jochem
Goto Top

Wie einen Eigenen Web-Server ins Internet bringen?

Moin zusammen,
ich trage mich seit geraumer Zeit mit der Idee, einen eigenen Web-Server von zu Hause im Internet zur Verfügung zu stellen, um mal von unterwegs darauf zugreifen zu können. Nun soll dieser Server zunächst mal nicht 24/7 in Betrieb sein, sondern nur "auf Abruf" sozusagen. Ich will erstmal testen, was ich so zustande bringe und wie ich das kommuniziere. Wenn es dann zu meiner Zufriedenheit läuft, werde ich das Projekt dann richtig auf die Füsse stellen. Das ist alles noch relativ Neuland für mich, daher brauch ich wahrscheinlich mehrere Anläufe, bis es funktioniert.

Mal kurz zur HW-Umgebung: über einen Speedport W500V geht der Zugang mit t-mobile ins Netz. Am LAN-Zugang des Speedport hängt ein IPCop mit Schnittstellen nach ROT (Internet über Speedport), GRUEN (sicheres Heim-Netz) und ORANGE (DMZ mit dem Web-Server). Die Schnittstellen an ROT, GRUEN und ORANGE bedienen jeweils eigene Netze. Speedport und IPCop hängen somit in einem Netz. Für den Bereich IPCop werde ich die Kollegen aus dem IPCop-Forum fragen. Hier geht es mir um die Einstellungen am Speedport und die Weiterleitung.

Um das Ganze nun noch etwas prickelnder zu gestalten, möchte ich den Web-Server per WakeOnWAN von extern starten. Dazu ist es notwendig, daß zumindest der Speedport eingeschaltet ist.

Was ich mir bisher angelesen habe:

- Um einen Rechner per WOL /WOW aufwecken zu können (hardwaretechnische Voraussetzungen gelten als erfüllt), muß dieser Rechner eine öffentliche IP haben. Über DynDNS.org habe ich eine solche Adresse bestellt. Für die Reservierung bei DynDNS.org trage ich ja im Menü die IP-Adresse des Speedport ein, den dieser von meinem ISP zugeteilt bekommen hat. Dies Zuteilung wechselt jedoch täglich.
Frage: Wie bekommt DynDNS mit, das unter dem DNS meinserver.dyndns.org eine neue IP-Adresse zugeteilt worden ist?

- WOL-Paket werden über UDP Port 9 verteilt. Entsprechend muß ich am Speedport eine Weiterleitung von Port 9 auf den Web-Server vornehmen. Der Web-Server befindet sich wie oben beschrieben an der Schnittstelle ORANGE des IPCop. Dieser ist aber noch nicht eingeschaltet. Dementsprechend kann also eine Weiterleitung nicht stattfinden.
Frage: Reicht es, wenn ich die WOL-Paket über UDP Port 9 an den IPCop weiterleite und von dort dann weiter an den Web-Server in ORANGE?

- Zum Aufwecken benötige ich die IP- und MAC-Adresse des Rechners, den ich aufwecken will. Das Magic-Paket schicke ich dann an die Broadcast-Adresse des Netzes, in dem sich der aufzuweckende Rechner befindet. Ich hab hier mal einen Schnipsel aus der entsprechenden Batch-Datei, mit der ich meinen Büro-Rechner von zu Hause aus starten kann (Angaben verfremdet):

set pw=passwort
set mac=01:23:45:67:89:ab

plink.exe -ssh wol@xxx.xxx.xxx.xxx -pw +#wol wakeonlan -i 192.168.10.255 %mac%

Frage: Welche Adresse trage ich bei den Platzhaltern ein? Für unser Netz ist das klar: ein Server, mit dem Software-Verteilung duchgeführt wird (OPSI).

- Wenn ich über einen Laptop, der an der Schnittstelle ROT des IPCop angeschlossen ist, also sich im gleichen Netz wie IPCop und Speedport befindet, über einen Browser eine Verbindung zu meinserver.dyndns.org herstelle, lande ich im Konfigurationsmenü des Speedport. Das kann so natürlich nicht bleiben.
Frage: Was muß ich tun, damit dieses Szenario zukünftig nicht mehr auftritt? Oder war das nun Zufall, da ich ja "von drinnen" versucht habe, eine Adresse "von draußen" zu erreichen?

- Wenn ich den Web-Server aus dem Internet erreichbar machen will, muß dieser entsprechende Dienste anbieten.
Frage: Heißt das nun wieder im Umkehrschluß, daß auf dem Speedport die Dienste HTTP bzw HTTPS mit den zugehörigen Ports explizit an den Web-Server weitergeleitet werden müssen, oder läßt der Speedport nicht generell diese Dienste passieren und ich muß erst später (auf dem IPCop) diese Weiterleitung einrichten?

Für die spätere Nutzung will ich mich dann per Laptop von unterwegs auf dem Server anmelden.
Frage: Soll für diese Verbindung besser ein VPN-Tunnel eingerichtet werden?

So, ich denke mal, das reicht fürs Erste. Bitte um mreichlich Input, auch Links zu entsprechenden HowTos sind willkommen. Evtl. sind ja eineige dabei, die ich noch nicht kenne. Den Artikel über Wake on WAN bei heise hab ich durchgelesen, ebenso die Dokumentation zu OpenVPN auf deren Webseite.

Gruß J face-smile chem

Content-ID: 154832

Url: https://administrator.de/forum/wie-einen-eigenen-web-server-ins-internet-bringen-154832.html

Ausgedruckt am: 24.12.2024 um 13:12 Uhr

iVirusYx
iVirusYx 11.11.2010 um 11:24:36 Uhr
Goto Top
Weisst du schon wie das NAT funktioniert? Dann wuerden sich viele Fragen von selbst klaeren face-smile
http://en.wikipedia.org/wiki/Network_address_translation

Frage: Wie bekommt DynDNS mit, das unter dem DNS meinserver.dyndns.org eine neue IP-Adresse zugeteilt worden ist?

DynDNS hat einen Clienten den du auf einem PC installieren kannst der dann immer DynDNS updated,
oder dien Speedport unterstuezt auch denke ich DynDNs wo du dein account konfigurieren kannst,


Frage: Reicht es, wenn ich die WOL-Paket über UDP Port 9 an den IPCop weiterleite und von dort dann weiter an den Web-Server in ORANGE?

Soweit ich weiss bekommt der DMZ doch eine direkte IP Addresse vom Speedport ohne dass ein Firewall hindert.
Du solltest also den Speedport auf den Rechner weiterleiten nicht auf IPCop


Frage: Welche Adresse trage ich bei den Platzhaltern ein? Für unser Netz ist das klar: ein Server, mit dem Software-Verteilung duchgeführt wird (OPSI).

Ich glaube hier ist deine WAN-Addresse noetig ergo dein dynDNS subdomain


Frage: Was muß ich tun, damit dieses Szenario zukünftig nicht mehr auftritt? Oder war das nun Zufall, da ich ja "von drinnen" versucht habe, eine
Adresse "von draußen" zu erreichen?

Dein laptop ist Netzwerkintern also kannst du das nciht aendern sofern dein Speedport keine bestimmte einstellung dazu hat,


Frage: Heißt das nun wieder im Umkehrschluß, daß auf dem Speedport die Dienste HTTP bzw HTTPS mit den zugehörigen Ports explizit an den Web-
Server weitergeleitet werden müssen, oder läßt der >Speedport nicht generell diese Dienste passieren und ich muß erst später (auf dem IPCop) diese > Weiterleitung einrichten?

Thema NAT. Die Dienst sind von LAN nach WAN zugelassen, von WAN nach LAn musst du alles am Speedport forwarden.
Da du in einer DMZ bist musst du glaube ich an IPCop nix machen.


Frage: Soll für diese Verbindung besser ein VPN-Tunnel eingerichtet werden?

Thema NAT. Ein VPN erlaubt dir sozusagen ausserhalb in deinem Netzwerk zu sein.

MFG
Michel
Stormbob
Stormbob 11.11.2010 um 11:27:07 Uhr
Goto Top
- Um einen Rechner per WOL /WOW aufwecken zu können (hardwaretechnische Voraussetzungen gelten als erfüllt), muß
dieser Rechner eine öffentliche IP haben. Über DynDNS.org habe ich eine solche Adresse bestellt. Für die
Reservierung bei DynDNS.org trage ich ja im Menü die IP-Adresse des Speedport ein, den dieser von meinem ISP zugeteilt
bekommen hat. Dies Zuteilung wechselt jedoch täglich.
Frage: Wie bekommt DynDNS mit, das unter dem DNS meinserver.dyndns.org eine neue IP-Adresse zugeteilt worden ist?

Diese Funktionalität bietet eigentlich fast jeder DSL-Router. Menüpunkt suchen, DynDns-Daten eintragen und es geht automatisch.

- WOL-Paket werden über UDP Port 9 verteilt. Entsprechend muß ich am Speedport eine Weiterleitung von Port 9 auf den
Web-Server vornehmen. Der Web-Server befindet sich wie oben beschrieben an der Schnittstelle ORANGE des IPCop. Dieser ist aber
noch nicht eingeschaltet. Dementsprechend kann also eine Weiterleitung nicht stattfinden.
Frage: Reicht es, wenn ich die WOL-Paket über UDP Port 9 an den IPCop weiterleite und von dort dann weiter an den Web-Server
in ORANGE?

IPCop ist doch linuxbasiert, oder? Script auf IPCop draufpacken (hat ja Zugang zur DMZ), und das teil via SSH anstoßen. Dann weiss man auch,
dass es klappt :-P

- Zum Aufwecken benötige ich die IP- und MAC-Adresse des Rechners, den ich aufwecken will. Das Magic-Paket schicke ich dann
an die Broadcast-Adresse des Netzes, in dem sich der aufzuweckende Rechner befindet. Ich hab hier mal einen Schnipsel aus der
entsprechenden Batch-Datei, mit der ich meinen Büro-Rechner von zu Hause aus starten kann (Angaben verfremdet):

set pw=passwort
set mac=01:23:45:67:89:ab

plink.exe -ssh wol@xxx.xxx.xxx.xxx -pw +#wol wakeonlan -i 192.168.10.255 %mac%

Frage: Welche Adresse trage ich bei den Platzhaltern ein? Für unser Netz ist das klar: ein Server, mit dem
Software-Verteilung duchgeführt wird (OPSI).

Dem Script nach zu urteilen handelt es sich dabei um die WAN-Adresse. Wie oben angesprochen ist dieses Script dazugedacht
auf einer Linux-Maschine das WOL-Paket zu verschicken, also nicht über eine WAN-Strecke face-wink

- Wenn ich über einen Laptop, der an der Schnittstelle ROT des IPCop angeschlossen ist, also sich im gleichen Netz wie IPCop
und Speedport befindet, über einen Browser eine Verbindung zu meinserver.dyndns.org herstelle, lande ich im
Konfigurationsmenü des Speedport. Das kann so natürlich nicht bleiben.
Frage: Was muß ich tun, damit dieses Szenario zukünftig nicht mehr auftritt? Oder war das nun Zufall, da ich ja
"von drinnen" versucht habe, eine Adresse "von draußen" zu erreichen?

NAT. Bring dem Speedport bei wohin er Port 80 zu schieben hat. Der Loop "von drinnen nach drinnen" funktioniert, könnte aber
je nach Firwalleinstellung zu merkwürdigen Fehlern führen

- Wenn ich den Web-Server aus dem Internet erreichbar machen will, muß dieser entsprechende Dienste anbieten.
Frage: Heißt das nun wieder im Umkehrschluß, daß auf dem Speedport die Dienste HTTP bzw HTTPS mit den
zugehörigen Ports explizit an den Web-Server weitergeleitet werden müssen, oder läßt der Speedport nicht
generell diese Dienste passieren und ich muß erst später (auf dem IPCop) diese Weiterleitung einrichten?

NAT, s.o.

Für die spätere Nutzung will ich mich dann per Laptop von unterwegs auf dem Server anmelden.
Frage: Soll für diese Verbindung besser ein VPN-Tunnel eingerichtet werden?

Linux-Server oder Windows-Server? SSH-Server installiert, dann kommst du mit Putty von extern nach intern
und sparst dir den VPN


So long
Arch-Stanton
Arch-Stanton 11.11.2010 um 12:15:47 Uhr
Goto Top
in einem Netz. Für den Bereich IPCop werde ich die Kollegen aus dem IPCop-Forum fragen. Hier geht es mir um die Einstellungen
am Speedport und die Weiterleitung.

nun, der Speedport sollte auf jeden Fall kastriert werden (ppoe passthrough), und der ipcop sollte die Verbindung aufbauen, ansonsten hast Du eine doppelte NAT-Problematik.

Gruß, Arch Stanton
iVirusYx
iVirusYx 11.11.2010 um 12:29:51 Uhr
Goto Top
Jetzt erinner ich mich wieder! Du hast den Punkt getroffen den ich nicht mehr in Gedanken hatte...

Die WAN IPAddresse des Speedports sollte man sofot auf die ROTE Schnittstelle des IPCop weiterleiten..
Und dann am IPCop die NAT Einstellungen vornehmen.
Somit agiert dein Speedport nicht mehr als Multifunktiongeraet (ergo Modem, Router, Switch, Firewall, etc),
sondern nur noch als Modem, welches ja auch das Ziel des IPCop ist.

Wenn dir das ganze langsam zu Kopf steigt und du es einfacher haben moechtest,
kaufst du entweder einen DMZ faehigen Router und ersetzt den Speedtouch dmait.

ODER

du kaufst dir einen zweiten (WLAN-)Router ohne integriertes Modem, mit dem du dann ein Netzwerk in deinem Netzwerk erzeugen kannst,
also der quasi die Funktion des IPCop uebernimmt und sicherlich einfacher zu managen ist.
Somit wird dann die gesamte Speedprot-Range zum DMZ und hinter dem zweiten (WLAN-)Router ist dann dein gesichertes Netzwerk.

MFG
Michel

MFG
Michel
Arch-Stanton
Arch-Stanton 11.11.2010 um 12:33:38 Uhr
Goto Top
lass ihn mal bei seinem ipcop bleiben, damit kann er individuell sein Netzwerk konfigurieren.

Gruß, Arch Stanton
Jochem
Jochem 11.11.2010 um 13:05:56 Uhr
Goto Top
Moin,
ja, alles schön und gut, was von euch da so angeboten wird. Mein Problem ist aber immer noch: Der IPCop ist AUS. Das einzige Gerät, was am Strom hängt, ist der Speedport.

Auf dem Speedport gibt es eine Einstellung, unter der ich dynDNS konfigurieren kann. Das habe ich auch gemacht. Nur wenn ich bei dyndns.org meine Einstellung für den Server betrachte, hat der jeden Tag eine andere IP. Liegt das evtl. daran, daß derzeit der Speedport noch nichtz 24/7 eingeschaltet ist und somit bei jedem Einschalten eine neue IP bekommt, also den Wechsel von einer zur anderen nicht mitbekommt?

Back to Speedport und IPCop. Wenn ich den IPCop wecken will, dann muß ich ja zunächst mal den Speedport dazu bewegen, meinen per WOL initierten Weckruf durchzulassen. Daher die vorgesehene Weiterleitung an der Stelle.

Weiterhin liegt die DMZ auf dem IPCop an ORANGE, ist also direkt vom Speedport nicht zu erreichen. Wenn ich Glück habe, bekomme ich per etherwake den Rechner in Orange geweckt, wenn der IPCop hochfährt. Dazu muß ich dann die Kollegen aus dem anderen Forum noch fragen (Linux ist nun wirklich nicht so mein Ding; ich freue mich schon, wenn ich überhaupt verstehe, was da am IPCop passiert).

Der Server wird Windows-basiert sein. An eine Linux-Distri als Server trau ich mich noch nicht ran, da fehlen mir einfach die Erfahrungen. Und zum Testen sollte das ja erst mal genügen.

Wenn ich die Antworten hier richtig verstehe, dann muß ich zur Zeit wohl oder übel doppelt NATen, wenn ich mit dem Speedport als einzigem Gerät in Dauerbetrieb auskommen will. Ich werde also heute Abend mal so konfigurieren, daß ich morgen vom Büro aus den IPCop anschmeißen kann. Dann sehen wir weiter. Danke bis hierher schonmal für den Input. Muß den jetzt erstmal verarbeiten.

Gruß J face-smile chem
iVirusYx
iVirusYx 11.11.2010 um 13:33:44 Uhr
Goto Top

Auf dem Speedport gibt es eine Einstellung, unter der ich dynDNS konfigurieren kann. Das habe ich auch gemacht. Nur wenn ich bei dyndns.org meine Einstellung für den Server betrachte, hat
der jeden Tag eine andere IP. Liegt das evtl. daran, daß derzeit der Speedport noch nichtz 24/7 eingeschaltet ist und somit bei jedem Einschalten eine neue IP bekommt, also den Wechsel von
einer zur anderen nicht mitbekommt?

Sowas nennt sich eine dynamische IP Adresse, der Provider gibt dir immer eine andere, deshalb ist DynDNS ja auch wichtig wenn du so ein Vorhaben hast, da dieser diese Daten ueber dne Router der immer an ist aktuell haelt damit du ueber einen DNS Namen diese IP immer erreichen kannst.


Back to Speedport und IPCop. Wenn ich den IPCop wecken will, dann muß ich ja zunächst mal den Speedport dazu bewegen, meinen per WOL initierten Weckruf durchzulassen. Daher die
vorgesehene Weiterleitung an der Stelle.

Du willst den IPCop auch aufwecken koennen? Ich habe gedacht der wuerde dann die ganze Zeit am rennen sein? Hmpf ja dann musst du wohl oder uebel
doppelt NATen
Jochem
Jochem 11.11.2010 um 14:15:21 Uhr
Goto Top
Moin,
tja das mit dem dynDNS hab ich mir so vorgestellt. nur wie schon geschrieben, schalte ich derzeit den Speedport nur ein, wenn ich zuhause bin. Ergo bekommt dynDNS gar nicht mit, daß sich die Adresse ändert und kann daher auch nicht auf die neue IP-Adresse von Provider reagieren.

Jep, der IPCop soll auch geweckt werden. Ich hab da leider nichts "kleineres" rumstehen als einen P III-450 MHz mit 768 MB RAM und einer 80er HD. Und der frißt mir für den Dauerbetrieb zuviel Strom. Daher meine Lösung mit dem kaskadierten WOL.

Wird schon werden. Wenn ich das gedanklich hintereinander habe, werde ich das auch gebacken kriegen. Nur solange ich die gedankliche Reihenfolge, was wohin geht und vor allem warum noch nicht drauf habe, kann ich mir den Datenverkehr noch nicht richtig vorstellen. Aber ich arbeite dran.

Gruß J face-smile chem
iVirusYx
iVirusYx 11.11.2010 um 14:43:19 Uhr
Goto Top
Dann wird der erste Schritt sein den IPCop zu konfigurieren und den Speedport so freizuschalten dass du den WakeOnWAN auf den IPCop anwenden kannst.
Hierzu hilft dir vielleicht diese Seite: http://portforward.com/

Dort gibt es How-Tos fuer saemtliche Router.
Pjordorf
Pjordorf 11.11.2010 um 14:49:10 Uhr
Goto Top
Hallo,

Zitat von @Jochem:
tja das mit dem dynDNS hab ich mir so vorgestellt.
Deine Vorstellung ist falsch.

nur wie schon geschrieben, schalte ich derzeit den Speedport nur ein, wenn ich
zuhause bin. Ergo bekommt dynDNS gar nicht mit, daß sich die Adresse ändert und kann daher auch nicht auf die neue
IP-Adresse von Provider reagieren.
Wenn dein Speedport mit den DynDNS Daten korrekt gefüttert wurde teilt dein Speedport DynDNS die neue IP mit. Wenn dies nicht geht sind deine Einstellungen im Speedport falsch.

Jep, der IPCop soll auch geweckt werden.
Dein Speedport wird dein Wake on WAN so nicht machen. Siehe hier oder hier. Lösungsansatz um vom Internet aus ein WOL zu können wäre hier oder hier oder bei Verwendung einer AVM FritzBox hier.

Entweder dein IPCop läuft dauernd und ist per Modem mit dem Inet verbunden oder einen anderen Router Kaufen der WOL aus dem Internet unterstützt. Und wichtig, dich bei DynDNS einlesen.

Peter