UDM-Pro / DynDNS / WebUI mit redirect statt Port 80/443 Weiterleitung. -- Bekomme meine Server nicht online.

Es gibt 27 Antworten in diesem Thema, welches 9.751 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Hallo in die Runde,

    nachdem ich mal Hallo gesagt habe und schon mehr als einen wirklich genialen Tip/Anregung hier im Forum bekommen habe versuch ich mal meine Misere zu beschreiben.

    Ich hoffe hier war schon mal einer von Euch in der Lage und kann sich hoffentlich noch erinnern, wie er das umschifft hat. Ich fang mal an.


    im Grunde genommen will ich nicht viel. Meine Server hinter der UDM-Pro sollen wieder im Web erreichbar sein. Ist doch kein so hohes Ziel, dachte ich.

    Was steht dem im Wege?

    Vigor 166 -> UDM-Pro PPoE Telekom -> Proxmox Server mit mehreren Containern u.a. Nextcloud für Kommunikation und Kalender, Nginx Revers Proxy (der soll die einzelnen Server verbinden), Bitwarden Passwortserver und noch nen Pi-hole (ist noch nicht als DNS Server konfiguriert, eins nach dem anderen). Portweiterleitung 80 und 443 auf Reverse Proxy.


    Was passsiert denn, oder was passiert nicht?

    Angefangen bei dem reverse proxy. Der kann kein Let'S Encrypt Zertifikat ziehen, weil timeout. Kommt nicht raus. Eine anderer testweise aufgesetzer Container mit nem Apache winkt genauso ab. Auch timeout.

    Abgesehen das ich meine Dyndns Daten von Strato noch anpassen muss. (Danke für die hilfreichen Provider Skripte hier im Forum) scheint das ganze nicht zu funktionieren. Hab mich in die UDM per SSH begeben und hab inadyn.conf geöffnet, die unter einem ganz anderen Pfad zu finden war und als User, password und sonstige Einträge nur Test" drinstehen hatte, obwohl ich im web interface schon alles angepasst hatte. HAb /etc/inadyn.conf an strato angepasst und das Testscript, das ich auch hier bei Euch gefunden habe hat mir eine funktionierende Übergabe angezeig, obwohl ich da noch einen badauth 0.0.0.0 bekommen habe.


    Aber egal oder auch nicht. Ich hab die IP nun in der UDM und kann auch meine sublevel domain anpingen. Was nun aber passiert, wenn ich meine Server erreichen will und meine Domain eingebe ist super komisch. Gebe ich meine Domain ein kommt das WebUI der UDM. Der Link wird zu einem redirect: https://tmeine.domain.de/login?redirect=%2F


    Jetzt steh ich komplett auf dem Schlauf.


    Hattet Ihr so etwas schon mal?


    Mir fehlen die Ideen, da raus zu kommen.


    :tired_face:

    Zitat von BlackSpy

    Besser Port deines Servers ändern und Portweiterleitung nicht vergessen

    Das wäre dann zwei Ports ändern beim UDM-Pro gegen 2 x 4 Server Ports ändern und lets encrypt umbiegen (kein Ahnung ob das geht).

    Warum beschlagnahmt UI gerade die Ports 80 und 443 für sich? Kann man das abschalten? Oder vielleicht doch verlegen.

    Soll das heißen, man bekommt kein Zertifikat hinter der UDM-Pro. Oder man verbiegt alles andere.

    Welche Alternative hätte ich für meine Server?

    Wenn ich mit den Ports hantiere, dann kann ich jeden Server auf nen anderen Port legen und spar mir den Reverse Proxy. Dann mach ich aber ne Menge Türen auf.

    Ich komme nicht aus dem Netzwerkbereich. Wie der "Grüne" in meinem Icon, ich brauche es einfach. Hehe


    Mal abwarten. Evtl. hat ja jemand nen Server hinter der Kiste am Laufen? Ne Synology mit Zugriff von draußen oder ne kleine Cloud?

    Aber evtl. macht man das eben doch ganz anders.

    Ihr Jungs vom Forum habt's drauf.

    Ich hab mein Problem lösen können, dank Eurer tollen Tips und meiner tiefen Suche.

    Mein DynDNs Problem ist Geschichte. Die Cloud läuft und die Tage kommt noch bitwarden dran.

    Bin zufrieden und merke aber auch, das von Fritz zu UDM-Pro noch ne Menge zu lernen ist.

    Das ist aber ne nette Bastelei.


    Bin zufrieden.

    Bruce Banner! :winking_face:

    Hi,

    was hast du geändert? Hab das gleiche Problem mit meiner UDM-Pro

    Hi JCHenri,

    was hast Du denn alles schon hinter Dir? Ich erinnere mich, ich hatte mir das eine oder andere Haar ausgerupft und hab am Ende doch alles hinbekommen.

    Schreib doch mal ein paar Daten oder hast Du einen Thread irgendwo offen?

    Ich hatte mehrere Sachen zu lösen. Zum eine bekam ich meinen DynDNS mit strato nicht gelöst. Ich habe mehrere Server hinter der UDM-Pro laufen und hatte das Problem, das man ja nur eine dyndns addresse angeben kann in der UDM-Pro.

    Das kann man lösen, indem man bei dem Website-Provider bei mehreren Umleitungen mit CNAME arbeitet. So kann man unzählige Server hinter Deiner UDM betreiben.

    Das nächste Problem hatte ich, das ich kein Let's Encrypt Zertifikat erzeugen konnte, um meinen Proxy Manager betreiben zu können. Beim Erzeugen des Zertifikates kam der Proxy MAnager nicht dazu ein Zertifikat ziehen zu können. Das hab ich mit einer Firewall Regel geregelt, die einkommenden Traffic auf den Proxy Manager linkt. Dann bekam ich auch ein Zertifikat und das DynDns Problem hat mit dem strato script aus dem wiki auf Anhieb funktioniert.

    Da nun die UDM alles auf den Proxy Manager routet was auf Port 443 reinkommt und ich nur https zulasse, funktioniert das sehr gut.

    Gruß

    Marcus:winking_face:

    Nabend,


    habe tatsächlich das gleiche Problem. Ich bin auch bei Strato, habe da DynDNS habe das auf meinem Synology NAS eingerichtet (nicht auf der UDM pro). Auf dem Synology NAS habe ich nen reverse Proxy der mit Authentifizierung gesichert, den Zugriff auf mein OpenHAB, welches in einem Docker Container, auch auf dem NAS läuft, ermöglichen soll. Was ich innen so betreibe ist ja eigentlich auch egal. Ich komme mit Prot 80 und 443 aber immer auf die UDM pro - egal, was ich für Portweiterleitungen einrichte. Ich will auch gar nicht, dass meine UDM pro von außen erreichbar ist - schon gar nicht auf diesen Ports. Also die Kernfrage ist die gleiche: Wie kann ich verhindern, dass die UDM pro am WAN Port auf 80 u. 443 hört, damit meine Portweiterleitung auf einen Internen Webserver auf diesen Ports funktioniert?


    Danke schonmal & VG!


    Moritz

    Hallo, falls vor der UDM noch ein Router läuft, brauchst Du eine weitere Portweiterleitung auf der UDM zu deinem Server welcher auf Port 80 erreichbar sein soll. Ich würde den auch noch verbiegen. Am Router von Port 80 zu 1080 an UDM. An UDM eingehend 1080 zu 80 an Webserver. Das klappte mit einer Vodafone Easybox 904 LTE sehr gut.

    Hallo und vielen Dank für deine Antwort!


    Ich habe nur ein Vigor 167 VDSL Modem vor der UDM. Das kann zwar wohl mit einem Update auch als Router arbeiten, Bei mir läuft es aber nur als Modem.


    VG

    Zitat von mayanimation

    Hallo Mofix,

    Portweiterleitung http und https ist eines. Was sagt denn Deine Firewall? Mit Portweiterleitung alleine geht das nicht. Du musst der Firewall auch sagen, dass da was durch darf.

    Die Firewallregel wird auf der UDMPro automatisch mit angelegt, wenn man ein Portforwarding einrichtet.


    Ich hab das Thema gerade selber hinter mir, 80/443 lief nach nicht , jeder andere Port aber wohl - am Ende hat ein Reboot das Thema behoben.

    Was die Ursache letztendlich war, kann ich nicht sagen, der Unifi-Support hat das Thema schnell untern Tisch gekehrt, die wissen sicherlich selber, wie grusselig die Software auf der UDM ist.


    Was auch funktioniert hat, aber dann ein Eingriff ist die Konfig ist und evtl. einen Reboot/Update nicht überlebt, wäre zusätzliche IP-Tables Regeln für das WAN-Interface anlegen.

    Das hat bei mir funktioniert - ist aber keine Lösung, nur ein Workaround.


    Diese automatische Portweiterleitung funktionierte bei mir auch erst nicht. Ich musste ne Weile frickeln, bis das hinhaute.

    Support war nicht wirklich hilfreich.

    Was besonderes hab ich auch nicht gemacht und plötzlich funktionierte es, nachdem ich mal ein paar Nächte drüber geschlafen hatte und die Kiste in Ruhe lies, weil ich sie evtl. zersägt hätte.

    Zitat von mayanimation

    Diese automatische Portweiterleitung funktionierte bei mir auch erst nicht. Ich musste ne Weile frickeln, bis das hinhaute.

    Support war nicht wirklich hilfreich.

    Was besonderes hab ich auch nicht gemacht und plötzlich funktionierte es, nachdem ich mal ein paar Nächte drüber geschlafen hatte und die Kiste in Ruhe lies, weil ich sie evtl. zersägt hätte.

    Bei mir war es eben ein unfreiwilliger Reboot durch meinen Internetprovider initiiert - kein Internet morgens mehr, FritzBox rebootet und direkt die UDMPro hinterher - siehe da, das Portforwarding ging auf einmal.


    Vermutung: entweder das Gästeportal oder die interne WebUI krallen sich den Port und geben den nach Abschaltung nicht frei.

    Reboot tut gut.

    Bei jedem anderen Port ausser 80 / 443 funktionierte es ja auch sofort und ohne Probleme - VPN über Wireguard als Forward angelegt, lief sofort - anderen Source-Port benutzt, z.b. 8080 extern -> 80 intern und 4443 extern -> 443 intern ging auch problemlos.


    Auch eine zusätzliche iptables-Regel auf dem externen Interface mit Forward auf die interne-IP für die beiden Ports löste das Problem, aber so solls ja nicht sein, alles über die WebUI und nicht per Commandline.


    Der Support konnte mir bisher bei keinem Problem helfen, das hab ich immer selber gelöst. Ich hab die mit Logfiles, iptables-Liste, Wireshark-Trace zugeschüttet, das war wohl schon zuviel für den First-Level, haben das abgetreten an die Entwicklung.



    Die UDMPro steht eh bei mir auf der Abschussliste - von daher zersäge ich die mal nicht, sondern werde die eher verkaufen, dann kann sich damit der nächste rumärgern. :smiling_face:

    Bin komplett bei dir. Meine Liste steht auch schon.

    Der Gesamteindruck ist sehr gespalten. Die Accesspoints sind klasse und das war Krampf bei meiner FRITZ!Box. Was die UDM-Pro anbelangt ist es eher gemischt. Warum brauche ich ein Stück Hardware mit 2 grafischen UI und muss dann doch noch ins Terminal.

    Grendelbox hat einen Beitrag über eine Opensense Hardware gepostet, die mir auch schon seit ne Weile durch den Kopf geht.

    Mal sehen was der Weihnachtsmann im Sack hat.

    Ich habe ab Mitte nächster Woche Urlaub und die PfSense steht bereits fast fertig konfiguriert auf dem Schreibtisch, Patchkabel liegen schon bereit, der Netzwerk-Controller läuft auf einem Linux-Cpontainer. mal sehen ob ich das Mittwoch schon mache oder nach Weihnachten.

    Zitat von mayanimation

    Klingt spannend! musst Du unbedingt berichten.

    Erst Änderung schon mal, es wird keine PfSense werden, sondern die OPNSense - basiert auf der selben Software, ist aber etwas moderner in Sachen WebUI usw., zudem gibt das da eine größere deutsche Community.

    OPNSense ist ein Fork von PFsense und viele Entwickler sind da mit rüber gewechselt.


    Hardware läuft, Netze, VLan, DHCP ( bisher nur IPv4 ), Firewallregeln, usw. sind alles schon fertig, morgen abend nach HomeOffice-Feierabend werde ich die Unifi-Geräte aus der UDMPRo löschen und schon mal auf dem Linux-Controller einrichten.

    Mal sehen ob das problemlos funktioniert, ich habe da meine Zweifel - mit Einspiele des Backups von der UDMPro bin ich mehrfach klaglos gescheitert, das funktioniert überhaupt nicht.


    Evtl. werde ich noch eine Lüftersteuerung für den OPNSense-Server und mein Rack basteln, der Server wird im Dauerbetrieb zwar nur handwarm, aber der steckt nachher im Rack drin ohne aktive Lüfter.

    Zitat von Tuxtom007

    Erst Änderung schon mal, es wird keine PfSense werden, sondern die OPNSense - basiert auf der selben Software, ist aber etwas moderner in Sachen WebUI usw., zudem gibt das da eine größere deutsche Community.

    OPNSense ist ein Fork von PFsense und viele Entwickler sind da mit rüber gewechselt.

    Und warum nun der Wechsel
    oder ist das nun schon die Begründung?! :winking_face: