Fragen zu Server von Extern erreichbar machen

no_Legend

Hallo Zusammen,

ich bin leider noch nicht so bewandert mit pfsense.
Deshalb hoffe ich ihr könnt mir helfen.

Was ich erreichen möchte
Ich möchte gerne die Dienste/Server unten (siehe Netzdiagramm) von außen erreichbar machen.
Nicht per OpeVPN oder sonstiger VPN Technik.
Eher eine Lösung wie den Zugriff zu mehreren Webservern in Internen Netz von Extern zu erlauben.

Dazu das ganze per Letsencrypt absichern.
Ich frage mich nun aber wie ich das am besten mache.

Wie Soll ich vorgehen?
Soll ich pro Server eine Subdomain anlegen?
OpenVPN und IPSec will ich auch noch auf der PFSense laufen lassen.

Was ich schon mal gemacht habe:
CNAME bei meinem Provider eingerichtet, habe keine Festen IPs bei WAN Leitungen

home.domain.de -> xxxxxxxxx.dynanbieter.com
home2.domain.de -> yyyyyyyyy.dynanbieter.com

HAProxy,OpeVPN und den OpenVPN Exporter und ACME hab ich schon mal installiert.
Bisher aber noch nicht konfiguriert.

Hier mein Netzwerkaufbau

		WAN                     WAN
                 :                       :
                 : CableProvider         : DSL-Provider
                 :                       :
             .---+---.                .--+--.
        WAN |  Cable  |             |   DSL   | WAN2
            | Router1 |    Router   | Router2 |
            '----+----'             '----+----'
192.168.178.1/24 |                       | 192.168.180.1/24
                 |      .---------.      |
                 +------| pfSense |------+
                        .---------.
			     |
                         LAN | 192.168.1.1/24
                             | 
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
            +----------------+----------------+
            |                |                |	
      .-----+------.   .-----+------.	.-----+-----------.	
      | FHEM Server|   | OMV Server |	| UnifiController |
      '------------'   '-----+------'	'-----------------'
                             |
                   +---------+---------+
                   |                   |
             .-----+------.      .-----+------.
             | Zoneminder |      |   OwnCoud  |
             '------------'      '------------'

Danke schon mal für eure Hilfe.

Gruß Robert

Edit 2017-08-04: Klarstellung was ich genau machen möchte

hbauer

Du schreibst leider nicht für wieviele User Du dies einrichten möchtes. Da hier von FHEM die Rede ist nehme ich mal an das es um ein Heim Nutzung geht mit " ein oder zwei" Nutzern.

Ich würde dann hier mit Openvpn arbeiteten. Da brauchst Du nur einen Zugang

no_Legend

Wieviel User ich drüber laufen lassen will steht noch nicht ganz Fest.
Bei FHEM hast du schon recht, dass hier nur wenige Personen zugriff bekommen sollen.
FHEM ist aber bereits per Portforward für Geofancing von Extern erreichbar.
Weshalb hier auch auf ein Offizilles Zertifikat setzten möchte.

hbauer

und welche Gründe sprechen dagegen dann alles außer FHEM über Openvpn von außen erreichbar zu machen?

Ansonsten wirst Du nach meiner Auffassung nicht umhin kommen mit einem Server und je einem Port / Portforwarding pro Server arbeiten zu müssen.

no_Legend

Der Grund ist ganz einfach.
Ich bin manchmal in Netzen, wo kein VPN erlaubt ist und durch die Firewall unterbunden wird.

viragomann

In solchen Netzen ist oft auch nichts anderes als die Zielports 80 u. 443 erlaubt.
Wenn du tatsächlich diese Einschränkungen auferlegt hast, kannst du das nur mit einem Proxy lösen, der dann die Pakete auf die jeweiligen Server verteilt.
Ansonsten kannst du mit eine IP-Port Kombination nur einen Server erreichen.

no_Legend

Genau das ist es.
Soweit ich weißt macht HAproxy genau das.
Nennst sich Reverse Proxy.

Ich weiß nur nicht genau wie ich das angehen muss.
Braucht jeder Server dann eine eigene Sudomain die ich einrichten muss?
Oder geht es auch dass ich zum Beispiel die Server über home.domain.de/zm auf Zoneminder und über home.domain.de/fhem an Fhem komme.
Anlegen von mehreren Subdomains ist auch kein Problem.

hbauer

Ich meine gelesen zu haben das man openvpn auch über 443 tcp laufen lassen kann. Und da Du Openvpn eh auf der Agenda hast würde ich es erst damit versuchen

no_Legend

@hbauer:

Ich meine gelesen zu haben das man openvpn auch über 443 tcp laufen lassen kann. Und da Du Openvpn eh auf der Agenda hast würde ich es erst damit versuchen

Wie VPN funktioniert ist mir schon klar.
Dass ich OpenVPN aufsetzten werde ist auch klar aber mir geht es nicht darum ständig auf OpenVPN rum zu reiten.

hbauer

ah verstehe, wegen

Ich frage mich nun aber wie ich das am besten mache.

dachte ich du wärst an Lösungsvorschlägen für die besten Herangehensweise interessiert. Und das Openvpn das nicht ist konnte ich aus Deinen Informationen (immer noch) nicht erkennen.

Wenn Du Dir sicher bist das HAProxy der richtig Weg ist wäre vielleicht hilfreich den Titel des Postings zu ändern.

no_Legend

@hbauer:

ah verstehe, wegen

Ich frage mich nun aber wie ich das am besten mache.

dachte ich du wärst an Lösungsvorschlägen für die besten Herangehensweise interessiert. Und das Openvpn das nicht ist konnte ich aus Deinen Informationen (immer noch) nicht erkennen.

Wenn Du Dir sicher bist das HAProxy der richtig Weg ist wäre vielleicht hilfreich den Titel des Postings zu ändern.

Wo steht denn dass ich hier mit OpenVPN arbeiten will.
Der Thread ist meiner Meinung nach Treffen definiert.
Somit ist OPEN VPN raus und für dich passe ich den ersten Beitrag noch mal.
Hoffe dass ist für dich dann verständlich.

magicteddy

Für einen Kumpel habe ich eine andere Variante gewählt da VPN nicht möglich aber blankes ins Netz stellen des Servers nicht in Frage kam (vorgehensweise war sogar mit der GL seiner Firma abgestimmt, "so lange wir nix ändern müssen und Sie es nicht übertreiben…")

@Home externer Port 443 --> Server Port 22 SSH mit Key auth aus der Ferne vom Windows Rechner mit Putty
      in Putty sind dann halt die Portweiterleitungen auf die einzelnen Dienste seines Servers eingerichtet, siehe http://www.netzmafia.de/skripten/internet/putty-tunnel.html

Die Nutzung ist dann einfach: Verbindung mit Putty herstellen (2 Mausklicks ggf Passphrase eingeben, geht aber auch ohne)
im Browser des Notebooks dann einfach https://localhost:8443  –> Unifi Controller oder http://localhost:8083  --> FHEM

Nur so als Gedanke... ;)

-teddy

no_Legend

@magicteddy:

Für einen Kumpel habe ich eine andere Variante gewählt da VPN nicht möglich aber blankes ins Netz stellen des Servers nicht in Frage kam (vorgehensweise war sogar mit der GL seiner Firma abgestimmt, "so lange wir nix ändern müssen und Sie es nicht übertreiben…")

@Home externer Port 443 --> Server Port 22 SSH mit Key auth aus der Ferne vom Windows Rechner mit Putty
      in Putty sind dann halt die Portweiterleitungen auf die einzelnen Dienste seines Servers eingerichtet, siehe http://www.netzmafia.de/skripten/internet/putty-tunnel.html

Die Nutzung ist dann einfach: Verbindung mit Putty herstellen (2 Mausklicks ggf Passphrase eingeben, geht aber auch ohne)
im Browser des Notebooks dann einfach https://localhost:8443  –> Unifi Controller oder http://localhost:8083  --> FHEM

Nur so als Gedanke... ;)

-teddy

Die Idee ist auch nicht schlecht. Damit blockiere ich mir aber auch wieder den Port 443 für FHEM Geofancing.

Sonst jemand Erfahrung mit HAProxy?