hallo,
also das sind ja mehrere Dinge gleichzeitig die hier zu deinem Problem führen
- Domain Auflösung zu zieladressen
- Portweiterleitung der usg an ein Gerät innerhalb des Netzwerkes
- Firewall regeln, wobei die standardmäßig innerhalb des Netzwerkes erst einmal nicht geblockt werden. Aber von der WAN Seite natürlich frei sein müssen.
Ich selber mache alles mit IPv6, dort bedarf es keinem port forwarding, sondern hier kommt die Firewall zum Einsatz.
Falls du ip4 nutzt musst du den Port (zb 80) auf deinen Server mit Port forwarding weiterleiten.
Was nun machen wenn man mehrere Server hat, aber nur eine öffentliche ip4?
die Lösung lautet Reverse proxy Server, diesen richtest du einmal in deinem Netzwerk ein, sehr einfach geht dies zb mit einer Synology, aber auch andere Server natürlich.
Was passiert nun wenn du mehrere Domain oder Subdominan hast? Du leitest alle Anfragen an deine ip weiter des Reverse Proxy Server, zb a.123.de und b.123.de –> der Reverse Proxy schaut nun, ok, kommt die Anfrage von a.123.de dann leite ich auf den internen Server zb 192.168.10.100 um, kommt die Anfrage von b.123.de dann leite ich intern auf zb 192.168.11.110 um
ich hoffe zumindest ein paar Begriffe aufgenommen zu haben womit du weiter zum Ziel kommst, unten drunter habe ich noch was rein kopiert was mir beim einrichten der Firewall immer hilft mich zurechtzufinden, es kommt nicht von mir, aber hilft der Übersicht.
Grüße
UniFi Security Gateway Firewall
Was bedeuten die Firewall Regeln genau?
WAN ist das Internet oder externe Netzwerk
LAN ist irgendein internes Netzwerk, ausser Gast
GUEST internes Netzwerk, welches als Gast definiert wurde
LOCAL Netzwerkverkehr auf die Firewall selbst
WAN IN (WAN eingehend)
Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.
WAN OUT (WAN ausgehend)
Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.
WAN LOCAL (WAN lokal)
Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.
LAN OUT (LAN ausgehend)
Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.
LAN IN (LAN eingehend)
Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.
LAN LOCAL (LAN lokal)
Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.
Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.