Zugriff auf internen Webserver aus dem Internet via Reverse Proxy

Hallo,

im Unifi-Controller sind im Anschlussweiterleitung die Ports 80 und 443 auf einen internen Reverse Proxy weitergeleitet worden.

443, 80 -> [IP Reverse Proxy]

Innerhalb des Reverse Proxies wird auf weitere statische IP-Adressen der jeweiligen Webserver verwiesen.

In den "Traffic & Firewall Regeln" sind folgende Regeln erstellt worden:

1. Regel:

Name: Zugriff auf Webserver

Aktion: Akzeptieren

Typ: LAN In

Protokoll: Alle

Quelle: Beliebig

Anschluss: Beliebig

Ziel: [IP Reverse Proxy]

Anschluss: Beliebig

2. Regel:

Name: Reverse Proxy zu Webservices

Aktion: Akzeptieren

Typ: LAN Lokal

Protokoll: Alle

Quelle: [IP Reverse Proxy]

Anschluss: Beliebig

Ziel: [IPs Webservices]

Anschluss: Beliebig

3. Regel:

Name: Rückkehr von Webservices

Aktion: Akzeptieren

Typ: LAN Lokal

Protokoll: Alle

Quelle: [IPs Webservices]

Anschluss: Beliebig

Ziel: [IP Reverse Proxy]

Anschluss: Beliebig

Alle Regeln sind an oberster Stelle in den Listen der "Traffic & Firewall Regeln" platziert worden, damit keine DROP-Regel zuvor kommen kann.

Im ursprünglichen Thema RE: Unifi Controller Update wurde darauf hingewiesen, dass eventuell kein Split DNS eingerichtet sei.

Aus dem Lokalen LAN funktioniert ein Zugriff auf die Webservices fehlerfrei, wenn z.B. im Windows Client in der hosts Datei die Domain auf die IP-Adresse des Reverse Proxies eingetragen wird.

Ansonsten wird beim Zugriff auf die Webservices aus dem Internet im Browser die Fehlermeldung angezeigt: ERR_CONNECTION_TIME_OUT

Da alle Weiterleitungen mit festen statischen IPs erfolgt, sollte kein Split-DNS nötig sein. Die letzten 7 Jahre hat ein Zugriff aus dem Internet ohne Split-DNS fehlerfrei gut funktioniert.

Zitat von jkasten

Richte auf deinem DNS Split-DNS ein oder auf jedem Client die Hosts Datei.

Da ich mich mit der Materie nicht auskenne muss ich mich erst sachkundig machen, we man den DNS-Split einstellen kann.

Auf anderen Webseiten habe ich erfahren, dass Unifi UDM Pro kein DNS-Split unterstützt.

Eine andere Lösung wäre es, auf einem Synology NAS mit DSM7 den DNS-Split einzurichten. DMS7 unterstützt sogar eine Split-Funktion direkt. Nur müsste man dann die DSM Server auf dem Unifi UDM Pro anpassen.

Zitat von maxim.webster

Im Network Controller (auf einer Dream Machine Pro) kann man unter https://unifi/network/default/settings/routing/dns DNS Einträge setzen.

Ist damit diese Maske gemeint?

Im Feld Domain-Name muss der vollständige Domain-Name der Webseite eingetragen werden?

Und im Feld IP muss die interne IP-Adresse des Proxies eingetragen werden?

Zitat von maxim.webster

Eigentlich solltest Du den Link klicken können, dann weißt Du auch gleich, ob Unifi für Dich DNS macht

Den Link habe ich versucht zu öffnen. Dieser hat jedoch nicht funktioniert.

Der Browser kann den Namen "unifi" nicht zur IP-Adresse vom UDM auflösen. Die Namensauflösung im Lokalen Netzwerk scheitert schon seit vielen Jahren. Ich habe es irgendwann entnervt aufgegeben und mir angewöhnt, nur noch mit IP-Adressen zu hantieren.

Mittlerweile scheinen die ersten Domains zu internen Webservern wieder zu funktionieren.

Ich kann jedoch nicht testen, ob ein Zugriff aus dem Internet funktioniert, da der Mobilfunkempfang im Dorf so schlecht ist, dass nicht mal ein Punkt in der Empfangsstärke für Mobilfunk angezeigt wird. Im Hause kann somit nur via WLAN auf Internet Services zugegriffen werden.

Im UDM sind mehrere WLAN-Netze. Derzeit sind die Webservices nur in einem WLAN-Netz erreichbar. In den anderen WLAN-Netzen kann die Domain nicht aufgelöst werden. In den anderen WLAN-Netzen wird zum Teil auf PiHole als DNS-Server verwiesen. In den Netzwerk-Einstellungen ist in den DNS-Einstellungen an erster Stelle PiHole und an zweiter Stelle der DNS-Server für das entsprechende Netzwerk eingetragen.

Sorry für meine unklaren Infos. Ich stehe etwas unter Zeitdruck, da andere auf die Webservices angewiesen sind und mir die Zeit davon läuft.

Vom Internet aus sind die Webservices über über die Domainnamen nach wie vor nicht erreichbar. Welche Fehlermeldung genau angezeigt wird, kann ich noch nicht ermitteln, da ich noch keinen Proxy oder ähnliches eingerichtet habe, mit dem ein Zugriff aus dem Internet simuliert werden kann.

Ein Freund hat mir eine SSH-Zugang zu einem seiner Testsysteme gegeben.

Wenn auf diesem ein wget-Befehl auf eine Domain ausgeführt wird, kommt die Fehlermeldung , dass die Domainname nicht aufgelöst werden kann. Eine andere Domainname konnte mit der richtigen IP-Adresse aufgelöst werden, jedoch konnte nichts heruntergeladen werden. Parallel lief tcpdump auf dem Reverse Proxy. Hier kamen keine Anfragen an.

Auf die UDM ist unter SSH ein Benutzername & Passwort angegeben worden. Dennoch wird der Port 22 auf der UDM nicht geöffnet. Daher kann kein tcpdump auf der UDM ausgeführt werden.

In der "Firewall & Traffic" wurden alle eigenen Regeln entfernt und nur eine Regel mit dem Typ "Internet in" der Aktion "Zugelassen" und dem Ziel zum "Reverse Proxy" erstellt.

Dennoch kommt keine Anfrage aus dem Internet beim Reverse Proxy an. tcpdump zeigt auch keine Anfragen an, die von außerhalb ankommen sollten.

Unter den Portweiterleitungen sind nur noch die Ports 80 und 443 auf dem Reverse Proxy vorhanden und aktiviert.