aubanan
Goto Top

Zertifikat bei Webserver im LAN am DSL Anschluss

Hallo zusammen,

im LAN läuft ein Web-server (z.Zt. IIS) auf einer lokalen Maschine.
Dieser Webserver soll aus dem Internet erreichbar sein.
Router (pfsense) hat DSL Anschluss mit statischer IP.
In der Router Firewall ist Port 443 geöffnet und routet auf den Webserver.

Im Web habe ich eine Domain, bei der ich eine Sybdomain (homeserver.mydomain.de) einrichten möchte, um darüber auf den Webserver im LAN zuzugreifen.

Hier stehe ich nun auf dem Schlauch, wie ich weitergehe, um den Webserver per https und (Let's encrypt) Zertifikat aus dem Internet erreichbar zu machen.

Ein Zertifikat ausstellen für homeserver.mydomain.de und der externen IP des Routers? Obwohl der IIS eine lokale IP (192.168..)hat?
Das Zertifikat auf dem IIS einspielen oder auf dem Router?

p.s. Den Webserver auf einen gehosteten Server zu legen, ist leider keine Option.

Vielen Dank für Eure Hilfe.

Content-ID: 1763871016

Url: https://administrator.de/contentid/1763871016

Ausgedruckt am: 19.12.2024 um 15:12 Uhr

em-pie
em-pie 26.01.2022 um 13:47:00 Uhr
Goto Top
Moin,

mache mal das Portforwarding auf den IIS rückgängig!
Danach nutzt du den HAProxy auf der pfSense und spielst dort das Zertifikat von Let'sEncrypt ein.
Name = homeserver.mydomain.de | IP = WAN-IP
https://www.agix.com.au/configure-haproxy-on-pfsense-with-letsencrypt-ss ...

Dann erstellst du für den IIS ein internes, selbsterstelltes Zertifikat
NAME: homeserver.mydomain.intern, alternativer Name: homeserver.mydomain.de
Das Zertifikat wird zusätzlich noch auf deine Clients verteilt, damit dem Zertifikat vertraut wird und gut,.
Ggf. musst du am internen DNS noch eine neue Zone anlegen: homeserver.mydomain.de und gibst als Ziel deinen internen IIS an, dann kannst du immer mit https://homeserver.mydomain.de auf den Server zugreifen, egal ob du intern oder extern unterwegs bist.

Mit dem obigen Konstrukt hast du den Vorteil, dass du
a) deine IIS nicht nackt im WWW stehen hast
b) du über Ports auch noch andere (Web)Dienste bereitstellen kannst, und dafür dann auch bereits ein Zertifikat hast


Vermutlich haben andree Kollegen noch andere Ansätze/ Ideen...

Gruß
em-pie
EliteHacker
EliteHacker 26.01.2022 um 14:36:58 Uhr
Goto Top
Deine Domain muss auf die öffentliche IP-Adresse deines Routers zeigen.
Leite Port TCP 80 und TCP 443 auf deinen Webserver weiter.
Stelle dir ein Zertifikat aus und installiere es im Webserver.

Über die Sicherheit kann man nur Tipps geben, wenn man weiss, was wie vor wem geschützt werden sollte.
danielbaessler55
danielbaessler55 26.01.2022 um 15:37:00 Uhr
Goto Top
Hallo Aubanan

ich habe immer Port 80 und 443 auf den IIS-Server gerforwardet und habe dann das Let's Encrypt Zertifikat mit dem Programm https://certifytheweb.com/ auf den IIS-Server installiert

Gruß
Daniel
Aubanan
Aubanan 27.01.2022 um 13:46:23 Uhr
Goto Top
Hallo und vielen Dank für die schnellen und konstruktiven Vorschläge.

Werde mich jetzt mal mit den verschiedenen Wegen beschäftigen.
Aubanan
Aubanan 02.02.2022 um 12:52:15 Uhr
Goto Top
Hallo nochmal.

Zitat von @danielbaessler55:

ich habe immer Port 80 und 443 auf den IIS-Server gerforwardet und habe dann das Let's Encrypt Zertifikat mit dem Programm https://certifytheweb.com/ auf den IIS-Server installiert

Das tool wollte ich ausprobieren - kann es sein, dass dafür die stamm domain (also: meine-domain.de) auf die öffentliche IP des DSL Anschluss verweisen muss? Das wäre bei mir nicht möglich. Ich möchte und kann nur eine Subdomain (homeserver.meine-domain.de) auf die IP zeigen lassen.

Sehe ich das falsch?
Vielen Dank!
danielbaessler55
danielbaessler55 06.02.2022 um 13:03:50 Uhr
Goto Top
Hallo Aubanan,

ich habe das ganze immer nur mit einer Subdomain gelöst.

Gruß
Daniel