mehrere Subdomains via Port 80/443

dslthomas · November 16, 2020, 08:58:51 AM

Moin, Moin,

Corona zwingt mich nun zu einem Umbau meines Heimnetzwerks um Home Office besser nutzen zu können. Ich habe zu Hause eine Entwicklungsumgebung mit einem Windows Server mit Exchange. Weiterhin habe ich mehrere Webserver (Haussteuerung, Website etc.) und eine Synology. Nun möchte ich alle Geräte von außen erreichen. Dabei benötige ich aber beispielsweise folgende Ports:

master.test.de = Port 80 und 443
haussteuerung.test.de = Port 443
Synology.test.de = Port 80 und 443

Frage: welches ist der sinnvollste Weg, diese Weiterleitungen zu den jeweiligen Subdomains einzurichten?

Ich habe natürlich auch schon gesucht, etwas wirklich schlüssiges habe ich für mich aber nicht gefunden.

Danke und Gruß aus Hamburg

micneu · November 16, 2020, 09:06:24 AM

Haproxy, Google und die Forum suche ist dein Freund hatte vor ein paar Wochen eine guten link gepostet

Warum nicht über VPN?

Gesendet von iPhone mit Tapatalk Pro

dslthomas · November 16, 2020, 09:34:03 AM

VPN muss ebenfalls eingerichtet werden aber der Webserver etc. sollen ja offiziell nach außen gelegt werden. Deinen Link werde ich dann gleich mal suchen. Danke

Tubs · November 16, 2020, 01:05:42 PM

Quote from: dslthomas on November 16, 2020, 08:58:51 AM
Frage: welches ist der sinnvollste Weg, diese Weiterleitungen zu den jeweiligen Subdomains einzurichten?

Um mehrere Webserver hinter der Firewall über Port 80 und 443 verfügbar zu machen würde ich so vorgehen:
- öffentlich erreichbar --> reverse proxy: z. B. plugin HAProxy oder nginx
- nur über eigene Geräte und sensible Daten --> VPN: z. B. openVPN, IPSEc, WireGuard

Ich selbst verwende nginx und WireGuard für diesen Zweck.

lfirewall1243 · November 17, 2020, 08:31:26 PM

HaProxy ist dein Freund.
Die Standard Anleitung aus den Docs hat alles was du dafür brsuchst.

Ich hoffe aber Mal du hängt deine Haussteuerung nicht ins Netz?!

micneu · November 17, 2020, 08:36:48 PM

Hatte ich doch schon vorgeschlagen

Gesendet von iPhone mit Tapatalk Pro

cwt · November 18, 2020, 12:23:11 PM

Wenn es kein HAProxy werden soll, hat die Synology einen Reverse Proxy auf Basis von NGINX von Haus aus onboard. Dann wäre nur eine Weiterleitung von der Sense auf die Synology einzurichten. Nur als zusätzlicher Gedanke...

Tubs · November 18, 2020, 01:28:24 PM

Quote from: lfirewall1243 on November 17, 2020, 08:31:26 PM
HaProxy ist dein Freund.

HAProxy wird als reverse proxy unter OPNsense meist empfohlen, nginx seltener.
Mal die Funktion load balancing ausgeschlossen, welche Argumente sprechen für HAProxy statt nginx?

fabian · November 18, 2020, 08:00:11 PM

Quote from: Tubs on November 18, 2020, 01:28:24 PM
HAProxy wird als reverse proxy unter OPNsense meist empfohlen, nginx seltener.
Mal die Funktion load balancing ausgeschlossen, welche Argumente sprechen für HAProxy statt nginx?

Die Config kann weniger und wird daher vielfach als einfacher angesehen.

HAProxy ist in OPNsense mehr oder weniger ein Load Balancer und der nginx kommt mit zusätzlichen Funktionen wie WAF, UDP Lastverteilung, Web Server, ...

Als Entwickler weiß ich auch aus Erfahrung weiß ich auch, dass oft Frust entsteht, wenn die Location Blöcke falsch konfiguriert werden (oft volle URL statt Pfad bzw. Regex).

dslthomas · November 19, 2020, 07:59:28 PM

So,- nun habe ich schon einige Tage gebastelt und komme einfach nicht weiter. Ich habe verschiedene Anleitungen gefunden aber entweder sind sie auf englisch oder sie sind mit Let's Encrypt beschrieben und konfiguriert was so nicht funktioniert denn Let's Encrypt muss beispielsweise der Server selbst liefern damit der Exchange sauber arbeitet .
Gibt's irgend wo ne deutsche Anleitung welche einfach nur das weiterleiten beschreibt? Ich blicke da nicht durch....

lfirewall1243 · November 19, 2020, 08:02:41 PM

Quote from: dslthomas on November 19, 2020, 07:59:28 PM
So,- nun habe ich schon einige Tage gebastelt und komme einfach nicht weiter. Ich habe verschiedene Anleitungen gefunden aber entweder sind sie auf englisch oder sie sind mit Let's Encrypt beschrieben und konfiguriert was so nicht funktioniert denn Let's Encrypt muss beispielsweise der Server selbst liefern damit der Exchange sauber arbeitet .
Gibt's irgend wo ne deutsche Anleitung welche einfach nur das weiterleiten beschreibt? Ich blicke da nicht durch....

Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy

dslthomas · November 19, 2020, 08:12:26 PM

Quote from: lfirewall1243 on November 19, 2020, 08:02:41 PM
Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy

Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist.

Ich will folgendes erreichen:

FQDN     IP     Funktion     Port
www.test.com     192.168.0.2    Webserver     443
outlook.test.com 192.168.0.2    Outlook Web     443
master.test.com     192.168.0.2    RDP etc.     443,80,3389
nas.test.com     192.168.0.30    Synology     5001,6690,7001,8080,5000,80,443
ipsymcon.test.com 192.168.0.34    Haussteuerung     82,80,443

Patrick M. Hausen · November 19, 2020, 08:31:20 PM

Quote from: dslthomas on November 19, 2020, 08:12:26 PM
Quote from: lfirewall1243 on November 19, 2020, 08:02:41 PM
Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy
Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist

Was muss auf dem Server gemacht werden? Letsencrypt? Wozu?

Aus dem Internet erreichbar ist nur der HA-Proxy. Der kriegt sein Zertifikat per Letsencrypt. Der HA-Proxy spricht mit dem Server entweder unverschlüsselt oder über ein selbst signiertes Cert.

Ich habe zwar einen Apache 2.4 für den Job und nicht den HA-Proxy der OPNsense, aber das Prinzip ist dasselbe. Der Apache spricht mit allen Anwendungen HTTP.

dslthomas · November 19, 2020, 08:37:26 PM

Quote from: pmhausen on November 19, 2020, 08:31:20 PM
Was muss auf dem Server gemacht werden? Letsencrypt? Wozu?

Das muss unter anderem im IIS hinterlegt werden. Ist es nicht möglich einfach nur wie oben angegeben die URL´s und Ports weiter zu leiten?

lfirewall1243 · November 19, 2020, 08:41:44 PM

Quote from: dslthomas on November 19, 2020, 08:12:26 PM
Quote from: lfirewall1243 on November 19, 2020, 08:02:41 PM
Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy
Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist.

Ich will folgendes erreichen:

FQDN     IP     Funktion     Port
www.test.com     192.168.0.2    Webserver     443
outlook.test.com 192.168.0.2    Outlook Web     443
master.test.com     192.168.0.2    RDP etc.     443,80,3389
nas.test.com     192.168.0.30    Synology     5001,6690,7001,8080,5000,80,443
ipsymcon.test.com 192.168.0.34    Haussteuerung     82,80,443

Nein der HA Proxy regelt alles was die Zertifikate angeht.
Kannst auf deinem exchange ein self signed nutzen, falls der das braucht.

Ich hoffe aber Mal, dass du deine Haussteuerung und RDP nicht aus dem Internet erreichbar machen willst oder ?

mehrere Subdomains via Port 80/443

dslthomas

November 16, 2020, 08:58:51 AM

micneu

November 16, 2020, 09:06:24 AM #1

dslthomas

November 16, 2020, 09:34:03 AM #2

Tubs

November 16, 2020, 01:05:42 PM #3

lfirewall1243

November 17, 2020, 08:31:26 PM #4

micneu

November 17, 2020, 08:36:48 PM #5

cwt

November 18, 2020, 12:23:11 PM #6

Tubs

November 18, 2020, 01:28:24 PM #7

fabian

November 18, 2020, 08:00:11 PM #8

dslthomas

November 19, 2020, 07:59:28 PM #9

lfirewall1243

November 19, 2020, 08:02:41 PM #10

dslthomas

November 19, 2020, 08:12:26 PM #11 Last Edit: November 19, 2020, 08:33:18 PM by dslthomas

Patrick M. Hausen

November 19, 2020, 08:31:20 PM #12

dslthomas

November 19, 2020, 08:37:26 PM #13

lfirewall1243

November 19, 2020, 08:41:44 PM #14