Keine Verbindung zur UDM oder Rechner im Netz über öffentliche IP

Es gibt 6 Antworten in diesem Thema, welches 293 mal aufgerufen wurde. Der letzte Beitrag () ist von heilretter.

  • Hallo,


    ich bin noch neu hier und auch was die Netzwerkdinge betrifft noch nicht so erfahren. Trotzdem habe ich mit Hilfe des Web's folgende Konstellation hinbekommen.


    Internet (ISP = Telekom) -> Zyxel VMG4005-B50A (im Bridge Modus am WAN1 der) -> UDM Pro (Einwahl per PPPoE; WAN IP = meine öffentliche IP, aktuell 79.245.1xx.xxx; per dyndns bei ddnss eingerichtet) -> Mein Lokales Netzwerk


    Alles funktioniert soweit sehr gut. Alle Geräte haben Zugang zum Internet die öffentliche IP wird regelmäßig an ddnss gemeldet und aktualisiert wenn sich diese ändert.


    In der UDM habe ich den WireGuard VPN eingerichtet. Dieser funktioniert prima. Wenn ich mich von einen Gerät außerhalb per VPN über die öffentliche IP oder die ddnss-Domain verbinde, wird die Verbindung hergestellt und ich bin mit dem Gerät im lokalen Netzwerk.


    Nun wollte ich analog der Freigabe der WireGuard Firewall-Regel diverse weitere Freigaben ausprobieren (z.B. für einen Webserver, eine RDP-Verbindung auf ein Gerät im lokalen Netzwerk, etc.) Aber egal was ich für Regeln setze ich komme niemals durch. Ich kann nicht mal die Admin-Oberfläche der UDM über die öffentliche IP aufrufen, obwohl das doch eigentlich das einfachste sein sollte. Mit dem Versuch zu pingen oder einen Portscan durchzuführen lande ich immer im Timeout. Was mich aber echt verwirrt, dass ich selbst mit einem Pingversuch auf den VPN-Port der öffentlichen IP ein Timeout erhalte, obwohl die Verbindung per VPN weiterhin problemlos möglich ist.


    Hättet ihr Ideen woran das liegen könnte und Vorschläge, wie ich mein Ziel (diverse Geräte in meinem lokalen Netzwerk (bzw. der DMZ) über unterschiedliche Ports zu erreichen) umsetzen könnte?


    Vielen Dank.

  • An deiner Stelle würde ich nicht rumprobieren wie Du die größtmögliche Anzahl an Sicherheitslöchern erzeugen kannst, sondern etwas gegen deine eigene erste Bemerkung tun. Um auf die Internen Geräte zuzugreifen, hast Du doch eine VPN angelegt die Funktioniert ... warum willst Du also beispielsweise eine Windows Kiste mit RDP für die Hacker ins Internet stellen?!? Das gleiche gilt für die Admin Oberfläche des Routers ... was soll die im Internet? Fernkonfiguration kannst Du mit unifi.ui.com erledigen oder über die VPN.


    Das Du die öffentliche IP nicht anpingen kannst ist Defaultverhalten. Kann man in der Firewall regeln.

  • Danke DoPe für deine Antwort.


    Aber wie soll man einen Webserver betreiben, wenn der Besucher dazu vorher eine VPN-Verbindung aufbauen muss. Die anderen Beispiele wie RDP und das Erreichen der UDM aus dem Internet waren nur Versuche um dem Problem auf die Spur zu kommen. Dabei habe ich festgestellt, dass keine der Varianten funktioniert, also ein generelles Problem vorliegen muss.


    Hauptziel ist der Server auf dem der Webserver läuft. Aber auch den erreiche ich von außen (ohne VPN) nicht.


    Zum Thema Sicherheit bei RDP frage ich mich nach deinem Hinweis nur, warum es bei ganz vielen Hostern Standard ist, seine gehosteten virtuellen Maschinen (die z.B. als Applikation-Server usw. dienen) per RDP zu managen und den Endbenutzern zur Verfügung zustellen (z.B. bei Continum oder Contabo um mal nur zwei zu nennen). Theoretisch müssten die Daten all der Kunden dieser Hoster dann ungeschützt den Hackern im Internet zur Verfügung stehen. :confused_face:


    Hilfreich für mich wären Hinweise wie ich z.B. diese gewollten Löcher bohren muss, damit ich den z.B. den Webserver erreiche.

    Einmal editiert, zuletzt von heilretter ()

  • Du wirfst Sachen durcheinander.


    Wenn du von außen auf einen eigenen Webserver willst, dann musst du ein Portforwarding (Ports 80:443) zum Server machen.


    Dieser sollte aber entsprechend gesichert sein. Auch solltest du ihn vom restlichen Netz isolieren.

    Gemäß der neuen Zonen Firewall wäre er dann in der DMZ Zone zuhause.

    Aber man sollte schon wissen, was man da macht und evtl. noch weitere Sicherheitsstufen dazwischen haben.

    Du glaubst gar nicht, wie viel im Internet blind am Port 80 anklopft.


    RDP: Meiner Meinung nach sollte man RDP immer über VPN machen.

    Es gibt gar keinen Grund warum jeder von außen bis zu deiner lokalen Maschine gelangen sollte, der da nichts zu suchen hat.

  • Das von dir beschriebene vorgehen habe ich umgesetzt.


    Habe ein separates Netzwerk erstellt, isoliert und in der Zonenverwaltung in die DMZ geschoben. Der Server läuft in diesem Netzwerk und es sind die Ports 80 und 443 von Extern auf die IP des Servers in der DMZ freigegen.


    Gleiches Ergebnis wie schon beschrieben - kein Zugriff von außen auf den Webserver. Was übersehe ich?

  • Danke gierig für den wertvollen Hinweis.

    Da lag tatsächlich mein Fehler. Ich hatte angenommen, dass die Freigabe der Ports unter "Sicherheit" -> "Firewall" quasi das Portforwarsing ist, da ich dort ja ebenfalls eine Quelle und ein Ziel eingebe (z.B. Extern nach DMZ auf spezifischen Port 80).


    Nun habe ich unter Routing bei Anschlussweiterleitung ebenfalls solch eine Regel eingegeben und es klappt.


    Vielen Dank!

  • heilretter

    Hat das Label erledigt hinzugefügt.