Zugriff über verschiedene Domains von "Außen"

Es gibt 8 Antworten in diesem Thema, welches 1.792 mal aufgerufen wurde. Der letzte Beitrag () ist von unwichtig.

    Hallo zusammen,


    ich habe aktuell folgenden Aufbau:


    Fritzbox -> UDM Pro -> verschiedene Server, wie 2 Synology NAS, 1 RaspBerry, 1 Linux-Server, 1 Cloud-Server


    Ich würde gerne mein Netzwerk so strukturieren, dass verschiedene Server von außerhalb über eigene Domains erreichbar sind. Diese würde ich über DynDNS auf mein Heimnetzwerk zeigen lassen. Wichtig dabei ist:


    1. Es gibt Server, die nicht von außen erreichbar sein sollen

    2. Es gibt Server, die nur von bestimmten Geräten (MAC-Adressen-Filter?) erreichbar sein sollen


    Wie würdet ihr das Netzwerk strukturieren bzw. welche Software sollte ich verwenden? In zusätzliche Hardware würde ich ggf. auch investieren.

    Wenn Du das nur mit dynDNS lösen möchtest, dann kann es sein, dass Du ein paar Namen brauchen wirst. Ich bin da nicht mehr auf dem aktuellen Stand, aber ohne zum Beispiel einen Proxy wirst Du das Problem nicht lösen können. --> https://nginxproxymanager.com/ <-- Wo Du diesen laufenlassen möchtest, weiß ich nicht - aber ein NAS würde ich für meinen Teil nicht empfehlen. #TooHot

    Ob Du damit auch den Zugriff von außen soweit beschränken kannst, dass nur bestimmte Absender - MAC-Adressen wirst Du nicht als Identifier von extern nutzen können, da Du die echten nicht mehr siehst - ist mir nicht bekannt. Mit "HTACCESS" geht das aber.

    Auch im Nginx kann man bestimmten IP-Adressen den Zugriff verwehren. Kommt der User ab dann von einem mobilen Gerät = andere IP-Adresse, dann wird es wieder nicht richtig klappen, ohne auch anderen wieder Zugriff zu gewähren.

    Danke schon mal für Deine Antwort. Ich hatte gelesen, dass die meisten den Reverse Proxy vor die UDM schalten. Liege ich da richtig, dass das in meinem Fall keinen Sinn macht? Man müsste doch die Ports 80 und 443 komplett offen von der UDM auf einen nachgelagerten Reverse Proxy leiten, der wiederum verteilt?

    Zitat von ubiuser

    Danke schon mal für Deine Antwort. Ich hatte gelesen, dass die meisten den Reverse Proxy vor die UDM schalten. Liege ich da richtig, dass das in meinem Fall keinen Sinn macht? Man müsste doch die Ports 80 und 443 komplett offen von der UDM auf einen nachgelagerten Reverse Proxy leiten, der wiederum verteilt?

    Ich denke, dass Du das falsch verstanden hast: Das Gateway stellt ja die Verbindung zum Internet her und sollte damit die erste/letzte Instanz in Deinem Netz sein. Damit ist auch der oben genannte Proxy innerhalb Deines Netzes zu betreiben, lediglich die TCP-Ports 80 und 443 sind durch eben jenes Gateway an diesen Proxy weiterzuleiten. Nix extern und so. :winking_face:

    In Deinem Setup kann es sein, dass FRITZ!Box und UDM-Pro zu konfigurieren sind - nicht mein Setup.

    Kabel-Box oder DSL? Dein Setup kennst wahrscheinlich nur Du. Aktualisiere das gern noch oben.

    Deswegen wundert es mich umso mehr, dass teilweise der Proxy vor (zwischen Fritzbox und Gateway) gestellt wird.


    Ich bräuchte quasi einen Reverse Proxy, der gleichzeitig die Zugriffe (Mac-Filter) reguliert.

    Was für einen Anschluss hast Du zu Hause oder wo auch immer Du dieses Setup umsetzen möchtest?

    Zitat von ubiuser

    Ich bräuchte quasi einen Reverse Proxy, der gleichzeitig die Zugriffe (Mac-Filter) reguliert.

    Das (MAC-Filter) wird Dir aus dem Internet nicht helfen, denn Du siehst nur die MAC von Deinem direkten Kommunikationspartner, aber nicht vom ursprünglichen Absender.

    Entweder musst Du eine Benutzer-Authentifizierung mit dem Proxy Manager machen oder später am Web-Server. Ich würde aber den Proxy favorisieren.

    Es sei denn, Du willst z.B. den Zugriff auf ein nachgelagertes Forum regulieren. Entweder verwendest Du dann eine zentrale Instanz (z.B. via LDAP) oder die Bentzer müssen sich mehrfach authentifizieren - je nach Szenario.

    Ich würde keinen Zugriff über Ports freigeben.

    Alle Geräte die ich von außen zugreifen lassen nutzen bei mir VPN.

    Das einzige was ich extern ohne VPN verfügbar habe ist ein Minecraft Server.

    Um diesen Verfügbar zu machen hängt der einfach direkt an der Fritzbox und somit auch außerhalb der Unifi Netzwerkumgebung.

    Viele Dinge laufen bei mir im Docker, und um mir nicht IP und Port von allem merken zu müssen nutze ich "Heimdall" welcher ebenfalls im Docker läuft.

    Zitat von unwichtig

    Ich würde keinen Zugriff über Ports freigeben.

    Alle Geräte die ich von außen zugreifen lassen nutzen bei mir VPN.

    Das einzige was ich extern ohne VPN verfügbar habe ist ein Minecraft Server.

    Um diesen Verfügbar zu machen hängt der einfach direkt an der Fritzbox und somit auch außerhalb der Unifi Netzwerkumgebung.

    Viele Dinge laufen bei mir im Docker, und um mir nicht IP und Port von allem merken zu müssen nutze ich "Heimdall" welcher ebenfalls im Docker läuft.

    Wenn es so einfach wäre.... Es gibt Server (der Cloudserver), die von Dritten erreichbar sein müssen. Ich habe einen iOS-App für Dritte, die sich Daten über einen Server holt. Gleichzeitig muss der Server intern erreichbar sein. Für ein paar Anwendungen verwend eich bereits VPN, diese müssen nicht für Dritte geöffnet sein.


    Außerdem: Hängt man alles vor die UDM, hat man keine Firewall bzw. benötigt man eine zusätzliche Firewall. Wie ist das bei dir gelöst?

    Es ist ja "nur" der Pi mit nem Minecraft Server... Die hat keinen Zugriff auf irgendwas, also besteht der einzige Schutz aus regelmäßigen Updates. Seit Log4j ist er allerdings eh aus, Junior spielt zZ nicht :winking_face:

    Aus dem Heimnetz kommt man ja problemlos an die Geräte die an der Fritzbox hängen, nur zB Surfshark oder ähnliche VPN lassen einen da nicht so ohne weiteres dran.

    Grundsätzliche hängt meine UDM als Exposed Host an der Fritte die ich wegen des Kabelanschluss und internem ISDN nicht loswerde.