6
Zertifikat bei Webserver im LAN am DSL Anschluss
Hallo zusammen,
im LAN läuft ein Web-server (z.Zt. IIS) auf einer lokalen Maschine.
Dieser Webserver soll aus dem Internet erreichbar sein.
Router (pfsense) hat DSL Anschluss mit statischer IP.
In der Router Firewall ist Port 443 geöffnet und routet auf den Webserver.
Im Web habe ich eine Domain, bei der ich eine Sybdomain (homeserver.mydomain.de) einrichten möchte, um darüber auf den Webserver im LAN zuzugreifen.
Hier stehe ich nun auf dem Schlauch, wie ich weitergehe, um den Webserver per https und (Let's encrypt) Zertifikat aus dem Internet erreichbar zu machen.
Ein Zertifikat ausstellen für homeserver.mydomain.de und der externen IP des Routers? Obwohl der IIS eine lokale IP (192.168..)hat?
Das Zertifikat auf dem IIS einspielen oder auf dem Router?
p.s. Den Webserver auf einen gehosteten Server zu legen, ist leider keine Option.
Vielen Dank für Eure Hilfe.
im LAN läuft ein Web-server (z.Zt. IIS) auf einer lokalen Maschine.
Dieser Webserver soll aus dem Internet erreichbar sein.
Router (pfsense) hat DSL Anschluss mit statischer IP.
In der Router Firewall ist Port 443 geöffnet und routet auf den Webserver.
Im Web habe ich eine Domain, bei der ich eine Sybdomain (homeserver.mydomain.de) einrichten möchte, um darüber auf den Webserver im LAN zuzugreifen.
Hier stehe ich nun auf dem Schlauch, wie ich weitergehe, um den Webserver per https und (Let's encrypt) Zertifikat aus dem Internet erreichbar zu machen.
Ein Zertifikat ausstellen für homeserver.mydomain.de und der externen IP des Routers? Obwohl der IIS eine lokale IP (192.168..)hat?
Das Zertifikat auf dem IIS einspielen oder auf dem Router?
p.s. Den Webserver auf einen gehosteten Server zu legen, ist leider keine Option.
Vielen Dank für Eure Hilfe.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1763871016
Url: https://administrator.de/contentid/1763871016
Printed on: April 19, 2024 at 20:04 o'clock
6 Comments
Latest comment
Moin,
mache mal das Portforwarding auf den IIS rückgängig!
Danach nutzt du den HAProxy auf der pfSense und spielst dort das Zertifikat von Let'sEncrypt ein.
Name = homeserver.mydomain.de | IP = WAN-IP
https://www.agix.com.au/configure-haproxy-on-pfsense-with-letsencrypt-ss ...
Dann erstellst du für den IIS ein internes, selbsterstelltes Zertifikat
NAME: homeserver.mydomain.intern, alternativer Name: homeserver.mydomain.de
Das Zertifikat wird zusätzlich noch auf deine Clients verteilt, damit dem Zertifikat vertraut wird und gut,.
Ggf. musst du am internen DNS noch eine neue Zone anlegen: homeserver.mydomain.de und gibst als Ziel deinen internen IIS an, dann kannst du immer mit https://homeserver.mydomain.de auf den Server zugreifen, egal ob du intern oder extern unterwegs bist.
Mit dem obigen Konstrukt hast du den Vorteil, dass du
a) deine IIS nicht nackt im WWW stehen hast
b) du über Ports auch noch andere (Web)Dienste bereitstellen kannst, und dafür dann auch bereits ein Zertifikat hast
Vermutlich haben andree Kollegen noch andere Ansätze/ Ideen...
Gruß
em-pie
mache mal das Portforwarding auf den IIS rückgängig!
Danach nutzt du den HAProxy auf der pfSense und spielst dort das Zertifikat von Let'sEncrypt ein.
Name = homeserver.mydomain.de | IP = WAN-IP
https://www.agix.com.au/configure-haproxy-on-pfsense-with-letsencrypt-ss ...
Dann erstellst du für den IIS ein internes, selbsterstelltes Zertifikat
NAME: homeserver.mydomain.intern, alternativer Name: homeserver.mydomain.de
Das Zertifikat wird zusätzlich noch auf deine Clients verteilt, damit dem Zertifikat vertraut wird und gut,.
Ggf. musst du am internen DNS noch eine neue Zone anlegen: homeserver.mydomain.de und gibst als Ziel deinen internen IIS an, dann kannst du immer mit https://homeserver.mydomain.de auf den Server zugreifen, egal ob du intern oder extern unterwegs bist.
Mit dem obigen Konstrukt hast du den Vorteil, dass du
a) deine IIS nicht nackt im WWW stehen hast
b) du über Ports auch noch andere (Web)Dienste bereitstellen kannst, und dafür dann auch bereits ein Zertifikat hast
Vermutlich haben andree Kollegen noch andere Ansätze/ Ideen...
Gruß
em-pie
Deine Domain muss auf die öffentliche IP-Adresse deines Routers zeigen.
Leite Port TCP 80 und TCP 443 auf deinen Webserver weiter.
Stelle dir ein Zertifikat aus und installiere es im Webserver.
Über die Sicherheit kann man nur Tipps geben, wenn man weiss, was wie vor wem geschützt werden sollte.
Leite Port TCP 80 und TCP 443 auf deinen Webserver weiter.
Stelle dir ein Zertifikat aus und installiere es im Webserver.
Über die Sicherheit kann man nur Tipps geben, wenn man weiss, was wie vor wem geschützt werden sollte.
Hallo Aubanan
ich habe immer Port 80 und 443 auf den IIS-Server gerforwardet und habe dann das Let's Encrypt Zertifikat mit dem Programm https://certifytheweb.com/ auf den IIS-Server installiert
Gruß
Daniel
ich habe immer Port 80 und 443 auf den IIS-Server gerforwardet und habe dann das Let's Encrypt Zertifikat mit dem Programm https://certifytheweb.com/ auf den IIS-Server installiert
Gruß
Daniel
Hallo und vielen Dank für die schnellen und konstruktiven Vorschläge.
Werde mich jetzt mal mit den verschiedenen Wegen beschäftigen.
Werde mich jetzt mal mit den verschiedenen Wegen beschäftigen.
Hallo nochmal.
Das tool wollte ich ausprobieren - kann es sein, dass dafür die stamm domain (also: meine-domain.de) auf die öffentliche IP des DSL Anschluss verweisen muss? Das wäre bei mir nicht möglich. Ich möchte und kann nur eine Subdomain (homeserver.meine-domain.de) auf die IP zeigen lassen.
Sehe ich das falsch?
Vielen Dank!
Zitat von @danielbaessler55:
ich habe immer Port 80 und 443 auf den IIS-Server gerforwardet und habe dann das Let's Encrypt Zertifikat mit dem Programm https://certifytheweb.com/ auf den IIS-Server installiert
ich habe immer Port 80 und 443 auf den IIS-Server gerforwardet und habe dann das Let's Encrypt Zertifikat mit dem Programm https://certifytheweb.com/ auf den IIS-Server installiert
Das tool wollte ich ausprobieren - kann es sein, dass dafür die stamm domain (also: meine-domain.de) auf die öffentliche IP des DSL Anschluss verweisen muss? Das wäre bei mir nicht möglich. Ich möchte und kann nur eine Subdomain (homeserver.meine-domain.de) auf die IP zeigen lassen.
Sehe ich das falsch?
Vielen Dank!
Hallo Aubanan,
ich habe das ganze immer nur mit einer Subdomain gelöst.
Gruß
Daniel
ich habe das ganze immer nur mit einer Subdomain gelöst.
Gruß
Daniel
