Remote-Zugriff via VPN und https

s-g

Member
Registriert
27 Mai 2011
Beiträge
827
mal ne Frage an die Netzwerkprofis:

Mein Server hängt ganz normal im Heimnetz, erreichbar unter 192.168.0.123:port. Darauf laufen verschiedene Dienste an verschiedenen Ports. Auf einige dieser Dienste möchte ich von unterwegs ohne VPN Zugriff, weshalb der Server für die Domain s-g.de ein LetsEncrypt SSL-Zertifkat hat und somit unter https://s-g.de:123 erreichbar ist.
Das funktioniert so auch alles wunderbar.

Jetzt zum Problem: Einige Dienste benötige ich nicht mit direktem Internetzugriff, da ist VPN völlig ausreichend. Die Clients für die Dienste verlangen jedoch nach einem offiziell signierten Zertifikat.
Über https://192.168.0.123:456 funktioniert das s-g.de Zertifikat nicht.
Ein Eintrag in die Hosts der Clients macht außerhalb des Heimnetzwerkes Probleme.
Port 456 am Router öffnen funktioniert natürlich, aber ich bin jetzt nicht so der Fan von unnötig offenen Ports...

Gibt es da eine elegante Lösung?
 
Zuletzt bearbeitet:
hostname im router setzen geht nicht... so das der dns halt auf 192.168.0.123 zeigt
wobei ich beim VPN ausgestiegen bin...
 
Hast du einen DNS im internen Netz? Dann könntest du dort die DNS-Anfragen auf s-g.de umbiegen und dafür sorgen, dass von intern nicht die öffentliche IP sondern die interne IP zurückgegeben wird. Zusammen mit einer möglichst kurzen Gültigkeitsdauer der Einträge könnte das klappen. Du musst dann natürlich auch intern s-g.de statt der IP nehmen

Alternativ: NAT Reflection. Zugriff aus dem internen Netz auch über die externe IP laufen lassen. Das NAT "reflektiert" dann den Eintrag wieder aufs interne LAN und wenn die Firewall so konfiguriert ist, dass die Zugriffe von intern erlaubt sind, von extern aber nicht, dann erreichst du auch das gleiche. Aber auch in diesem Fall musst du dann s-g.de statt der IP benutzen.

Mit pfsense als Firewall ist sowohl die erste als auch die zweite Lösung möglich. Was dein Router/deine Firewall davon kann, weiß ich natürlich nicht.

Ansonsten bleibt nur, ein selbstsigniertes Zertifikat zu nutzen und das in den Clients zu hinterlegen, um es auch dort als vertrauenswürdig zu definieren. Oder die Dienste so umkonfigurieren, dass sie auch mit nicht vertrauenswürdigen (durch Zertifizierungsstellen signierte) Zertifikate arbeiten.
 
Daran mir einen kleinen DNS-Server aufzusetzen hatte ich auch schon gedacht. Und inzischen etwas gebastelt. Nur Blickt das meine FritzBox irgendwie nicht.
Bei direktem Ansprechen des DNS-Servers über "host www.thinkpad-forum.de 192.168.0.123" bzw "host s-g.de 192..." werden jeweils die korrekten IPs ausgegeben. Als DNS läuft BIND9.
Nun wird dieser von der FritzBox ignoriert. Eingetragen ist der DNS unter Internet -> Zugangsdaten -> DNS-Server.
s-g.de wird aber im Browser nicht korrekt aufgelöst und wenn der eigene DNS auch noch als alternativer DNS in der FritzBox eingetrage wird, geht gar nichts mehr...

Edit: Wird BIND9 direkt in den Netzwerkeinstellungen der Clients als DNS eingetragen funktioniert alles wie es soll. Ist aber nicht Sinn des Ganzen...

Edit2: Nachdem die die Netzwerkadaptereinstellungen einmal Geändert und danach wieder in Urpsrungsstellung gebracht wurden funltioniert jetzt auf einmal alles. Trotz flushdns :).
 
Zuletzt bearbeitet:
Beiträge aus "Kurze Fragen..."-Thread ausgelagert
 
Hab den Titel nochmal angepasst.

Fürs Protokoll: Hier ist gut erklärt, wie der DNS einzurichten ist.
Bei der Cerwendung von Docker sollte im Dockerfile noch die Zeile "--net=host" ergänzt werden, da der DNS ansonsten standardmäßig nur Anfragen aus dem Container heraus beantwortet.

Mich wundert nur noch etwas, warum die FritzBox (oder Windows?) den neuen DNS-Server verspätet akzeptiert...
 
Weil sie mit einem DNS-Cache arbeiten.
Unter Windows kann man mit
Code:
ipconfig /flushdns
und
Code:
ipconfig /reigsterdns
den DNS-Cache leeren und neu füllen.
 
Die ipconfig scheint in dem Fall unschuldig zu sein. Ich glaube eher, dass die FritzBox (7362 SL) da noch was zwischenspeichert.
Bei der ist BIND9 als primärer und 1.1.1.1 als alternativer DNS eingetragen.


Folgendes, reproduzierbares, Szenario…

Ausgangssituation: BIND9 läuft, alles funktioniert wie es soll, interne und externe Domains werden korrekt aufgelöst.

Aktion 1: BIND9 wird abgeschalten.
Erwartetes Ergebnis: Interne Domains werden nicht mehr aufgelöst, externe funktionieren über den alternativen DNS nach wie vor.
Tatsächliches Ergebnis: Genau anders herum. Die internen funktionieren weiterhin, externe werden nicht aufgelöst. Selbes Verhalten auf allen Clients, flushdns macht keinen Unterschied.

Aktion 2: FritzBox kurz vom Strom trennen.
Ergebnis: Das was ich eigentlich nach Aktion 1 erwartet hätte. Interne funktionieren nicht mehr, extern wird aufgelöst.

Aktion 3: BIND9 wieder starten.
Ergebnis: Kein Unterschied, interne Domains werden nicht aufgelöst.

Aktion 4: FritzBox wieder kurz vom Strom trennen.
Ergebnis: Jetzt funktioniert wieder alles wie es soll.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben