mehrere Subdomains via Port 80/443

[dslthomas]

Moin, Moin,

Corona zwingt mich nun zu einem Umbau meines Heimnetzwerks um Home Office besser nutzen zu können. Ich habe zu Hause eine Entwicklungsumgebung mit einem Windows Server mit Exchange. Weiterhin habe ich mehrere Webserver (Haussteuerung, Website etc.) und eine Synology. Nun möchte ich alle Geräte von außen erreichen. Dabei benötige ich aber beispielsweise folgende Ports:

master.test.de = Port 80 und 443
haussteuerung.test.de = Port 443
Synology.test.de = Port 80 und 443

Frage: welches ist der sinnvollste Weg, diese Weiterleitungen zu den jeweiligen Subdomains einzurichten?

Ich habe natürlich auch schon gesucht, etwas wirklich schlüssiges habe ich für mich aber nicht gefunden.

Danke und Gruß aus Hamburg

[micneu]

Haproxy, Google und die Forum suche ist dein Freund hatte vor ein paar Wochen eine guten link gepostet

Warum nicht über VPN?

Gesendet von iPhone mit Tapatalk Pro

[dslthomas]

VPN muss ebenfalls eingerichtet werden aber der Webserver etc. sollen ja offiziell nach außen gelegt werden. Deinen Link werde ich dann gleich mal suchen. Danke

[Tubs]

Frage: welches ist der sinnvollste Weg, diese Weiterleitungen zu den jeweiligen Subdomains einzurichten?

Um mehrere Webserver hinter der Firewall über Port 80 und 443 verfügbar zu machen würde ich so vorgehen:
- öffentlich erreichbar --> reverse proxy: z. B. plugin HAProxy oder nginx
- nur über eigene Geräte und sensible Daten --> VPN: z. B. openVPN, IPSEc, WireGuard

Ich selbst verwende nginx und WireGuard für diesen Zweck.

[lfirewall1243]

HaProxy ist dein Freund.
Die Standard Anleitung aus den Docs hat alles was du dafür brsuchst.

Ich hoffe aber Mal du hängt deine Haussteuerung nicht ins Netz?!

[micneu]

Hatte ich doch schon vorgeschlagen


Gesendet von iPhone mit Tapatalk Pro

[cwt]

Wenn es kein HAProxy werden soll, hat die Synology einen Reverse Proxy auf Basis von NGINX von Haus aus onboard. Dann wäre nur eine Weiterleitung von der Sense auf die Synology einzurichten. Nur als zusätzlicher Gedanke...

[Tubs]

HaProxy ist dein Freund.

HAProxy wird als reverse proxy unter OPNsense meist empfohlen, nginx seltener.
Mal die Funktion load balancing ausgeschlossen, welche Argumente sprechen für HAProxy statt nginx?

[fabian]

HAProxy wird als reverse proxy unter OPNsense meist empfohlen, nginx seltener.
Mal die Funktion load balancing ausgeschlossen, welche Argumente sprechen für HAProxy statt nginx?

Die Config kann weniger und wird daher vielfach als einfacher angesehen.

HAProxy ist in OPNsense mehr oder weniger ein Load Balancer und der nginx kommt mit zusätzlichen Funktionen wie WAF, UDP Lastverteilung, Web Server, ...

Als Entwickler weiß ich auch aus Erfahrung weiß ich auch, dass oft Frust entsteht, wenn die Location Blöcke falsch konfiguriert werden (oft volle URL statt Pfad bzw. Regex).

[dslthomas]

So,- nun habe ich schon einige Tage gebastelt und komme einfach nicht weiter. Ich habe verschiedene Anleitungen gefunden aber entweder sind sie auf englisch oder sie sind mit Let’s Encrypt beschrieben und konfiguriert was so nicht funktioniert denn Let’s Encrypt muss beispielsweise der Server selbst liefern damit der Exchange sauber arbeitet .
Gibt's irgend wo ne deutsche Anleitung welche einfach nur das weiterleiten beschreibt? Ich blicke da nicht durch....

[lfirewall1243]

So,- nun habe ich schon einige Tage gebastelt und komme einfach nicht weiter. Ich habe verschiedene Anleitungen gefunden aber entweder sind sie auf englisch oder sie sind mit Let’s Encrypt beschrieben und konfiguriert was so nicht funktioniert denn Let’s Encrypt muss beispielsweise der Server selbst liefern damit der Exchange sauber arbeitet .
Gibt's irgend wo ne deutsche Anleitung welche einfach nur das weiterleiten beschreibt? Ich blicke da nicht durch....

Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy

[dslthomas]

Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy

Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist.

Ich will folgendes erreichen:


FQDN               IP                    Funktion             Port
www.test.com       192.168.0.2    Webserver     443
outlook.test.com    192.168.0.2    Outlook Web     443
master.test.com       192.168.0.2    RDP etc.             443,80,3389
nas.test.com       192.168.0.30    Synology             5001,6690,7001,8080,5000,80,443
ipsymcon.test.com 192.168.0.34    Haussteuerung     82,80,443

[Patrick M. Hausen]

Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy

Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist

Was muss auf dem Server gemacht werden? Letsencrypt? Wozu?

Aus dem Internet erreichbar ist nur der HA-Proxy. Der kriegt sein Zertifikat per Letsencrypt. Der HA-Proxy spricht mit dem Server entweder unverschlüsselt oder über ein selbst signiertes Cert.

Ich habe zwar einen Apache 2.4 für den Job und nicht den HA-Proxy der OPNsense, aber das Prinzip ist dasselbe. Der Apache spricht mit allen Anwendungen HTTP.

[dslthomas]

Was muss auf dem Server gemacht werden? Letsencrypt? Wozu?

Das muss unter anderem im IIS hinterlegt werden. Ist es nicht möglich einfach nur wie oben angegeben die URL´s und Ports weiter zu leiten?

[lfirewall1243]

Also bei mir läuft Exchange Einwand frei mit LE auf dem HaProxy

Ja, aber das muss ja auf dem Server gemacht werden und nicht auf der Firewall??? Ich kann ja nicht ein Zertifikat auf 2 Geräten erstellen. Das Problem ist auch, dass ich immer nur ein begrenztes Zeitfenster habe bis ich alles wieder zurück bauen muss damit eben der Exchange läuft und alles wie bisher von außen erreichbar ist.

Ich will folgendes erreichen:


FQDN               IP                    Funktion             Port
www.test.com       192.168.0.2    Webserver     443
outlook.test.com    192.168.0.2    Outlook Web     443
master.test.com       192.168.0.2    RDP etc.             443,80,3389
nas.test.com       192.168.0.30    Synology             5001,6690,7001,8080,5000,80,443
ipsymcon.test.com 192.168.0.34    Haussteuerung     82,80,443

Nein der HA Proxy regelt alles was die Zertifikate angeht.
Kannst auf deinem exchange ein self signed nutzen, falls der das braucht.

Ich hoffe aber Mal, dass du deine Haussteuerung und RDP nicht aus dem Internet erreichbar machen willst oder ?