Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Mehrere Webserver, IPv4 + IPv6
« previous
next »
Print
Pages: [
1
]
Author
Topic: Mehrere Webserver, IPv4 + IPv6 (Read 532 times)
mrt12
Newbie
Posts: 8
Karma: 0
Mehrere Webserver, IPv4 + IPv6
«
on:
September 16, 2024, 07:29:06 pm »
Hallo zusammen
ich möchte mehrere Webserver in meinem LAN haben.
z.B. Nextcloud, Gitea als Beispiel.
Ich habe von meinem ISP 1 Public IPv4 Adresse, sowie ein /56 IPv6 Netz.
Jetzt habe ich dynamisches DNS eingerichtet mit DuckDNS. Das funktioniert sehr gut, die IPs (beide, v4 und v6) werden zuverlässig updated.
Nun habe ich aber das folgende Problem:
wenn ich über IPv4 aus dem Internet auf einen der Webserver zugreifen möchte, dann brauchts dazu ein NAT Portforward. Soweit so gut.
Wenn ich aber aus dem Internet via IPv6 auf einen der Webserver zugreifen möchte, dann müsste ich ja theoretisch auf die globale IPv6 des Webservers direkt zugreifen?
Wie konfiguriert man das richtig? weil, der dynamische DNS Client in der opnsense weiss ja die IPv6 Adressen der Hosts nicht, da diese dynamisch sind. Wie geht es richtig? dann müsste ich eigentlich in jedem Host nochmal einen dynamischen DNS Client laufen lassen, aber gerade so Zeug soll ja die opnsense mir abnehmen und an einer zentralen Stelle erledigen...
Das Problem ist dann auch noch
wie greife ich auf git.meinedomain.com und nextcloud.meinedomain.com zu, wenn beide auf dieselbe IPv4 auflösen?
Logged
Patrick M. Hausen
Hero Member
Posts: 6812
Karma: 572
Re: Mehrere Webserver, IPv4 + IPv6
«
Reply #1 on:
September 16, 2024, 08:43:51 pm »
Nimm das Caddy-Plugin als Reverse Proxy.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
mrt12
Newbie
Posts: 8
Karma: 0
Re: Mehrere Webserver, IPv4 + IPv6
«
Reply #2 on:
September 17, 2024, 09:00:36 am »
Hallo Patrick
phantastisch, danke für den Hinweis. Caddy kannte ich noch nicht.
Kann ich es so einrichten, dass ich das Web Interface auf Port 443 belassen kann im LAN? ich habe Anleitungen für HAProxy gefunden, wo man da den Port ändern musste. Wenns geht, würde ich das gern vermeiden.
Aber, Caddy sieht schon mal sehr gut aus. Ich versuche mich grade einzulesen. Herzlichen Dank!
Logged
Patrick M. Hausen
Hero Member
Posts: 6812
Karma: 572
Re: Mehrere Webserver, IPv4 + IPv6
«
Reply #3 on:
September 17, 2024, 09:13:25 am »
Du musst das Web UI global auf einen anderen Port legen, und die Weiterleitung von HTTP nach HTTPS ausschalten. Aber du kannst das Web UI dann auch durch den Caddy auf Port 443 ansprechen und mit einer Access-Liste dafür sorgen, dass es nur aus dem LAN erreichbar ist. Kann das Plugin alles.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
mrt12
Newbie
Posts: 8
Karma: 0
Re: Mehrere Webserver, IPv4 + IPv6
«
Reply #4 on:
September 25, 2024, 11:25:23 pm »
Hey Patrick.
Ich wollte noch kurz mich bedanken. Ich musste ein wenig herum pröbeln mit dem Caddy, aber jetzt funktioniert es. PHANTASTISCH!
Wenn es einmal eingerichtet ist, kann man super easy einen neuen Host hinzufügen und es funktioniert einfach, incl Zertifikate.
Den Web GUI habe ich jetzt auf Port 4443 konfiguriert und die Redirection nach HTTPS ausgeschaltet.
Eigentlich ist es ja nicht so schlimm, wenn die Konfiguration über einen anderen Port geht, bei Proxmox und so weiter ist es ja auch so.
Falls jemand auch mit Caddy herum pröbelt, hier ein paar Hints, was ich gemacht habe. Zuerst natürlich Caddy installieren.
Dann:
Services, Caddy, General: Enable Plugin, eine Email konfigurieren und Auto HTTPS aktivieren. Unter Advanced habe ich Abort Connections aktiviert, ich habe das so verstanden, dass, wenn man über SNI auf einen Host zugreift, den es nicht gibt, die Verbindung abgewiesen werden sollte. Konnte das aber nicht verifizieren. Alles andere habe ich auf Default belassen, weil ich Dynamic DNS über den ddclient mache.
Dann unter Reverse Proxy eine Domain hinzufügen. Ich habe nur den Domain Name und eine Deskription eingegeben, den Rest kann man auf Default lassen.
Dann einen HTTP Handler anlegen, Enabled aktivieren, die vorhin erstellte Domain auswählen. Unter Upstream kann man den Namen oder die IP des Servers im LAN eingeben.
Unter Firewall, NAT habe ich die NAT Portforwards raus genommen, die normalerweise den Traffic direkt zum HTTP Server leiten.
Unter Rules, WAN habe ich IPv4+IPv6 HTTP und HTTPS mit ziel "This Firewall" aktiviert.
Mehr Regeln habe ich nicht erstellen müssen, es lief dann sofort, und das in weniger als 5 Minuten. Phantastisch!
Sehr toller Tip von Patrick, von alleine wäre ich da NIEMALS drauf gekommen.
Mein nächster Versuch wird sein, ob ich allenfalls für Webserver, die nur im LAN sind, auch ein HTTPS Zertifikat bekommen kann und so die nervigen "Untrusted Certificate" Meldungen weg bekomme.....
Da ich das WEB GUI auf den Port 4443 gelegt habe, und dieser über WAN nicht erreichbar ist, bin ich eigentlich *ziemlich* sicher, dass man nicht einbrechen kann. Aber ich muss da noch ein wenig weiter testen.....
Und, was auch bemerkenswert ist: mit dem CADDY Plugin bekomme ich bei Qualys SSL Labs ein A+ Rating für den Security Check, sowie auch bei Immuniweb. Sollte also soweit alles bestens sein ;-)
Um noch die Sicherheit ein wenig zu erhöhen, habe ich noch ein GeoIP-Blocking in den Firewall Regeln konfiguriert, da ich aus vielen Ländern gar niemals auf diese Nextcloud werde zugreifen müssen und sie daher ohne Weiteres blockieren kann.
«
Last Edit: September 25, 2024, 11:27:34 pm by mrt12
»
Logged
Patrick M. Hausen
Hero Member
Posts: 6812
Karma: 572
Re: Mehrere Webserver, IPv4 + IPv6
«
Reply #5 on:
September 25, 2024, 11:54:38 pm »
Bedank dich bei @Monviech, der hats erfunden
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Mehrere Webserver, IPv4 + IPv6