timo2306
Goto Top

Welche NAT-Einstellungen muss ich bei 2 HTTPS-Webinterfaces über eine öffentliche IP-Adresse tätigen?

Hallo Forum,

es geht um folgendes Szenario:

Ich habe EINE DynDNS-Adresse und möchte damit 2 HTTPS-Webinterfaces in meinem Netzwerk ansprechen.

1. Webinterface ist mein Router (Port 443)
2. Webinterface ist mein Server (Port 477) oder irgendein anderen Port

Was für einstellungen muss ich in meinem Router tätigen? Bezüglich NAT, und brauche ich dafür Dest-NAT und Soruce-NAT?
Hier ein Screenshot von dem NAT-Menü in meinem Router:
8931f11aefe8e632c0844881f38a9753

Als info, mit HTTP hat das alles funktioniert. Ich habe mir einen IIS installiert und den auf port 8080 laufen lassen. Dann konnte ich per ip xxx.xxx.xxx.xxx:8080 bzw 80 auf 2 Server zugreifen.
Nur das ganze mit HTTPS habe ich noch nicht hinbekommen...

Content-ID: 173665

Url: https://administrator.de/contentid/173665

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

aqui
aqui 26.09.2011 um 10:28:30 Uhr
Goto Top
TCP 477 solltest du besser nicht verwenden wenn du über öffentliche Netze gehst, denn das ist von der IANA weltweit dem SS7 Servive zugewiesen:
http://meineipadresse.de/html/ip-ports.php
Alle Ports <1024 sind weltweit festen Diensten zugewiesen !
Es ist auch nicht gerade sehr intelligent die bekannten Ports für ein Port Forwarding (oder Port Weiterleitung) zu verwenden, denn dann ist es lediglich einen Frage von Minuten wann Port Scanner und Script Kiddies diese deine Löcher in der Firewall gefunden haben und entsprechende Angriffe starten... Vergiss das besser !
Sinnvoller ist es für sowas die freien Ports 49152 to 65535 dafür zu verwenden.
Diese Ports werden in der Regel von keinem Scanner benutzt und damit gewinnst du wenigstens etwas mehr Sicherheit durch Port Verschleierung.
Was du also machst ist ein simples Port Translation:
Eingehend TCP 54443 auf ausgehend <lokale feste Server IP> Port TCP 443
Fertig !
Dein Menü oben ist auch das NAT Menü, du müsstest aber bei Port Weiterleitung oder Port Forwarding nachsehen !
Mit dem Browser URL https://<dsl-ipx.x.x.x>:54443 oder https://mein-router.homeip.net:54443 (DynDNS) greifst du dann auf deienn internen Web Server zu.
Das Konfig Interface des Routers sollte man generell aus Sicherheitsgünden für die Benutzung via Internt abschalten.
Wenn du es dennoch nicht lassen kannst oder das Risiko eingehen willst dann schlate das einfach frei. Mit https://<dsl-ipx.x.x.x> oder https://mein-router.homeip.net (DynDNS) greifst du dann auf den Router zu via Internet.
So einfach ist das !!
Timo2306
Timo2306 26.09.2011 um 14:19:03 Uhr
Goto Top
Das mit den Ports wusste ich... habe es aber nicht ernst genommen. Benutze jetzt einen freien Port.
Ich habe mehrmals in meinem Router nachgeschaut aber keine Option für Port Forwarding gefunden.
Evtl ist dieses Menü unter einem anderen Begriff aufgelistet, desswegen habe ich mal einen Screeshot von den Verfügbaren Inhalten gemacht

http://imageshack.us/photo/my-images/694/menmo.jpg/

In den NAT-Einstellungen gibt es aber auch die Möglichkeit einen Service einzustellen und eine Port Translation durchzuführen.
Also ich denke schon, dass ich im richtigen Menü bin.

Ich versteh nicht so wirklich wieso der HTTP Zugriff funktionierte, nochmal zur Erinnerung:

Ich habe einen Server auf Port 80 und einen zweiten auf Port 8080 gestartet und mit der Adresse xxx.xxx.xxx.xxx:80 bzw :8080 bin ich auf die unteschiedlichen Server gekommen.

Das gleiche habe ich dann mit HTTPS versucht, also wenn auf Port xxxxx eine Anfrage rein kommt, dass der Router diese an Destination x mit Service x Umleitet,
hat aber nicht funktioniert.
aqui
aqui 26.09.2011 um 16:30:25 Uhr
Goto Top
Lass bitte den Unsinn mit externen Bilder URL ! Wenn du auf "Meine beiträge" gehst und deinen Thread editierst mit Klicken auf Bearbeiten wirst du dort eine tolle Bilder Hochlad Funktion sehen.
Den daraus resulierenden Bilder URL cut and pastest du mit einem Rechtsklick und setzt ihn hier in jeglichen Text ein !
Das erspart uns das Klicken auf solche externen Links und Zwangswerbung face-sad
Zurück zu deinem Problem:
Das Starten der Server auf unterschiedlichen Ports ist eigentlich unsinnig. Es sei denn sie arbeiten auf dem gleichen physischen Host.
Du machst ja am Router die Port translation die dir die eingehenden TCP Ports ja auch die lokalen umsetzen. Wenn das dann wieder 2 lokal unterschiedliche IPs sind ist alles in Butter.
Fraglich ist ob dein Router diese Port sauber forwardet...vermutlich wohl nicht.
Am besten installierst du mal Wireshark, tcpdump, NetMonitor oder einen anderen Sniffer und checkst ob diese Oakete überhaupt sauber vom Router auf den Server sprich die IP geforwardet werden.
Timo2306
Timo2306 27.09.2011 um 08:10:15 Uhr
Goto Top
Zitat von @aqui:
Das starten der Server auf unterschiedlichen Ports ist eigentlich unsinnig


Dann erklät mir doch bitte wie ich sonst meine 2 Webinterfaces mit einer Adresse ereichen kann.
aqui
aqui 27.09.2011 um 15:46:45 Uhr
Goto Top
Das musst du nur machen wenn die Webserver auf einem physischen System sind, denn das kann logischerweise nicht einen TCP/UDP Port mit 2 Prozessen bedienen. Keine Aussage von dir dazu... und machen tut das ja auch normalerweise keiner..
Fazit: Es bleibt also beim simplen Port Translation auf dem Router...fertisch !
Das funktioniert problemlos...wenn man denn weiss was man macht ?!
Timo2306
Timo2306 27.09.2011 um 16:09:28 Uhr
Goto Top
Zitat von @aqui:
Das musst du nur machen wenn die Webserver auf einem physischen System sind


deine Aussagen wiedersprechen sich. Denn ich brauche eben 2 unterschiedliche Ports wenn ich mit dem gleichen Protokoll und nur mit einer externen Adresse auf 2 physische Webserver zugreifen will (so habe ich es auch oben beschrieben).
In dem Fall kommt dann die Port Translation ins Spiel.

Was auch mittlerweile funktioniert!
Zur Info: Es lag an der Router Firewall, dort habe ich eingestellt, dass der eingehende prot (xxxx) und der ausgehende port (443) zugelassen werden.
Jetzt kann ich wie ich es mir vorgestellt habe per DynDNS entscheiden ob ich auf xxx.xxx.xxx.xxx:xxxx oder halt :443 möchte.