Generelle Frage Netzwerkaufbau / Firewalleinstellungen

Started by BOSSJoe, December 14, 2016, 09:25:21 AM

Previous topic - Next topic
Hallo zusammen,

ich habe da mal eine etwas generelle Frage und hoffe bei euch damit richtig aufgehoben zu sein... ;D

Folgendes:

Ich habe hier eine Synology Diskstation mit einer Dockerinstallation. Hierauf laufen verschiedene Container welche alle über eine Webgui verfügen.

Momentan erreiche ich diese über die unterschiedlichen Ports, also etwa so:

Applikation A --> 192.168.0.1:32700
Applikation B --> 192.168.0.1:32701
etc...

Ich möchte jetzt folgendes erreichen. Einmal sollen diese GUIs von extern erreichbar sein (fixe IP vorhanden, Domain beim Registrar registriert aber Namenssever noch nicht eingerichtet). Ideal wäre eine Namensaulösung wie diese:

Applikation A --> appa.meinendomain.de
Applikation B --> appb.meinendomain.de
etc...

Außerdem sollen die Seiten auch intern per Namen erreichbar sein. Idealerweise genau so wie oben, geht aber auch so in etwa:

Applikation A --> diskstation/appa
Applikation B --> diskstation/appb
etc...

Ich hab mich jetzt einmal ein wenig schlau gemacht und glaube mit einem Reverse Proxy das richtige Tool gefunden zu haben. Was mir noch nicht ganz klar ist, an welcher Stelle im Netz wäre der den sinnvoll. Bzw. brauche ich vielleicht sogar zwei Proxys einmal intern und einmal extern?

Am liebsten wäre mir außerdem ein SSL Zertifikat mit Let´s Encrypt, speziell für die externen Zugriffe. Das Thema Sicherheit muss hier natürlich ganz hoch gehalten werden.

Vielleicht kann mir jemand ein paar Tipps geben und meine Gedanken in die richtige Richtung schubsen. Momentan sehe ich glaube ich den Wald vor lauter Bäumen nicht.

Gerade fällt mir ein, ein Reverse Proxy bei einem externen Hoster wäre ja auch eine Option, oder?

Vielen Dank schon einmal für eure Hilfe,

Gruß

Joe

Am einfachsten geht das mit den Domains mit nginx (installierbar und konfigurierbar über die CLI).

Dazu kannst du die Services einfach so lassen wie sie sind und machst dann einen virtuellen Host pro Namen (server block), in dem du den server_name setzt und die Anfrage dann mit proxy_pass an den Server weiterleitest:
https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass

Das TLS-Zertifikat muss hier der Proxy haben und die letzte Strecke ist dann eben unverschlüsselt (Proxy <=> Webserver) und das geht nicht über die OPNsense GUI. Eine Alternative könnte es sonst noch sein, den Proxy nicht auf der Firewall sondern ebenfalls als Container laufen zu lassen. Dann musst du von außen eine Portweiterleitung (80, 443) machen.

Hi, vielen Dank für die schnelle Antwort.
So wie du es im letzten Absatz beschreibst hatte ich mir das schon gedacht. Also als Container auf der Synology. Ich bin kein Freund davon meine Firewall mit allem möglichen Zusätzen auszustatten. Sie soll in erster Linie das interne Netzwerk sichern.
Was ich noch nicht so ganz weiß oder kapiere, wie genau müsste das aufgebaut sein. Ist es wirklich nur der Proxy Container mit einer Weiterleitung auf die jeweiligen Ports und die Portweiterleitung auf der Firewall? Was ist zum Beispiel mit Zugriffen von intern? Ich glaube ich denke zu kompliziert...

Gruß Joe

Gesendet von meinem SM-G920F mit Tapatalk


Zugriffe von intern: Name wird auf das NAS aufgelöst und der Client spricht es direkt an
Zugriffe von extern: Portweiterleitung auf der WAN-IP auf das NAS

Idealerweise hat dabei der Container mit dem Proxy die richtigen Ports und leitet dann den Datenverkehr an die anderen Container weiter (z. B. über eine Bridge mit der alle anderen Container verbunden sind.

Hi,
Kannst du das noch einmal detaillierter erklären?

Vielen Dank Joe

Gesendet von meinem SM-G920F mit Tapatalk


DNS:
Ein Lan-Host löst deine Domain intern auf die interne IP vom NAS auf
Ein WAN-Host löst deine Domain auf die WAN-IP der Firewall auf

NAT/Routing
Wenn man von außen kommt: Portweiterleitung auf die NAS-IP
Wenn man von WAN oder LAN kommt: pass-Regel in der Firewall für die jeweiligen Interfaces (bei der Portweiterleitung kannst du dir die eine Regel generieren lassen)
Regeln jeweils für die Ports 80 und 443 (oder ein Portalias der beide beinhaltet)

NAS:
NGINX muss von außen (jeder IP) auf port 80 und 443 erreichbar sein.
Der NGINX leitet je nach Hostname die Anfrage an den entsprechenden Container weiter. Zwischen den Anwendungen und nginx läuft HTTP, zwischen Client und nginx läuft http oder https.




Hi, vielen Dank für die Antwort.
Sorte ich glaube ich habe mich ein bisschen irreführend ausgedrückt.

Mir ist schon klar was ein DNS ist und wie er funktioniert und auch die Funktionsweise für einen Zugriff von extern ist mir jetzt nahezu klar. Was mir noch ein bisschen abgeht ist der interne Zugriff.
Okay Namensauflösung intern. Ich erstelle also eine interne Domain die gleich lautet wie meine externe?
Wenn ich das so mache kann ich aber auch nur meine Diskstation aufrufen (diskstation.meinedomain.de) nicht aber die Applikation direkt über den passenden Port (appa.meinedomain.de)
Könntest du mir das noch ein bisschen detaillierter beschreiben? Auch Wie du das mit den Firewalleinstellungen machen würdest, das mit den Pass Regeln für die jeweiligen Interfaces.
Sorte aber ich glaube ich stehe echt neben mir. Bin sonst eher nicht so schwer von Begriff...😀

Vielen Dank
Gruß Joe

Gesendet von meinem SM-P605 mit Tapatalk


Quote from: BOSSJoe on December 16, 2016, 08:18:53 PM
Okay Namensauflösung intern. Ich erstelle also eine interne Domain die gleich lautet wie meine externe?

Ja genau - nennt sich split DNS

Quote from: BOSSJoe on December 16, 2016, 08:18:53 PM
Auch Wie du das mit den Firewalleinstellungen machen würdest, das mit den Pass Regeln für die jeweiligen Interfaces.

#Alias
WEB_PORTS = {80,443}

Firewall-Regel für LAN
Regel: Erlauben
von LAN-Netz
an NAS-IP
port WEB_PORTS

NAT-Regel
Auf Interface WAN
von überall:80
an WAN_IP
umleiten an NAS-IP:80
zugehörige FW-Regel erstellen lassen


Auf Interface WAN
von überall:443
an WAN_IP
umleiten an NAS-IP:443
zugehörige FW-Regel erstellen lassen

WICHTIG: auf diesen Ports muss dann aber auch der nginx und nicht die Konfigurationsoberfläche des NAS laufen!!!

Ich glaube so langsam macht es bei mir klick! Vielen Dank, vorallem der Begriff Split DNS bringt mir sehr viel Futter zum lesen. Das war mir nicht bekannt das man das so macht, bzw machen kann.
Ich versuche jetzt mal rauszubekommen wie ich das auf dem Synology DNS einsetzte.
Zur Not mach ich halt einen Docker Container mit Bind oder so auf...
Gruß Joe

Gesendet von meinem SM-G920F mit Tapatalk


Hi, hab mich heute noch einmal den ganzen Tag mit der Thematik beschäftigt. Ich glaube ich hab es kapiert. Vielen Dank für die Geduld...
Vielleicht noch eins, ich bin nicht so der Crack was Docker angeht. Die Container zum laufen bringen ist eines, richtig konfigurieren und vor allem Bridges einrichten was anderes. Kannst du mir hier auch noch einmal eine kurze Beschreibung geben?
Ach so und noch was... Eigentlich müsste der Nginx Server ja in einer DMZ stehen. Kann ich das dann auch noch so realisieren wenn ich Beispielsweise ein VLAN für die DMZ einrichte?
Vielen Dank  Gruß Joe

Gesendet von meinem SM-G920F mit Tapatalk


Quote from: BOSSJoe on December 18, 2016, 05:01:59 PM
Vielleicht noch eins, ich bin nicht so der Crack was Docker angeht. Die Container zum laufen bringen ist eines, richtig konfigurieren und vor allem Bridges einrichten was anderes. Kannst du mir hier auch noch einmal eine kurze Beschreibung geben?
Tut mir leid, ich verwende Docker nicht und kann dir daher hier nicht helfen.

Quote from: BOSSJoe on December 18, 2016, 05:01:59 PM
Ach so und noch was... Eigentlich müsste der Nginx Server ja in einer DMZ stehen. Kann ich das dann auch noch so realisieren wenn ich Beispielsweise ein VLAN für die DMZ einrichte?

Ja, wenn es dein Switch kann, dann geht das. Wenn du keinen Switch hast, aber mehrere Firewall-Schnittstellen, kannst du auch Firewall und Switch zusammenhängen (Crossover) und auf den Geräten VLANs einrichten. Dabei aber auf die Verfügbarkeit der Geräte achten (sich selbst aussperren ist hier leicht möglich)

Okay trotzdem vielen Dank. Ich werde es erst einmal ohne DMZ einrichten und wenn das alles passt die DMZ dazu nehmen...

Gruß Joe

Gesendet von meinem SM-P605 mit Tapatalk