Zugriff auf eigenen Server von aussen

Dieses Thema im Forum "Software" wurde erstellt von klinger, 11. November 2005.

  1. klinger

    klinger New Member

    Ich versuche wiedermal mir Zugriff auf meinen Server - von außen - zu verschaffen - vergebens.
    Da ich nicht gerade erfolgsverwöhnt bin, versuche ich gerade irgendeinen Dienst oder ein Lebenszeichen von meinem Server zu erhalten - aber ich erhalte nicht einmal ein Ping von der verdammten Kiste!

    Server: 10.3.9 Rechner (nicht Serverversion) mit aktiviertem Personal File Sharing, Personal Web Sharing, entfernte Anmeldung und entfernte Apple Events. Da ich mir betreffend Ports nicht sicher war habe ich einmal die Firewall deaktiviert. Dieser Server hängt in einem kleinem Netzwerk und hat eine fixe IP-Adresse, das Netzwerk hängt an einem Netgear RP614v2 Router und dieser wieder an einem Thomson-Cablemodem und dieses wieder an einem Kabelanschluss, wobei ich eine fixe IP-Adresse habe.
    Beim Router habe ich zuerst folgende Ports auf den Server geforwardet: 548, 427, 80, 443. In meiner Verzweiflung habe ich dan im WA(H)N Setup den Server auf Default DMZ Server gesetzt, Respond to Ping on Internet Port eingeschaltet und SPI ausgeschaltet.

    Ergebnis: Nix! Dabei habe ich wirklich die Hosen heruntergelassen!

    Jetzt habe ich versucht innerhalb des Netzwerks über die fixe IP-Adresse (die vom Kabelanschluss) und auch über einen Dyndns-Namen auf den Server zuzugreifen, funktioniert super! Voller Begeisterung habe ich das dann auch von zu Hause versucht, Ergebnis: Nix!

    Was mache ich falsch? An meinem Home-Netzwerk kann es doch auch nicht liegen, dann dürfte ich ja auf andere Web-Sites auch nicht kommen oder?

    Bin schon gespannt, ob jemand anderes eine Idee hat!
     
  2. WoSoft

    WoSoft Debugger

    könnte es sein, dass dein Server eine private IP-Adresse hat, wie z.B. 192.168.x.x? Die werden "draußen" nämlich nicht geroutet.
     
  3. klinger

    klinger New Member

    Ja, hat mein Server, aber wie mache ich dann mit meinem "drinnen" Netz, wenn der Server eine "draussen"-IP-Adresse hat, und sollte der Router die Dienste nicht weiterleiten (Port Forwarding)?
     
  4. WoSoft

    WoSoft Debugger

    Wie das genau bei dir einzustellen ist, sollte in der Bedienunsanleitung deines Routers stehen. Hier mal der Text von meinem Draytek (ohne Bilder).

    NAT-Portumleitung
    In diesem Abschnitt wird gezeigt, wie man den Zugriff auf Rechner des eigenen Netzwerks für beliebige Rechner im Internet ermöglicht.
    Im Normalfall geht das Bestreben des Netzwerkadministrators dahin, dass ein solcher Vorgang unter keinen Umständen stattfindet. Aus Sicherheitsgründen ist man bestrebt, nur dann eine Verbindung zuzulassen, wenn sie vom internen Netz ins externe Netz geht (inkl. zugehöriger Antworten aus dem externen Netzwerk).
    Manchmal ist es aber wichtig und/oder interessant, jemandem im Internet Zugriff auf interne Resourcen zu gewähren.
    Da der Vigor nur eine einzige IP-Adresse hat, wird ein Port der Vigor IP-Adresse fest mit einem bestimmten Port eines Rechners im internen Netzwerk verbunden - quasi eine umgekehrte Network Address Translation. Nun ist der Rechner im hausinternen Netz direkt für Nutzer des externen Netzwerks (meist das Internet) zugänglich.
    Hacker können in diesem Stadium aus der offenen Tür eine Sicherheitslücke machen. Dem Anwender obliegt es also, dafür zu sorgen, dass der Rechner, der aus dem Internet erreichbar ist, möglichst keine Administrationsfunktionen für das restliche Netzwerk ausübt und auch keine aktiven (oder aktivierbaren!) Verbindungen zu anderen Rechnern im internen Netz hat.
    Stattdessen sollte die Verbindung zu einer bestimmten Anwendung führen, die zulässige Zugriffe sinnvoll bearbeitet und, noch wichtiger, unzulässige Verbindungen abblockt. Wichtige hausinterne Daten, egal welcher Art, haben auf einem solchen Rechner nichts zu suchen.
    Für solche Rechner bietet sich die Verwendung eines Virtuellen LAN (VLAN) an. Definert man z.B. Port P4 als VLAN und schliesst den Rechner direkt an Port P4 an, so können von diesem Port aus die Geräte an Port P1, P2 und P3 nicht erreicht werden.
    Öffnen Sie im Hauptmenü des Vigors unter "Spezielle Einstellungen" den Punkt "NAT".
    •
    ?Unter "Gebräuchliche Port-Zuweisungen" finden Sie eine Liste mit fest vergebenen Portadressen. Wenn Sie eine der gelisteten Anwendungen nutzen, sollten Sie dessen Portnummer notieren und im nächsten Schritt unter "Interner Port" eintragen. Nicht gelistete Anwendungen (z.B. Spiele) listen die benutzte Portnummer in der Regel in der Dokumentation.
    •
    Gehen Sie jetzt mit "Zurück" auf die vorige Seite und öffnen Sie die Portumleitungstabelle:
    In dieser Tabelle werden die Portumleitungen definiert.
    •
    ?Dienst:?Unter Dienst können Sie eine Bezeichnung eintragen, z.B. HTTP. Der Eintrag dient nur Ihrer Orientierung und ist frei wählbar.
    Protokoll:?Stellen Sie hier das Protokoll ein, welches Ihre Anwendung benutzt- manche Anwendungen nutzen UDP oder auch UDP und TCP (in letzterem Fall muss man den Eintrag doppelt ausführen, je einmal für UDP und TCP).
    Öffentlicher Port:?Dies ist der Port, den die Software des externen Benutzers aus dem Internet anwählen muss, und der dann auf einen Rechner im internen Netz umgeleitet werden soll.
    Im oberen Bild ist gezeigt, wie man eine Portumleitung definieren muss, wenn man den internen Rechner mit der IP-Adresse 192.168.1.10 als Web-Server nutzen möchte.
    Bitte beachten Sie, dass mit dieser Einstellung eine Fernwartung über den ab Werk eingestellten Port 80 nicht mehr möglich ist. Die Portumleitungstabelle hat eine höhere Priorität als die Einstellung unter Fernwartung. Sollten Sie die Fernwartungsoption nutzen wollen, ändern Sie bitte den Port für die Fernwartung hier.
    Natürlich kann man auch abweichend von der üblichen Konvention einen anderen öffentlichen Port für den Dienst HTTP verwenden. Dieser Port muss dann aber explizit angegeben werden. Wenn Sie den Port 4500 als öffentlichen Port eingegeben haben und Ihr Vigor die IP-Adresse http://62.158.247.134 erhalten hat, muss im Webbrowser folgender Eintrag gemacht werden: 62.158.247.134:4500
    Interne IP:
    Das ist die IP-Adresse des Rechners in Ihrem Netzwerk, der aus dem Internet angewählt werden soll. Der Rechner muss mit einer festen IP-Adresse im Intranet konfiguriert sein (die Adressvergabe per DHCP würde zu wechselnden IP-Adressen führen und dann funktioniert die Verbindung mit dem Port des Vigor nicht wie gewünscht).
    Interner Port:
    Das ist der Port auf welchem der Rechner seinen Dienst anbietet. Für HTTP ist das in der Regel der Port 80.
    Ist Ihr Webserver gestartet, braucht der gewünschte Besucher aus dem Internet nur noch die IP-Adresse des Vigors. Die IP-Adresse finden Sie unter "Systemmanagement" --> "Onlinestatus", sofern eine Verbindung zum Internet besteht:
    •
    Die vom ISP vergebene IP-Adresse des Vigors im Internet, in unserem Beispiel also die 80.136.207.66 findet sich bei "Ethernet-WAN-Status" unter "IP-Adresse", sofern eine aktive Verbindung besteht.
    Hinweise!
    Die IP-Adresse wird dynamisch vergeben. Wenn also der Vigor die Verbindung wegen Inaktivität abbaut, wird bei erneuter Anwahl eine neue IP-Adresse vergeben.
    Diese Problematik kann man umgehen, indem man die dynamisch vergebene IP-Adresse über DynDNS mit einem Hostnamen koppelt. Eine Erklärung dieser Funktion finden Sie hier.
    Es ist nicht möglich, die Portumleitung aus dem internen Netz heraus zu testen!??Copyright 2004, DrayTek GmbH - Alle Rechte vorbehalten.
     
  5. klinger

    klinger New Member

    Danke Peter!

    Ich lese gerade zum X-ten mal das Manuel des Netgear-Routers durch und eigentlich, sollte ich das mit Portweiterleitung und DMZ Server eingestellt haben, aber zumindest auf mein Pingen (Eingestellt mit Respond to Ping on Internet Port) hätte der Router reagieren können.

    Kann es sein das dieses Thomson-Modem auch eine Firewall hat?

    Klinger.
     
  6. WoSoft

    WoSoft Debugger

    Kenne das Thomson nicht, aber es gibt DSL-Modem mit Firewall.
     
  7. klinger

    klinger New Member

    Teilerfolg:
    Mein Kabel-Modem hat zwar keine Firewall, aber eigene NAT Settings, da kann man mit Static Nat entries Ports weiterleiten. Ich habe aber nix riskiert und habe beim sogenannten Default Server die IP Adresse des Routers gewählt. Jetzt kann ich von außen "reinpingen"! Super! Aber leider war das auch schon mein größter Erfolg.

    Es sieht so aus, als ob die Daten bis zum Router kommen und nur der weiss nicht wohin damit.
    Theorie:
    Zuerst kommen die Daten aus dem Internet in mein Modem (was eigentlich auch eine Art Router ist) mit irgendeiner IP-Adresse, dort hat das Netzwerk die IP-Adressen 10.0.0.x, dann werden die Daten auf den Router weitergeleitet der wiederrum die Daten vom Netz 10.0.0.x ins Netz 192.168.0.x weiterleitet... und spätestens hier wissen die Daten (oder der Router) dann nicht mehr wohin damit.
     
  8. WoSoft

    WoSoft Debugger

    da gehört doch noch irgendein Dienst und ein Port dazu, z.B. FTP und Port 21.
     
  9. klinger

    klinger New Member

    irgendwie funktioniert das ganze noch immer nicht, jetzt habe ich port 80 und noch ein paar an meinen Server mit der fixen IP weitergeleitet, aber es passiert nix!

    Ach ja, wieder ein kleiner Teilerfolg: Habe kurzzeitig dezentrale Verwaltung aktiviert, habe mit xxx.dyndns.org:8080 Zugriff bekommen. Super! Das heißt, ich kann sicher bis zum Router vordringen.

    Habe in einem anderem Forum gelesen, dass einige Provider Port 80 blocken, um zu verhindern, dass man einen eigenen Webserver betreibt -> kann ich mir bei der Telekom-Autria durchaus vorstellen!

    Meine Frage wie umgehe ich jetzt Port 80? Wie kommen die Daten von außen auf einem anderen Port daher bzw. wie sage ich Apache (oder was dafür zuständig ist) das jetzt Port xy zuständig ist?

    Danke Klinger.
     
  10. klinger

    klinger New Member

    Es funktioniert, keine Ahnung was es war, aber nach einer Nacht warten hat sich mein Server entschlossen Kontakt mit mir aufzunehmen.

    ... dann werd ich schön langsam das nächste Projekt vorbereiten: VPN!
     

Diese Seite empfehlen