DNS Einträge richtig erstellen muss.
Muss ich hierfür einen eigenen DNS Server einrichten?
Zitat von @Dawnbreaker:
Kannst du die IP denn aus dem lokalen Netz anpingen ?
Oder pingst du dann auch den Router?
Gruß,
Wilko
Kannst du die IP denn aus dem lokalen Netz anpingen ?
Oder pingst du dann auch den Router?
Gruß,
Wilko
Das Anpingen funktioniert.
Muss ich hierfür einen eigenen DNS Server einrichten?
Wenn du es auf dem NuCom keine DNS-Einträge anlegen kannst, bleiben dir nur zwei Optionen:- Aufbau eines eigenen DNS-Servers und den dann via DHCP-Option durch den NuCom verteilen lassen oder alternativ fest in die Clients im LAN eintragen (und wieder austragen, wenn du unterwegs bist)
- Eintrag in die hosts-Datei der Geräte im LAN (und dann wieder entfernen, wenn du den Webserver von unterwegs erreichen willst)
Edit:
Das Anpingen funktioniert.
[swen@Sven-zBook ~]$ ping nzd11.de
PING nzd11.de (185.132.90.98) 56(84) bytes of data. [...]
Da wird der Name auf die öffentliche IP aufgelöst.[swen@Sven-zBook ~]$ ping nzd11.de
PING nzd11.de (185.132.90.98) 56(84) bytes of data. [...]
Zitat von @Benandi:
Hallo,
aufgrund der IP des Routers tippe ich auf ein Heimnetz.
Das Webinterface vieler Consumer-Router (also DHCP-, DNS- und sonst-was-Server) lässt sich via www.<domain.tld> aufrufen. Verwendest du bei dir im LAN die gleiche Domain wie im WAN? Wenn ja, weißt du schon mal, warum du auf dem Router landest.
Hallo,
aufgrund der IP des Routers tippe ich auf ein Heimnetz.
Das Webinterface vieler Consumer-Router (also DHCP-, DNS- und sonst-was-Server) lässt sich via www.<domain.tld> aufrufen. Verwendest du bei dir im LAN die gleiche Domain wie im WAN? Wenn ja, weißt du schon mal, warum du auf dem Router landest.
Ja, das ist der Fall.
Verifizieren kannst du das mit einem nslookup sowohl des Hostnames "www" als auch des FQDNs "www.nzd11.de" aus dem LAN.
Das schon mal zum Thema DNS. Dann müsste der Aufruf via IP aber eigentlich aus dem LAN klappen. Du hast explizit IPv4 und IPv6 aktiviert. Funktioniert der Zugriff über keines der beiden Protokolle? Ist IPv6 im LAN überhaupt aktiv?
Das schon mal zum Thema DNS. Dann müsste der Aufruf via IP aber eigentlich aus dem LAN klappen. Du hast explizit IPv4 und IPv6 aktiviert. Funktioniert der Zugriff über keines der beiden Protokolle? Ist IPv6 im LAN überhaupt aktiv?
Nein, IPv6 ist nicht aktiv, das ändere ich.
Da sich der Webserver aus dem WAN erreichen lässt, liegt vermutlich kein Problem mit "sites-available" und "sites-enabled" vor. Auch lässt es darauf schließen, dass der Host auf den richtigen Interfaces lauscht.
Dann hast du in der Config noch explizit "server_name" angegeben. Dort ist keine IP-Adresse angegeben. Ergo muss die Namensauflösung im LAN zwingend funktionieren, da der Webserver sonst nciht weiß, welchen Serverblock er ausrollen soll.
Testweise kannst du dort zusätzlich noch die IP des Hosts im LAN eintragen und versuchen, die Webseite via LAN-IP (nicht DNS) zu öffnen. Wenn das klappt, weißt du, wo du drehen musst: https://nginx.org/en/docs/http/server_names.html und beim DNS ;)
Dann hast du in der Config noch explizit "server_name" angegeben. Dort ist keine IP-Adresse angegeben. Ergo muss die Namensauflösung im LAN zwingend funktionieren, da der Webserver sonst nciht weiß, welchen Serverblock er ausrollen soll.
Testweise kannst du dort zusätzlich noch die IP des Hosts im LAN eintragen und versuchen, die Webseite via LAN-IP (nicht DNS) zu öffnen. Wenn das klappt, weißt du, wo du drehen musst: https://nginx.org/en/docs/http/server_names.html und beim DNS ;)
Hab ich versucht, aber ohne Erfolg.
Ich hoffe einfach mal, dass am Router kein simples ein Portforwarding ins LAN eingestellt wurde. Existieren Schutzmaßnahmen? Wenn ja, welche?
Nur auf Serverseite. Ich sehe schon, dass ich noch viel lernen muss!!!
Die Firewall des Webserverhosts kann (sollte aber eher nicht) das LAN aussperren.
Ist der Host im gleichen Subnetz? Ja
Ist der Webserver in einer DMZ oder als "exposed host" irgendwie "anders" oder "ausgelagert"?
Ganz allgemein:
Ist der Host pingbar? (Vermutlich ja, denn irgendwie muss er ja konfiguriert worden sein.)
Ist der Host im gleichen Subnetz? Ja
Ist der Webserver in einer DMZ oder als "exposed host" irgendwie "anders" oder "ausgelagert"?
Ganz allgemein:
Ist der Host pingbar? (Vermutlich ja, denn irgendwie muss er ja konfiguriert worden sein.)
Ja.
Sind die Ports tcp/80 und tcp/443 aus dem LAN erreichbar?
Man merkt, dass du noch nicht routiniert bist. Kommt aber noch 
Bis dahin rate ich dir aus Prinzip, den Webserver möglichst nicht im Internet zu exponieren. Je weniger die Kisten abgesichert sind, desto schneller fangen sie sich was ein. Da der Host auch noch im gleichen Subnetz wie deine übrigen Privatgeräte stehen, würde sich das ungehindert ausbreiten.
Das Thema ist leider auch schon ziemlich durchgekaut.
- zusätzlicher Präfix: z. B. privat.nzd11.de
- andere Second Level Domain mit privater Top Level Domain: z. B. unfug.test
- oder gleiche Second Level Domain mit Verwendung privater Top Level Domain: z. B. nzd11.test
U. a. RFC2606 gibt Auskunft. Die andere RFC habe ich grade nicht zur Hand.
Willst du das überhaupt? Öffentlich hast du nur eine IPv4-Adresse, keinen passenden DNS-Eintrag und im LAN ohnehin kein IPv6 (wobei im LAN die Geräte meist selber IPv6 betreiben und der Router bei Kommunikation im gleichen Subnetz keinen Walzer spielt). Da wäre es sinniger, den Webserver nicht auf IPv6 reagieren zu lassen.
Nur um es zu verifizieren: welche IP hast du eingetragen? 185.132.90.98 oder 192.168.100.irgendwas? Und welche IP hast du nach dem Reload des Webservers aufzurufen versucht?
Ah, dann greifen die auch im LAN. Bitte bei der Fehlersuche berücksichtigen (auch wenn ich die Ursache für dein Problem anderswo vermute).
Aber:
Wenn du "www.nzd11.de" pingst, kriegst du vermutlich die IP des Router (192.168.100.1) zurück, richtig?
Daher: klappt ein Ping auf die LAN-IP des Hosts (192.168.100.irgendwas)?
Abschließend:
Bleibt also primär die Thematik DNS samt Domainverwendung und danach vermutlich noch ein kleiner Dreh an der Konfiguration des Webservers.
Nächste Schritte:
Um erstmal Klarheit in die Sache zu kriegen, arbeiten wir ein wenig mit der hosts-Datei des Gerätes (zBook von HP?), mit dem du die Webseite aus dem LAN aufrufen willst. Jene wird nämlich vor irgendeinem DNS-Server befragt. Damit umgehen wir den Eintrag auf dem NuCom erstmal. Verwendest du darauf Linux (unter /etc/hosts) oder Windows (bei Standard-Win10-Installation unter C:\Windows\System32\drivers\etc\hosts)?
- Dort trägst du dann die IP des Webservers im LAN und als Hostnamen "www.nzd11.de" sowie "nzd11.de" ein. Danach leerst du deinen DNS-Cache (oder startest neu).
- Jetzt prüfst du via "nslookup nzd11.de" und "nslookup www.nzd11.de", welche in wleche IP-Adresse diese Einträge aufgelöst werden. Alternativ geht auch ein Ping, wenn du auf die IP achtest.
- Und erst jetzt, wenn die Namen korrekt auf die LAN-IP des Webservers aufgelöst werden, rufst du im Browser "https://www.nzd11.de" und in einem weiteren Fenster / Tab "https://nzd11.de" auf. Warum explizit HTTPS? Für HTTP-Aufrufe hast du in der Config eine Weiterleitung auf HTTPS eingetragen. Den Faktor will ich ausschließen.
- Wenn das geklappt hat, kannst du auch den HTTP-Aufruf für die Weiterleitung testen.
- Danach schraubst du deine hosts-Datei wieder auf den Ausgangszustand zurück und leerst nochmal den DNS-Cache.
- Und wenn das alles geklappt hat, wissen wir, wo der Frosch die Locken hat und können uns auf die Lösung stürzen (sofern du nicht schon selbst drauf gekommen bist).
Auch wenn ich mich wiederhole: bitte sag uns, welche IP-Adresse der Webserver im LAN hat.
Bis dahin rate ich dir aus Prinzip, den Webserver möglichst nicht im Internet zu exponieren. Je weniger die Kisten abgesichert sind, desto schneller fangen sie sich was ein. Da der Host auch noch im gleichen Subnetz wie deine übrigen Privatgeräte stehen, würde sich das ungehindert ausbreiten.
Das Thema ist leider auch schon ziemlich durchgekaut.
Zitat von @swenews:
Meh... Das Thema kommt hier regelmäßig hoch; zuletzt hier. Kurz: die Konstellation ist absolut nicht empfehlenswert, denn genau solche Probleme, wie du sie gerade erfährst, resultieren daraus. Zwei, drei Ansätze:Zitat von @Benandi:
[...] Verwendest du bei dir im LAN die gleiche Domain wie im WAN? Wenn ja, weißt du schon mal, warum du auf dem Router landest. [...]
Ja, das ist der Fall.[...] Verwendest du bei dir im LAN die gleiche Domain wie im WAN? Wenn ja, weißt du schon mal, warum du auf dem Router landest. [...]
- zusätzlicher Präfix: z. B. privat.nzd11.de
- andere Second Level Domain mit privater Top Level Domain: z. B. unfug.test
- oder gleiche Second Level Domain mit Verwendung privater Top Level Domain: z. B. nzd11.test
U. a. RFC2606 gibt Auskunft. Die andere RFC habe ich grade nicht zur Hand.
[...] Du hast explizit IPv4 und IPv6 aktiviert. Funktioniert der Zugriff über keines der beiden Protokolle? Ist IPv6 im LAN überhaupt aktiv?
Nein, IPv6 ist nicht aktiv, das ändere ich.Dann hast du in der Config noch explizit "server_name" angegeben. Dort ist keine IP-Adresse angegeben. Ergo muss die Namensauflösung im LAN zwingend funktionieren, da der Webserver sonst nciht weiß, welchen Serverblock er ausrollen soll.
Testweise kannst du dort zusätzlich noch die IP des Hosts im LAN eintragen und versuchen, die Webseite via LAN-IP (nicht DNS) zu öffnen. Wenn das klappt, weißt du, wo du drehen musst: https://nginx.org/en/docs/http/server_names.html und beim DNS ;)
Hab ich versucht, aber ohne Erfolg.Testweise kannst du dort zusätzlich noch die IP des Hosts im LAN eintragen und versuchen, die Webseite via LAN-IP (nicht DNS) zu öffnen. Wenn das klappt, weißt du, wo du drehen musst: https://nginx.org/en/docs/http/server_names.html und beim DNS ;)
Ich hoffe einfach mal, dass am Router kein simples ein Portforwarding ins LAN eingestellt wurde. Existieren Schutzmaßnahmen? Wenn ja, welche?
Nur auf Serverseite. Ich sehe schon, dass ich noch viel lernen muss!!!Ist der Host pingbar? (Vermutlich ja, denn irgendwie muss er ja konfiguriert worden sein.)
Ja.Das Anpingen funktioniert.
[swen@Sven-zBook ~]$ ping nzd11.de
PING nzd11.de (185.132.90.98) 56(84) bytes of data. [...]
Da wird der Name auf die öffentliche IP aufgelöst (weil der zuständige DNS-Server einen CNAME-Eintrag dafür hat und dein lokaler DNS-Server in Ermangelung eines solchen die Anfrage ins WAN weiter gibt). Ob du den Webserver bzw. den Hosts innerhalb des LANs erreichen kannst, bleibt daher noch ungeklärt.[swen@Sven-zBook ~]$ ping nzd11.de
PING nzd11.de (185.132.90.98) 56(84) bytes of data. [...]
Wenn du "www.nzd11.de" pingst, kriegst du vermutlich die IP des Router (192.168.100.1) zurück, richtig?
Daher: klappt ein Ping auf die LAN-IP des Hosts (192.168.100.irgendwas)?
Abschließend:
Bleibt also primär die Thematik DNS samt Domainverwendung und danach vermutlich noch ein kleiner Dreh an der Konfiguration des Webservers.
Nächste Schritte:
Um erstmal Klarheit in die Sache zu kriegen, arbeiten wir ein wenig mit der hosts-Datei des Gerätes (zBook von HP?), mit dem du die Webseite aus dem LAN aufrufen willst. Jene wird nämlich vor irgendeinem DNS-Server befragt. Damit umgehen wir den Eintrag auf dem NuCom erstmal. Verwendest du darauf Linux (unter /etc/hosts) oder Windows (bei Standard-Win10-Installation unter C:\Windows\System32\drivers\etc\hosts)?
- Dort trägst du dann die IP des Webservers im LAN und als Hostnamen "www.nzd11.de" sowie "nzd11.de" ein. Danach leerst du deinen DNS-Cache (oder startest neu).
- Jetzt prüfst du via "nslookup nzd11.de" und "nslookup www.nzd11.de", welche in wleche IP-Adresse diese Einträge aufgelöst werden. Alternativ geht auch ein Ping, wenn du auf die IP achtest.
- Und erst jetzt, wenn die Namen korrekt auf die LAN-IP des Webservers aufgelöst werden, rufst du im Browser "https://www.nzd11.de" und in einem weiteren Fenster / Tab "https://nzd11.de" auf. Warum explizit HTTPS? Für HTTP-Aufrufe hast du in der Config eine Weiterleitung auf HTTPS eingetragen. Den Faktor will ich ausschließen.
- Wenn das geklappt hat, kannst du auch den HTTP-Aufruf für die Weiterleitung testen.
- Danach schraubst du deine hosts-Datei wieder auf den Ausgangszustand zurück und leerst nochmal den DNS-Cache.
- Und wenn das alles geklappt hat, wissen wir, wo der Frosch die Locken hat und können uns auf die Lösung stürzen (sofern du nicht schon selbst drauf gekommen bist).
Auch wenn ich mich wiederhole: bitte sag uns, welche IP-Adresse der Webserver im LAN hat.
Zitat von @Benandi:
Man merkt, dass du noch nicht routiniert bist. Kommt aber noch
Bis dahin rate ich dir aus Prinzip, den Webserver möglichst nicht im Internet zu exponieren. Je weniger die Kisten abgesichert sind, desto schneller fangen sie sich was ein. Da der Host auch noch im gleichen Subnetz wie deine übrigen Privatgeräte stehen, würde sich das ungehindert ausbreiten.
Das Thema ist leider auch schon ziemlich durchgekaut.
- zusätzlicher Präfix: z. B. privat.nzd11.de
- andere Second Level Domain mit privater Top Level Domain: z. B. unfug.test
- oder gleiche Second Level Domain mit Verwendung privater Top Level Domain: z. B. nzd11.test
U. a. RFC2606 gibt Auskunft. Die andere RFC habe ich grade nicht zur Hand.
Willst du das überhaupt? Öffentlich hast du nur eine IPv4-Adresse, keinen passenden DNS-Eintrag und im LAN ohnehin kein IPv6 (wobei im LAN die Geräte meist selber IPv6 betreiben und der Router bei Kommunikation im gleichen Subnetz keinen Walzer spielt). Da wäre es sinniger, den Webserver nicht auf IPv6 reagieren zu lassen.
Nur um es zu verifizieren: welche IP hast du eingetragen? 185.132.90.98 oder 192.168.100.irgendwas? Und welche IP hast du nach dem Reload des Webservers aufzurufen versucht?
Ah, dann greifen die auch im LAN. Bitte bei der Fehlersuche berücksichtigen (auch wenn ich die Ursache für dein Problem anderswo vermute).
Aber:
Wenn du "www.nzd11.de" pingst, kriegst du vermutlich die IP des Router (192.168.100.1) zurück, richtig?
Daher: klappt ein Ping auf die LAN-IP des Hosts (192.168.100.irgendwas)?
Abschließend:
Bleibt also primär die Thematik DNS samt Domainverwendung und danach vermutlich noch ein kleiner Dreh an der Konfiguration des Webservers.
Nächste Schritte:
Um erstmal Klarheit in die Sache zu kriegen, arbeiten wir ein wenig mit der hosts-Datei des Gerätes (zBook von HP?), mit dem du die Webseite aus dem LAN aufrufen willst. Jene wird nämlich vor irgendeinem DNS-Server befragt. Damit umgehen wir den Eintrag auf dem NuCom erstmal. Verwendest du darauf Linux (unter /etc/hosts) oder Windows (bei Standard-Win10-Installation unter C:\Windows\System32\drivers\etc\hosts)?
- Dort trägst du dann die IP des Webservers im LAN und als Hostnamen "www.nzd11.de" sowie "nzd11.de" ein. Danach leerst du deinen DNS-Cache (oder startest neu).
- Jetzt prüfst du via "nslookup nzd11.de" und "nslookup www.nzd11.de", welche in wleche IP-Adresse diese Einträge aufgelöst werden. Alternativ geht auch ein Ping, wenn du auf die IP achtest.
- Und erst jetzt, wenn die Namen korrekt auf die LAN-IP des Webservers aufgelöst werden, rufst du im Browser "https://www.nzd11.de" und in einem weiteren Fenster / Tab "https://nzd11.de" auf. Warum explizit HTTPS? Für HTTP-Aufrufe hast du in der Config eine Weiterleitung auf HTTPS eingetragen. Den Faktor will ich ausschließen.
- Wenn das geklappt hat, kannst du auch den HTTP-Aufruf für die Weiterleitung testen.
- Danach schraubst du deine hosts-Datei wieder auf den Ausgangszustand zurück und leerst nochmal den DNS-Cache.
- Und wenn das alles geklappt hat, wissen wir, wo der Frosch die Locken hat und können uns auf die Lösung stürzen (sofern du nicht schon selbst drauf gekommen bist).
Auch wenn ich mich wiederhole: bitte sag uns, welche IP-Adresse der Webserver im LAN hat.
Man merkt, dass du noch nicht routiniert bist. Kommt aber noch
Bis dahin rate ich dir aus Prinzip, den Webserver möglichst nicht im Internet zu exponieren. Je weniger die Kisten abgesichert sind, desto schneller fangen sie sich was ein. Da der Host auch noch im gleichen Subnetz wie deine übrigen Privatgeräte stehen, würde sich das ungehindert ausbreiten.
Das Thema ist leider auch schon ziemlich durchgekaut.
Zitat von @swenews:
Meh... Das Thema kommt hier regelmäßig hoch; zuletzt hier. Kurz: die Konstellation ist absolut nicht empfehlenswert, denn genau solche Probleme, wie du sie gerade erfährst, resultieren daraus. Zwei, drei Ansätze:Zitat von @Benandi:
[...] Verwendest du bei dir im LAN die gleiche Domain wie im WAN? Wenn ja, weißt du schon mal, warum du auf dem Router landest. [...]
Ja, das ist der Fall.[...] Verwendest du bei dir im LAN die gleiche Domain wie im WAN? Wenn ja, weißt du schon mal, warum du auf dem Router landest. [...]
- zusätzlicher Präfix: z. B. privat.nzd11.de
- andere Second Level Domain mit privater Top Level Domain: z. B. unfug.test
- oder gleiche Second Level Domain mit Verwendung privater Top Level Domain: z. B. nzd11.test
U. a. RFC2606 gibt Auskunft. Die andere RFC habe ich grade nicht zur Hand.
[...] Du hast explizit IPv4 und IPv6 aktiviert. Funktioniert der Zugriff über keines der beiden Protokolle? Ist IPv6 im LAN überhaupt aktiv?
Nein, IPv6 ist nicht aktiv, das ändere ich.Dann hast du in der Config noch explizit "server_name" angegeben. Dort ist keine IP-Adresse angegeben. Ergo muss die Namensauflösung im LAN zwingend funktionieren, da der Webserver sonst nciht weiß, welchen Serverblock er ausrollen soll.
Testweise kannst du dort zusätzlich noch die IP des Hosts im LAN eintragen und versuchen, die Webseite via LAN-IP (nicht DNS) zu öffnen. Wenn das klappt, weißt du, wo du drehen musst: https://nginx.org/en/docs/http/server_names.html und beim DNS ;)
Hab ich versucht, aber ohne Erfolg.Testweise kannst du dort zusätzlich noch die IP des Hosts im LAN eintragen und versuchen, die Webseite via LAN-IP (nicht DNS) zu öffnen. Wenn das klappt, weißt du, wo du drehen musst: https://nginx.org/en/docs/http/server_names.html und beim DNS ;)
Ich hoffe einfach mal, dass am Router kein simples ein Portforwarding ins LAN eingestellt wurde. Existieren Schutzmaßnahmen? Wenn ja, welche?
Nur auf Serverseite. Ich sehe schon, dass ich noch viel lernen muss!!!Ist der Host pingbar? (Vermutlich ja, denn irgendwie muss er ja konfiguriert worden sein.)
Ja.Das Anpingen funktioniert.
[swen@Sven-zBook ~]$ ping nzd11.de
PING nzd11.de (185.132.90.98) 56(84) bytes of data. [...]
Da wird der Name auf die öffentliche IP aufgelöst (weil der zuständige DNS-Server einen CNAME-Eintrag dafür hat und dein lokaler DNS-Server in Ermangelung eines solchen die Anfrage ins WAN weiter gibt). Ob du den Webserver bzw. den Hosts innerhalb des LANs erreichen kannst, bleibt daher noch ungeklärt.[swen@Sven-zBook ~]$ ping nzd11.de
PING nzd11.de (185.132.90.98) 56(84) bytes of data. [...]
Wenn du "www.nzd11.de" pingst, kriegst du vermutlich die IP des Router (192.168.100.1) zurück, richtig?
Daher: klappt ein Ping auf die LAN-IP des Hosts (192.168.100.irgendwas)?
Abschließend:
Bleibt also primär die Thematik DNS samt Domainverwendung und danach vermutlich noch ein kleiner Dreh an der Konfiguration des Webservers.
Nächste Schritte:
Um erstmal Klarheit in die Sache zu kriegen, arbeiten wir ein wenig mit der hosts-Datei des Gerätes (zBook von HP?), mit dem du die Webseite aus dem LAN aufrufen willst. Jene wird nämlich vor irgendeinem DNS-Server befragt. Damit umgehen wir den Eintrag auf dem NuCom erstmal. Verwendest du darauf Linux (unter /etc/hosts) oder Windows (bei Standard-Win10-Installation unter C:\Windows\System32\drivers\etc\hosts)?
- Dort trägst du dann die IP des Webservers im LAN und als Hostnamen "www.nzd11.de" sowie "nzd11.de" ein. Danach leerst du deinen DNS-Cache (oder startest neu).
- Jetzt prüfst du via "nslookup nzd11.de" und "nslookup www.nzd11.de", welche in wleche IP-Adresse diese Einträge aufgelöst werden. Alternativ geht auch ein Ping, wenn du auf die IP achtest.
- Und erst jetzt, wenn die Namen korrekt auf die LAN-IP des Webservers aufgelöst werden, rufst du im Browser "https://www.nzd11.de" und in einem weiteren Fenster / Tab "https://nzd11.de" auf. Warum explizit HTTPS? Für HTTP-Aufrufe hast du in der Config eine Weiterleitung auf HTTPS eingetragen. Den Faktor will ich ausschließen.
- Wenn das geklappt hat, kannst du auch den HTTP-Aufruf für die Weiterleitung testen.
- Danach schraubst du deine hosts-Datei wieder auf den Ausgangszustand zurück und leerst nochmal den DNS-Cache.
- Und wenn das alles geklappt hat, wissen wir, wo der Frosch die Locken hat und können uns auf die Lösung stürzen (sofern du nicht schon selbst drauf gekommen bist).
Auch wenn ich mich wiederhole: bitte sag uns, welche IP-Adresse der Webserver im LAN hat.
Das mit dem host Eintrag hat funktioniert. Ich kann die Seite über http www usw aufrufen und werde auf https://nzd11.de/ weitergeleitet und die Seite wird korrekt dargestellt.
[swen@Sven-zBook ~]$ nslookup nzd11.de
Server: 127.0.0.53
Address: 127.0.0.53#53
Name: nzd11.de
Address: 192.168.100.50
[swen@Sven-zBook ~]$ nslookup www.nzd11.de
Server: 127.0.0.53
Address: 127.0.0.53#53
Name: www.nzd11.de
Address: 192.168.100.50
Der Server hat im lan die .50
Den Server denke ich, habe ich in mehreren Schritten gut abgesichert. Ich installiere und konfiguriere regelmäßig Server auf vultr, das klappt mittlerweile sehr gut und auch schnell. Alles läuft wie es soll, auch von der Sicherheit her.
Nur mit Serverdiensten im eigenen lan habe ich noch nicht sehr viel Ahnung. Mit dazu gehört auch das Thema Netzwerk, was mich aber sehr interessiert aber im Moment noch sehr schwer zu verstehen ist, für mich zumindest.
Auf dem Homeserver sollen nur ein paar Dienste laufen, die ich von außen abfragen kann, also keine Website. Mein Wunsch wäre eigentlich, dass ich mit einer whitelist arbeite, wenn das möglich ist, und nur bestimmten Geräten Zugang gewähre.
Aber eins nach dem anderen!
Das jetzige Problem, so wie ich das sehe ist, dass es an meiner DNS Auflösung liegt.
Was ich mich aber hauptsächlich frage ist, ob ich das mit dem Router so lasse, oder ob ich gleich auch etwas Vernünftiges umsteige. Welche Möglichkeiten habe ich da? Den NuCom komplett raus, oder einen anderen Router nachschalten?
Zudem sollte ich mir Gedanken machen, wie ich mein lan neu konfiguriere und das private lan trenne. Von den Gedanken her habe ich eine Richtung, nur wie ich das angehen soll weiß ich noch nicht.
Habt ihr hierfür Vorschläge?
Hallo,
Im Endeffekt brauchst du Harpin Nat an deinem Router.
Alternativ kannst du einen eigenen DNS Server Netzintern aufsetzen somit kannst du dann zumindest über den Hostname, Netzintern drauf zugreifen.
Im Endeffekt brauchst du Harpin Nat an deinem Router.
Alternativ kannst du einen eigenen DNS Server Netzintern aufsetzen somit kannst du dann zumindest über den Hostname, Netzintern drauf zugreifen.
Zitat von @wiesi200:
Hallo,
Im Endeffekt brauchst du Harpin Nat an deinem Router.
Alternativ kannst du einen eigenen DNS Server Netzintern aufsetzen somit kannst du dann zumindest über den Hostname, Netzintern drauf zugreifen.
Hallo,
Im Endeffekt brauchst du Harpin Nat an deinem Router.
Alternativ kannst du einen eigenen DNS Server Netzintern aufsetzen somit kannst du dann zumindest über den Hostname, Netzintern drauf zugreifen.
Was ist die bessere Alternative im Hinblick darauf, das Ganze sauber zu verwalten, auch im Hinblick auf die Sicherheit der jetzigen Konstellation?
Einen anständigen Router (Cisco?), oder es so lassen mit eigenem DNS Server?
Bestenfalls baust du dir eine eigene DMZ auf, z.B. über 2 verschachtelte Router.
Der 1. Router ist dann mit Uplink verbunden und hat hinter sich den 2. Router und deinen Server.
Dadurch hast du 2 logisch getrennte Netze.
LG
Der 1. Router ist dann mit Uplink verbunden und hat hinter sich den 2. Router und deinen Server.
Dadurch hast du 2 logisch getrennte Netze.
LG
Hallo zusammen!
Ich habe einen Entschluss gefasst und werde, bevor ich den Server ins Wan stelle, erst das Thema Router und Firewall klären. Da der jetzige Router so gut wie keine Änderungen zu lässt, ist das der erste Punkt wo ich ansetzen möchte.
Da mir das Ganze auch Spaß macht möchte ich auf eine Eigenbaulösung mit opnsens setzen. Die Hardware hab ich schon rausgesucht, Super Micro MBD-X11SSH-LN4F-O mit Intel Xeon E3-1270 V6 3.8 Ghz.
Vielen Dank für eure Denkanstöße!
Ich habe einen Entschluss gefasst und werde, bevor ich den Server ins Wan stelle, erst das Thema Router und Firewall klären. Da der jetzige Router so gut wie keine Änderungen zu lässt, ist das der erste Punkt wo ich ansetzen möchte.
Da mir das Ganze auch Spaß macht möchte ich auf eine Eigenbaulösung mit opnsens setzen. Die Hardware hab ich schon rausgesucht, Super Micro MBD-X11SSH-LN4F-O mit Intel Xeon E3-1270 V6 3.8 Ghz.
Vielen Dank für eure Denkanstöße!
1