Fragen zu Server von Extern erreichbar machen



  • Hallo Zusammen,

    ich bin leider noch nicht so bewandert mit pfsense.
    Deshalb hoffe ich ihr könnt mir helfen.

    Was ich erreichen möchte
    Ich möchte gerne die Dienste/Server unten (siehe Netzdiagramm) von außen erreichbar machen.
    Nicht per OpeVPN oder sonstiger VPN Technik.
    Eher eine Lösung wie den Zugriff zu mehreren Webservern in Internen Netz von Extern zu erlauben.

    Dazu das ganze per Letsencrypt absichern.
    Ich frage mich nun aber wie ich das am besten mache.

    Wie Soll ich vorgehen?
    Soll ich pro Server eine Subdomain anlegen?
    OpenVPN und IPSec will ich auch noch auf der PFSense laufen lassen.

    Was ich schon mal gemacht habe:
    CNAME bei meinem Provider eingerichtet, habe keine Festen IPs bei WAN Leitungen

    
    home.domain.de -> xxxxxxxxx.dynanbieter.com
    home2.domain.de -> yyyyyyyyy.dynanbieter.com
    
    

    HAProxy,OpeVPN und den OpenVPN Exporter und ACME hab ich schon mal installiert.
    Bisher aber noch nicht konfiguriert.

    Hier mein Netzwerkaufbau

    
    		WAN                     WAN
                     :                       :
                     : CableProvider         : DSL-Provider
                     :                       :
                 .---+---.                .--+--.
            WAN |  Cable  |             |   DSL   | WAN2
                | Router1 |    Router   | Router2 |
                '----+----'             '----+----'
    192.168.178.1/24 |                       | 192.168.180.1/24
                     |      .---------.      |
                     +------| pfSense |------+
                            .---------.
    			     |
                             LAN | 192.168.1.1/24
                                 | 
                           .-----+------.
                           | LAN-Switch |
                           '-----+------'
                                 |
                +----------------+----------------+
                |                |                |	
          .-----+------.   .-----+------.	.-----+-----------.	
          | FHEM Server|   | OMV Server |	| UnifiController |
          '------------'   '-----+------'	'-----------------'
                                 |
                       +---------+---------+
                       |                   |
                 .-----+------.      .-----+------.
                 | Zoneminder |      |   OwnCoud  |
                 '------------'      '------------'
    
    

    Danke schon mal für eure Hilfe.

    Gruß Robert

    Edit 2017-08-04: Klarstellung was ich genau machen möchte



  • Du schreibst leider nicht für wieviele User Du dies einrichten möchtes. Da hier von FHEM die Rede ist nehme ich mal an das es um ein Heim Nutzung geht mit " ein oder zwei" Nutzern.

    Ich würde dann hier mit Openvpn arbeiteten. Da brauchst Du nur einen Zugang



  • Wieviel User ich drüber laufen lassen will steht noch nicht ganz Fest.
    Bei FHEM hast du schon recht, dass hier nur wenige Personen zugriff bekommen sollen.
    FHEM ist aber bereits per Portforward für Geofancing von Extern erreichbar.
    Weshalb hier auch auf ein Offizilles Zertifikat setzten möchte.



  • und welche Gründe sprechen dagegen dann alles außer FHEM über Openvpn von außen erreichbar zu machen?

    Ansonsten wirst Du nach meiner Auffassung nicht umhin kommen mit einem Server und je einem Port / Portforwarding pro Server arbeiten zu müssen.



  • Der Grund ist ganz einfach.
    Ich bin manchmal in Netzen, wo kein VPN erlaubt ist und durch die Firewall unterbunden wird.



  • In solchen Netzen ist oft auch nichts anderes als die Zielports 80 u. 443 erlaubt.
    Wenn du tatsächlich diese Einschränkungen auferlegt hast, kannst du das nur mit einem Proxy lösen, der dann die Pakete auf die jeweiligen Server verteilt.
    Ansonsten kannst du mit eine IP-Port Kombination nur einen Server erreichen.



  • Genau das ist es.
    Soweit ich weißt macht HAproxy genau das.
    Nennst sich Reverse Proxy.

    Ich weiß nur nicht genau wie ich das angehen muss.
    Braucht jeder Server dann eine eigene Sudomain die ich einrichten muss?
    Oder geht es auch dass ich zum Beispiel die Server über home.domain.de/zm auf Zoneminder und über home.domain.de/fhem an Fhem komme.
    Anlegen von mehreren Subdomains ist auch kein Problem.



  • Ich meine gelesen zu haben das man openvpn auch über 443 tcp laufen lassen kann. Und da Du Openvpn eh auf der Agenda hast würde ich es erst damit versuchen



  • @hbauer:

    Ich meine gelesen zu haben das man openvpn auch über 443 tcp laufen lassen kann. Und da Du Openvpn eh auf der Agenda hast würde ich es erst damit versuchen

    Wie VPN funktioniert ist mir schon klar.
    Dass ich OpenVPN aufsetzten werde ist auch klar aber mir geht es nicht darum ständig auf OpenVPN rum zu reiten.



  • ah verstehe, wegen

    Ich frage mich nun aber wie ich das am besten mache.

    dachte ich du wärst an Lösungsvorschlägen für die besten Herangehensweise interessiert. Und das Openvpn das nicht ist konnte ich aus Deinen Informationen (immer noch) nicht erkennen.

    Wenn Du Dir sicher bist das HAProxy der richtig Weg ist wäre vielleicht hilfreich den Titel des Postings zu ändern.



  • @hbauer:

    ah verstehe, wegen

    Ich frage mich nun aber wie ich das am besten mache.

    dachte ich du wärst an Lösungsvorschlägen für die besten Herangehensweise interessiert. Und das Openvpn das nicht ist konnte ich aus Deinen Informationen (immer noch) nicht erkennen.

    Wenn Du Dir sicher bist das HAProxy der richtig Weg ist wäre vielleicht hilfreich den Titel des Postings zu ändern.

    Wo steht denn dass ich hier mit OpenVPN arbeiten will.
    Der Thread ist meiner Meinung nach Treffen definiert.
    Somit ist OPEN VPN raus und für dich passe ich den ersten Beitrag noch mal.
    Hoffe dass ist für dich dann verständlich.



  • Für einen Kumpel habe ich eine andere Variante gewählt da VPN nicht möglich aber blankes ins Netz stellen des Servers nicht in Frage kam (vorgehensweise war sogar mit der GL seiner Firma abgestimmt, "so lange wir nix ändern müssen und Sie es nicht übertreiben…")

    @Home externer Port 443 --> Server Port 22 SSH mit Key auth aus der Ferne vom Windows Rechner mit Putty
          in Putty sind dann halt die Portweiterleitungen auf die einzelnen Dienste seines Servers eingerichtet, siehe http://www.netzmafia.de/skripten/internet/putty-tunnel.html

    Die Nutzung ist dann einfach: Verbindung mit Putty herstellen (2 Mausklicks ggf Passphrase eingeben, geht aber auch ohne)
    im Browser des Notebooks dann einfach https://localhost:8443  –> Unifi Controller oder http://localhost:8083  --> FHEM

    Nur so als Gedanke... ;)

    -teddy



  • @magicteddy:

    Für einen Kumpel habe ich eine andere Variante gewählt da VPN nicht möglich aber blankes ins Netz stellen des Servers nicht in Frage kam (vorgehensweise war sogar mit der GL seiner Firma abgestimmt, "so lange wir nix ändern müssen und Sie es nicht übertreiben…")

    @Home externer Port 443 --> Server Port 22 SSH mit Key auth aus der Ferne vom Windows Rechner mit Putty
          in Putty sind dann halt die Portweiterleitungen auf die einzelnen Dienste seines Servers eingerichtet, siehe http://www.netzmafia.de/skripten/internet/putty-tunnel.html

    Die Nutzung ist dann einfach: Verbindung mit Putty herstellen (2 Mausklicks ggf Passphrase eingeben, geht aber auch ohne)
    im Browser des Notebooks dann einfach https://localhost:8443  –> Unifi Controller oder http://localhost:8083  --> FHEM

    Nur so als Gedanke... ;)

    -teddy

    Die Idee ist auch nicht schlecht. Damit blockiere ich mir aber auch wieder den Port 443 für FHEM Geofancing.

    Sonst jemand Erfahrung mit HAProxy?


Log in to reply