Server von außen erreichbar machen

[StefanS]

Sorry, wenn ich hier eine ziemliche Anfängerfrage stelle, die wahrscheinlich schon zig mal beantwortet wurde, aber ich blicke vor lauter Antworten nicht ganz durch, was jetzt eigentlich die Best Practice für folgendes Szenario ist:

1. Lancom 1781VAW an einem VDSL Telekom Anschluss mit fester IP
2. DHCP und DNS wird von einem Windows Server 2016 gemacht
3. diverse Server (Exchange, mehrere Webserver) sollen von außen erreichbar sein über z. B. exchange.meinefirma.de oder webserver1.meinefirma.de
4. die Domains zeigen per A-Record auf unsere feste IP

Mit Portweiterleitung habe ich das zumindest schon lauffähig bekommen (exchange.meinfirma.de:443 > exchange.local und webserver1.meinefirma.de:4430 geht auf webserver1.local) – schön ist das allerdings nicht.
Aber wie macht man das richtig? Und wie bekommt man das auch noch einigermaßen sicher?

[backslash]

Hi StefanS

Lancom 1781VAW an einem VDSL Telekom Anschluss mit fester IP

hast du nur eine feste IP oder hast du ein Netz bekommen?

Mit Portweiterleitung habe ich das zumindest schon lauffähig bekommen (exchange.meinfirma.de:443 > exchange.local und webserver1.meinefirma.de:4430 geht auf webserver1.local) – schön ist das allerdings nicht.
Aber wie macht man das richtig?

Solange du kein Netz mit festen Adressen hast, kannst du nur mit Portforwarding arbeiten. Wenn du ein Netz bekommen hast, dann richtest du eine DMZ mit genau dem Netz ein und stellst die Server in diese DMZ. Dann mußt du noch die Maskierungsoption der Default-Route auf "nur Intranet maskieren" stellen und die Verbindung einmal trennen. Danach sind die Server unter den öffentlichen IP-Adressen erreichbar (solange die Firewall da nicht blockt).

Und wie bekommt man das auch noch einigermaßen sicher?

indem du öffentlich erreichbare Server und dein Intranet physikalisch trennst, d.h. die Server kommen in die DMZ und du trennst den Zugriff zwischen DMZ und Intranet über Firewall-Regeln:

Eine DNEY-All-Regel, die alles verbietet und eine Regel, die den Zugriff auf die Server von überall erlaubt. Und dann brauchst du natürlich auch eine Regel, die deinen normalen Internetverkehr aus dem Interanet heraus erlaubt:

Code: Alles auswählen

Name:    ALLOW-INTERNET
Aktion:  übertragen
Quelle:  alle Stationen im lokalen Netz INTRANET
Ziel:    alle Stationen 
Dienste: von dir genutzte Dineste im Internet (WEB, MAIL, etc..)


Name:    ALLOW-SERVER
Aktion:  übertragen
Quelle:  alle Stationen
Ziel:    IPs des Server
Dienste: von den Server angebotene Dienste

Name:    DENY-ALL
Aktion:  zurückweisen
Quelle:  alle Stationen
Ziel:    alle Stationen
Dienste: alle Dienste

Der Regelsastz ist natürlich in Abhängigkeit von der eigenen Paranoia ausbaufähig

Gruß
Backslash

[StefanS]

Danke für die Antwort.

Also ist alles was mit DNS Weiterleitungen zu tun hat nur für Anfragen von intern? Ich habe es mir irgendwie so vorgestellt, dass die Anfrage von außen auf exchange.meinefirma.de oder webserver.meinefirma.de an den Windows DNS durchgereicht werden können und der dann die entsprechende Weiterleitung macht bzw. dass sich mit den IPv4>DNS>Weiterleitungen das gleich vom Lancom machen lässt.

Kann man von der Telekom bei einem Businessanschluss einen ganzen IP Bereich bekommen?

[Koppelfeld]

Hallo,

Also ist alles was mit DNS Weiterleitungen zu tun hat nur für Anfragen von intern? Ich habe es mir irgendwie so vorgestellt, dass die Anfrage von außen auf exchange.meinefirma.de oder webserver.meinefirma.de an den Windows DNS durchgereicht werden können und der dann die entsprechende Weiterleitung macht bzw. dass sich mit den IPv4>DNS>Weiterleitungen das gleich vom Lancom machen lässt.

Das kommt darauf an, ob der Provider gewillt ist,
- entweder die DNS-Einträge (einschl. "Rückwärtssuche", extrem wichtig bei Mail) nach Gusto
einstellt
- oder aber, besser noch, das zugewiesene Netz gleich an Deinen eigenen Nameserver delegiert.

Kann man von der Telekom bei einem Businessanschluss einen ganzen IP Bereich bekommen?

Ja, typisch sind /28er und /29er für kleine Installationen. Aber bei DSL ? Hmmmm.

Allerdings wäre ich mit dieser Technik sehr vorsichtig:

Unseriöse "Feinde des freien Internet" wie Google zum Beispiel nehmen Mails von kleinen MXen standardwidrig gar nicht an. Andere wiederum prüfen mindestens, ob ein 'reverse lookup' stimmt, selbsternannte "Fachleute" prüfen, ob der einliefernde Host einen MX-Record hat (was absolut nicht notwendig ist), andere wiederum "bewerten" den IP-Provider (Telekom und T-Systems genießen nicht gerade die beste Reputation). Wenn jetzt noch ein "Exchange" - Server hinzukommt, dann ist die kritische Masse fast erreicht. Jetzt noch einen "Virenscanner" und das ganze implodiert, wobei die CPT-Invarianz nicht mehr garantiert werden kann.

Grundsätzlich war aber das Konzept von Backslash komplett richtig.

Praktisch umsetzen würde ich es an Deiner Stelle nicht.

[StefanS]

Also der Exchange läuft schon länger und verschickt und empfängt wie gewünscht. MX und SPF sind für die Domain gesetzt und die IP hat auch einen Reverse-Lookup. Es gibt auch noch einen zweiten externen MX, der im Fall den Rest auffängt.

Es geht wirklich nur darum mit einer weiteren Domain nach drinnen zu kommen – ohne den Port anzugeben. Aber wenn wenn's nicht geht dann ist das so und man muss sich eben den Port merken.

[tichachm]

Hallo,

also wenn du nur eine externe IP-Adresse hast, kenne ich nur die Möglichkeit mit einem Reverse Proxy verschiedene Domain Namen auf verschiedene Server abzubilden (bei gleichem Port).

Das sieht dann so aus:
1. Deine Domainnamen (mail.domain.de und web.domain.de) verweisen alle auf die externe IP-Adresse.
2. Im Router ist eine Portfreigabe von Port 443 und/oder 80 auf den Server eingerichtet auf dem der Reverse Proxy läuft.
3. Der Reverse Proxy Server wertet die angefragte Domain aus und leitet dann entweder zum Exchange oder Webserver weiter.

Ich hab das ganze schon mal mit Exchange, Apache und HAProxy umgesetzt, das funktionierte recht gut.

Viele Grüße
Christian

PS: Wenn der Webserver kein https können soll, wäre auch eine Portweiterleitung von Port 80 auf den Webserver und eine von Port 443 auf den Exchange Server denkbar. Der Webserver ist dann unter http://domain.de und der Exchange unter https://domain.de erreichbar. Das ist aber meiner Ansicht nach keine schöne Lösung.