Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf Webserver mit Router als VPN Client

Mitglied: tolleslte

tolleslte (Level 1) - Jetzt verbinden

14.03.2019 um 09:14 Uhr, 190 Aufrufe, 8 Kommentare

Hallo zusammen,

ich möchte aus meinem Heimnetz heraus einen Webserver betreiben. Da es hier keine vernünftigen Anschlüsse gibt, surfe ich über einen LTE Router. Ich habe keinen Business Tarif, daher auch keine eigene öffentliche IPv4 Adresse. Die Idee war also im Router (Asus 4G-AC53U) zunächst eine Portweiterleitung einzurichten auf den PC, auf dem der Webserver läuft. Den Port des Webservers habe ich auf 8080 umgestellt. Der Webserver hat 192.168.1.2. Von anderen PCs aus komme ich auch auf den Webserver, funktioniert alles. Jetzt die große Frage, wie komme ich von außen auf den Webserver?

Der Router kann sich als VPN Client mit einem VPN Server verbinden. Also habe ich einen VPN Anbieter rausgesucht (portunity) der auch feste öffentliche IP Adressen anbietet. Vor Kauf habe ich natürlich angefragt und es wurde gesagt, dass das genau für diesen Anwendungsfall genutzt werden könnte. Nun habe ich seitdem Stunden mit deren Support telefoniert, die haben per Teamviewer versucht den Router einzurichten etc. etc. Es hat alles nichts geholfen, wenn von außen auf die feste VPN IP zugegriffen wird, funktioniert es nicht.

Hat hier jemand vielleicht eine Idee was noch falsch sein könnte? Leider kann ich den Zugriff ja ohne VPN von außen auch nicht testen, da es durch das Provider NAT sowieso nicht ankommt.
Mitglied: aqui
14.03.2019, aktualisiert um 09:27 Uhr
Bevor wir ins Eingemachte gehen sollte du mal erwähnen WELCHES VPN Protokoll du denn überhaupt verwendest mit dem v4 Tunnelbroker !
Da bist du leider sehr oberflächlich in deiner Beschreibung
Zweiter wichtiger Punkt ist dann die Frage WO das NAT gemacht wird ?
Auf deinem Router oder auf dem des VPN IPv4 Tunnelproviders ?
Das kannst du sehr einfach sehen wenn du dir auf deinem Router einmal die Interfaces und deren Adressierung ansiehst. Dort müsste auf dem Tunnmel Interface bei aktivem VPN Tunnel dann z.B. eine öffentliche IP Adresse zu sehen sein.
Das würde dann bedeuten das deine Seite NAT macht.
Dann brauchst du ein Port Forwarding auf dem Tunnel Interface deines Routers. Genau genommen ein Port Translation, denn wenn dein interner Webserver auf TCP 8080 arbeitet musst du ja eigehende TCP 80 (HTTP) Sessions auch TCP 8080 translaten. Es sei denn du willst gleich direkt von außen per 8080 zugreifen, dann reicht einfaches Port Forwarding.
Die öffentliche IPv4 Adresse die du am Tunnel Interface des Routers bekommst ist immer die Zieladresse für deinen Server wenn du vom Internet aus zugreifen willst.
Hat hier jemand vielleicht eine Idee was noch falsch sein könnte?
Dazu müsste man mehr Details zu deiner Konfig sehen. Da du das nicht leiferst könenn wir hie rnur im freien Fall raten Mehr Details wären hilfreich.
Bitte warten ..
Mitglied: itisnapanto
14.03.2019 um 09:32 Uhr
Moin moin ,

Warum denn dieser ganze Heck Meck . Sicherheitsmäßig auch sehr bedenklich die Konstellation.
Latenz fangen wir mal gar nicht erst an.

Je nachdem, was das für ein Website ist , gibts doch auch Webspace für lau oder nen schmalen Taler.

Was hast du denn wo GENAU konfiguriert . Steht der Tunnel denn ?
Welcher Portweiterleitungen hast du wo konfiguriert ? Liegt der Webserver in einer VM oder direkt auf dem PC, der warscheinlich auch noch Windows mit Apache ist ....


Gruss
Bitte warten ..
Mitglied: tolleslte
14.03.2019 um 16:25 Uhr
Hallo, ja ok sorry, ich dachte man könnte daran schon einen Fehler feststellen ;)

Also der genannte Asus Router verbindet sich per LTE mit der Telekom. Daraufhin verbindet er sich als VPN Client über OpenVPN mit dem Service von portunity. Dazu konnte man dort eine *.opvn? Datei herunterladen, die im Router hochgeladen werden konnte. Die VPN Verbindung kann erfolgreich hergestellt werden. Nachdem die VPN Verbindung hergestellt wurde erhalte ich von portunity (weil extra gebucht) immer die gleiche feste IP nach außen hin. D.h. wenn ich wieistmeineip.de aufrufe, sehe ich immer die gleiche IP, nämlich die mir zugewiesen wurde. Das ist ja schon mal gut und auch so gewollt.

Zur Konfiguration derzeit:

PC mit Webserver 192.168.1.2 (feste IP per DHCP über MAC Adresse) - Webserver läuft auf Port 8080, der auch von außen direkt angesteuert werden soll (http://VPN-IP-ADRESSE:8080).
Router hat 192.168.1.1 und Port-Weiterleitung eingestellt, die wie folgt aussieht: Egal welche source IP, Port 8080 soll auf IP 192.168.1.2 Port 8080 weitergeleitet werden sowohl für TCP als auch UDP.

Da ich intern im Netzwerk (bspw. anderer PC 192.168.1.3) die Adresse http://192.168.1.2:8080 aufrufen kann und die Seite angezeigt wird, wäre ich davon ausgegangen, dass es mit der Portweiterleitung auch von außen gehen sollte. Das VPN nutze ich ja nur, damit ich eine feste erreichbare IP nach außen hin habe, da es mit LTE ja scheinbar ohne teuren Business Vertrag nicht anders geht.

Vielleicht könnt ihr nun besser sagen, was ich falsch mache? Zumindest soll es so funktionieren, wie mir von dem Unternehmen mehrfach bestätigt wurde :/
Bitte warten ..
Mitglied: aqui
14.03.2019, aktualisiert um 17:13 Uhr
Dazu konnte man dort eine *.opvn? Datei herunterladen, die im Router hochgeladen werden konnte.
Wäre intelligent gewesen die mal zu posten, denn die besagt ja genau WAS der Tunnel dann macht:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Hätte uns ne Menge Nachfragerei erspart...
sehe ich immer die gleiche IP, nämlich die mir zugewiesen wurde. Das ist ja schon mal gut und auch so gewollt.
Das ist per se auch richtig !
Die Kardinalsfrage ist aber nun WO wir die Adress Translation gemacht ??
Direkt bei dir am Router ?? Bedeutet: Du hast eine öffentliche IPv4 IP am Tunnel Interface des Routers.
Deshalb nochmal die Frage: Ist dem so ??
Oder....der VPN Provider macht NAT. Sprich der Tunnel wird auch über eine RFC 1918 IP zum VPN Provider transportiert und dort geNATet. Ist das der Fall schmälert das dann deine Chancen von außen auf die v4 Adresse zuzugreifen.
Egal welche source IP, Port 8080 soll auf IP 192.168.1.2 Port 8080 weitergeleitet werden sowohl für TCP als auch UDP.
Ist richtig !
Bedenke aber das du dem Router sagen musst das die Port Weiterleitung für das Tunnel Interface gilt und NICHT für das normale WAN Interface. Logisch, denn die Connections von außen kommen ja über das Tunnel Interface rein. Wenn du PFW auf dem normalen WAN Port machst greift das nicht, denn dort sind deine Daten ja noch in einem SSL Tunnel vom OpenVPN verpackt. Ein Port Forwarding dort ist also vollkommen wirkungslos.
Auch logisch, der Router "sieht" dort ja keinen TCP 8080 Traffic sondern nur den OpenVPN getunnelten in einem SSL Tunnel mit UDP 1194. Deshalb bleibt das PFW dort wirkungslos und kann nur am Tunnel Interface greifen, denn dort liegen ja wieder die ins VPN eingepackten TCP 8080 Daten an.
Verstehst du vermutlich selber..?!
Vielleicht könnt ihr nun besser sagen, was ich falsch mache?
Siehe oben. Du hast sehr wahrscheinlich das PFW am WAN Port und nicht am Tunnel Port konfiguriert.
Bitte warten ..
Mitglied: LordGurke
15.03.2019 um 14:31 Uhr
Zitat von aqui:
sehe ich immer die gleiche IP, nämlich die mir zugewiesen wurde. Das ist ja schon mal gut und auch so gewollt.
Das ist per se auch richtig !
Die Kardinalsfrage ist aber nun WO wir die Adress Translation gemacht ??
Direkt bei dir am Router ?? Bedeutet: Du hast eine öffentliche IPv4 IP am Tunnel Interface des Routers.
Deshalb nochmal die Frage: Ist dem so ??
Oder....der VPN Provider macht NAT. Sprich der Tunnel wird auch über eine RFC 1918 IP zum VPN Provider transportiert und dort geNATet. Ist das der Fall schmälert das dann deine Chancen von außen auf die v4 Adresse zuzugreifen.

Die Frage kann ich auch beantworten, ich benutze nämlich selbst auch einen solchen Tunnel:
Dem Tunnel-Client wird immer die öffentliche IP zugewiesen, so dass man ohne Filterung alle Ports und Protokolle direkt am Tunnelinterface hat. Das ist ja auch der Sinn der Sache

@tolleslte:
Die Frage wäre jetzt:
Hast du mehrere Router in deinem Netz? Falls ja, stelle sicher dass der Tunnelrouter auch das Default-Gateway für deinen Webserver ist.
Falls auf dem Webserver eine Firewall läuft, stelle die auch mal testweise komplett ab.

Ansonsten müsstest du mit Wireshark/tcpdump prüfen, ob du eingehende Pakete auf deinem Webserver siehst. Damit könntest du sicherstellen, ob dein Portforwarding funktioniert oder ob es ein lokales Problem an deinem Server ist.
Bitte warten ..
Mitglied: aqui
15.03.2019, aktualisiert um 16:56 Uhr
@LordGurke
so dass man ohne Filterung alle Ports und Protokolle direkt
Nur mal OT der Neugierde wegen gefragt: Wie siehts da eigentlich dann mit der Security aus an dem Tunnel Interface ? NAT und eine Firewall dürften da ja nicht aktiv sein weil der Router das ja nur auf dem physischen Interface macht ?! Hat man dann das offene Internet am Tunel Interface ?
Oder ist das da NAT und FW auch aktiv ?
Bitte warten ..
Mitglied: LordGurke
15.03.2019 um 17:46 Uhr
Das hängt ja davon ab, wie der Router das handhabt. Ich habe das bei mir innerhalb eines LXC-Containers als virtuellen Router laufen und habe damit natürlich alle Freiheiten, da mit iptables herumzukonfigurieren, zu WRT-Routern kann ich da wenig sagen.

Wenn der Router resp. die Firewall in der Lage ist, den VPN-Tunnel als "böses" Netzwerk zu betrachten und entsprechend die Firewall- und NAT-Regeln darauf anzuwenden, verhält sich das Tunnelinterface ja am Ende wie ein PPP-Interface einer DSL-Verbindung.
Ich meine: Wieso sollte das auf physische Interfaces beschränkt sein? Ein PPP-Interface ist ja auch nicht physisch
Bitte warten ..
Mitglied: aqui
15.03.2019 um 18:59 Uhr
Klar, da hast du absolut Recht. Wenn man so flexible Router Hardware hat ist das natürlich kein Problem. Beim Cisco oder Mikrotik usw. ist das analog wie auch bei den meisten Firewalls. Mal spannend zu erfahren ob der o.g. Asus das auch kann.
Danke für das OT Feedback und weiter mit dem Thread...
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Client VPN Zugriff auf Remote Subnet
Frage von niklas.kasperNetzwerke2 Kommentare

Hallo zusammen, ich habe im Moment folgendes Problem: Mit einem ShrewSoft Standard Client verbinde ich mich via IPSec in ...

Router & Routing

Mikrotik VPN - Router hat Zugriff, Client nicht

gelöst Frage von BirdyBRouter & Routing28 Kommentare

Hallo zusammen, leider muss ich euch noch mit einer weiteren Frage zu meiner VPN-Problematik behelligen. Stand der Dinge ist ...

Router & Routing

Raspberry PI als VPN Client - Zugriff auf VPN LAN

gelöst Frage von PeterH96Router & Routing8 Kommentare

Hallo, ich möchte einen Raspberry PI als OpenVPN Client in mein Netzwerk stellen. Dieser soll es möglich machen, vom ...

Router & Routing

VPN Client zu VPN Client - Kein ping

gelöst Frage von neueradmuserRouter & Routing5 Kommentare

Hallo, ich habe 2 vpn Client user die sich gegenseitig anpingen wollen sprich von Stuttgart nach Frankfurt per vpn ...

Neue Wissensbeiträge
Datenschutz

SiSyPHuS Win10: Analyse der Telemetriekomponenten in Windows 10

Tipp von freesolo vor 3 TagenDatenschutz1 Kommentar

Alle die sich detailliert für die Datensammlung interessieren die unter Windows 10 stattfindet, sollten sich folgende Analyse des BSI ...

Sicherheit
Adminrechte dank Intel-Grafikkarte
Information von DerWoWusste vor 3 TagenSicherheit2 Kommentare

ist das Advisory, welches beschreibt, welche Intel HD Graphics Modelle Sicherheitslücken haben, mit denen sich schwache Nutzer zu Admins ...

Internet

EU Urheberrechtsreform: Eingriff in die Internetkultur

Information von Frank vor 4 TagenInternet1 Kommentar

Liebe Besucherin, lieber Besucher, warum erscheint das obere Banner in allen Beiträgen? Aus Protest gegen Teile der geplanten EU-Urheberrechtsreform ...

Windows Server
Windows Backup - FilterManager Event 3
Tipp von NixVerstehen vor 5 TagenWindows Server

Hallo zusammen, ich bin kein gelernter ITler und auch beruflich nicht in dem Feld tätig. Wir setzen in unserem ...

Heiß diskutierte Inhalte
DNS
50 EUR für Telekom-, Unitymedia- und Vodafone-Kunden
Frage von Zorro1199DNS14 Kommentare

Hallo zusammen, wie evaluieren gerade das korrekte Einhalten von DNS-TTLs durch verschiedene Provider. Aktuell suchen wir noch Kunden der ...

Windows Server
Sonntagsfrage: Welchen Sinn seht Ihr noch im Server 2019 Essentials
Frage von ashnodWindows Server13 Kommentare

Guten Morgen, ich habe gestern den Windows Server 2019 Essentials als Trial in einer VM installiert um mir das ...

Windows Server
Windows 2012 R2 - Skript um Druckerkonfiguration auszulesen und zu setzen
gelöst Frage von Der-PhilWindows Server11 Kommentare

Hallo! Kennt ihr eine Möglichkeit, per Skript die Konfiguration eines Druckers auszulesen und auf einen anderen anzuwenden? Hintergrund: Ich ...

Grafik
Viele Fotos organisieren - Windows Dateisystem zu lahm bzw. überfordert
Frage von augustaparkGrafik11 Kommentare

Hallo und Guten Morgen, hat einer eine Idee, wie man viele Fotos sinnvoll und effizient organisieren kann? Wir haben ...