Welche NAT-Einstellungen muss ich bei 2 HTTPS-Webinterfaces über eine öffentliche IP-Adresse tätigen?
Hallo Forum,
es geht um folgendes Szenario:
Ich habe EINE DynDNS-Adresse und möchte damit 2 HTTPS-Webinterfaces in meinem Netzwerk ansprechen.
1. Webinterface ist mein Router (Port 443)
2. Webinterface ist mein Server (Port 477) oder irgendein anderen Port
Was für einstellungen muss ich in meinem Router tätigen? Bezüglich NAT, und brauche ich dafür Dest-NAT und Soruce-NAT?
Hier ein Screenshot von dem NAT-Menü in meinem Router:
Als info, mit HTTP hat das alles funktioniert. Ich habe mir einen IIS installiert und den auf port 8080 laufen lassen. Dann konnte ich per ip xxx.xxx.xxx.xxx:8080 bzw 80 auf 2 Server zugreifen.
Nur das ganze mit HTTPS habe ich noch nicht hinbekommen...
es geht um folgendes Szenario:
Ich habe EINE DynDNS-Adresse und möchte damit 2 HTTPS-Webinterfaces in meinem Netzwerk ansprechen.
1. Webinterface ist mein Router (Port 443)
2. Webinterface ist mein Server (Port 477) oder irgendein anderen Port
Was für einstellungen muss ich in meinem Router tätigen? Bezüglich NAT, und brauche ich dafür Dest-NAT und Soruce-NAT?
Hier ein Screenshot von dem NAT-Menü in meinem Router:
Als info, mit HTTP hat das alles funktioniert. Ich habe mir einen IIS installiert und den auf port 8080 laufen lassen. Dann konnte ich per ip xxx.xxx.xxx.xxx:8080 bzw 80 auf 2 Server zugreifen.
Nur das ganze mit HTTPS habe ich noch nicht hinbekommen...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173665
Url: https://administrator.de/contentid/173665
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
6 Kommentare
Neuester Kommentar
TCP 477 solltest du besser nicht verwenden wenn du über öffentliche Netze gehst, denn das ist von der IANA weltweit dem SS7 Servive zugewiesen:
http://meineipadresse.de/html/ip-ports.php
Alle Ports <1024 sind weltweit festen Diensten zugewiesen !
Es ist auch nicht gerade sehr intelligent die bekannten Ports für ein Port Forwarding (oder Port Weiterleitung) zu verwenden, denn dann ist es lediglich einen Frage von Minuten wann Port Scanner und Script Kiddies diese deine Löcher in der Firewall gefunden haben und entsprechende Angriffe starten... Vergiss das besser !
Sinnvoller ist es für sowas die freien Ports 49152 to 65535 dafür zu verwenden.
Diese Ports werden in der Regel von keinem Scanner benutzt und damit gewinnst du wenigstens etwas mehr Sicherheit durch Port Verschleierung.
Was du also machst ist ein simples Port Translation:
Eingehend TCP 54443 auf ausgehend <lokale feste Server IP> Port TCP 443
Fertig !
Dein Menü oben ist auch das NAT Menü, du müsstest aber bei Port Weiterleitung oder Port Forwarding nachsehen !
Mit dem Browser URL https://<dsl-ipx.x.x.x>:54443 oder https://mein-router.homeip.net:54443 (DynDNS) greifst du dann auf deienn internen Web Server zu.
Das Konfig Interface des Routers sollte man generell aus Sicherheitsgünden für die Benutzung via Internt abschalten.
Wenn du es dennoch nicht lassen kannst oder das Risiko eingehen willst dann schlate das einfach frei. Mit https://<dsl-ipx.x.x.x> oder https://mein-router.homeip.net (DynDNS) greifst du dann auf den Router zu via Internet.
So einfach ist das !!
http://meineipadresse.de/html/ip-ports.php
Alle Ports <1024 sind weltweit festen Diensten zugewiesen !
Es ist auch nicht gerade sehr intelligent die bekannten Ports für ein Port Forwarding (oder Port Weiterleitung) zu verwenden, denn dann ist es lediglich einen Frage von Minuten wann Port Scanner und Script Kiddies diese deine Löcher in der Firewall gefunden haben und entsprechende Angriffe starten... Vergiss das besser !
Sinnvoller ist es für sowas die freien Ports 49152 to 65535 dafür zu verwenden.
Diese Ports werden in der Regel von keinem Scanner benutzt und damit gewinnst du wenigstens etwas mehr Sicherheit durch Port Verschleierung.
Was du also machst ist ein simples Port Translation:
Eingehend TCP 54443 auf ausgehend <lokale feste Server IP> Port TCP 443
Fertig !
Dein Menü oben ist auch das NAT Menü, du müsstest aber bei Port Weiterleitung oder Port Forwarding nachsehen !
Mit dem Browser URL https://<dsl-ipx.x.x.x>:54443 oder https://mein-router.homeip.net:54443 (DynDNS) greifst du dann auf deienn internen Web Server zu.
Das Konfig Interface des Routers sollte man generell aus Sicherheitsgünden für die Benutzung via Internt abschalten.
Wenn du es dennoch nicht lassen kannst oder das Risiko eingehen willst dann schlate das einfach frei. Mit https://<dsl-ipx.x.x.x> oder https://mein-router.homeip.net (DynDNS) greifst du dann auf den Router zu via Internet.
So einfach ist das !!
Lass bitte den Unsinn mit externen Bilder URL ! Wenn du auf "Meine beiträge" gehst und deinen Thread editierst mit Klicken auf Bearbeiten wirst du dort eine tolle Bilder Hochlad Funktion sehen.
Den daraus resulierenden Bilder URL cut and pastest du mit einem Rechtsklick und setzt ihn hier in jeglichen Text ein !
Das erspart uns das Klicken auf solche externen Links und Zwangswerbung
Zurück zu deinem Problem:
Das Starten der Server auf unterschiedlichen Ports ist eigentlich unsinnig. Es sei denn sie arbeiten auf dem gleichen physischen Host.
Du machst ja am Router die Port translation die dir die eingehenden TCP Ports ja auch die lokalen umsetzen. Wenn das dann wieder 2 lokal unterschiedliche IPs sind ist alles in Butter.
Fraglich ist ob dein Router diese Port sauber forwardet...vermutlich wohl nicht.
Am besten installierst du mal Wireshark, tcpdump, NetMonitor oder einen anderen Sniffer und checkst ob diese Oakete überhaupt sauber vom Router auf den Server sprich die IP geforwardet werden.
Den daraus resulierenden Bilder URL cut and pastest du mit einem Rechtsklick und setzt ihn hier in jeglichen Text ein !
Das erspart uns das Klicken auf solche externen Links und Zwangswerbung
Zurück zu deinem Problem:
Das Starten der Server auf unterschiedlichen Ports ist eigentlich unsinnig. Es sei denn sie arbeiten auf dem gleichen physischen Host.
Du machst ja am Router die Port translation die dir die eingehenden TCP Ports ja auch die lokalen umsetzen. Wenn das dann wieder 2 lokal unterschiedliche IPs sind ist alles in Butter.
Fraglich ist ob dein Router diese Port sauber forwardet...vermutlich wohl nicht.
Am besten installierst du mal Wireshark, tcpdump, NetMonitor oder einen anderen Sniffer und checkst ob diese Oakete überhaupt sauber vom Router auf den Server sprich die IP geforwardet werden.
Das musst du nur machen wenn die Webserver auf einem physischen System sind, denn das kann logischerweise nicht einen TCP/UDP Port mit 2 Prozessen bedienen. Keine Aussage von dir dazu... und machen tut das ja auch normalerweise keiner..
Fazit: Es bleibt also beim simplen Port Translation auf dem Router...fertisch !
Das funktioniert problemlos...wenn man denn weiss was man macht ?!
Fazit: Es bleibt also beim simplen Port Translation auf dem Router...fertisch !
Das funktioniert problemlos...wenn man denn weiss was man macht ?!