Erweiterte Portweiterleitung

B

bilbo_b

Guest
Hallo auch. Mit dnsomatic.com kann man ja diverse DynDNS Adressen auf die FritzBox verweisen lassen. Ist es auch möglich dabei von der FB die Quelle auswerten zu lassen? Angenommen ich hab einmal den Namen RechnerEins.dyndns.org und den RechnerZwei.dyndns.org. Beide verweisen auf die gleiche IP einer FritzBox. Kann ich die FritzBox so einstellen (mit Freetz), das eine Anfrage auf https://RechnerEins.dyndns.org:443 auf den Rechner hinter der FB weitergeleitet wird und eine Anfrage für https://RechnerZwei.dyndns.org:443 auf die Fernwartung der FB selbst? Oder kann man die Fernwartung der FB verschlüsselt und dennoch über Port 80 erreichen?
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
0
Punkte
0
Die Namensauflösung macht der Client, danach spricht der Client die IP-Adresse an. Die Box kann folglich nicht unterscheiden, ob direkt die IP-Adresse oder einer von mehreren möglichen Namen verwendet wurde, um zu dieser IP-Adresse zu kommen.

Bei HTTP wird in der Anfrage der Name mitgesendet. Das erfolgt aber zu spät, als dass man das für eine Port-Weiterleitung nutzen könnte.
Bei HTTPS ist das auch noch verschlüsselt, so dass ein Router gar nicht mitbekommt, welches Ziel angesprochen werden soll.

Was bei DIr helfen könnte ist ein Reverse Proxy mit Unterstützung für SSL Verbindungen.
 

MalkoV2

Mitglied
Mitglied seit
29 Jan 2006
Beiträge
783
Punkte für Reaktionen
0
Punkte
0
Du kannst in der ersten FB eine Portweiterleitung ExterneIP:445 -> Rechner2IP:443 einrichten.
Dann sind beide über z.B.
- Rechner1.DynDNS.org:443 bzw.
- Rechner1.DynDNS.org:445 (-> Rechner2:443)
erreichbar
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,751
Punkte für Reaktionen
10
Punkte
38
B

bilbo_b

Guest
Also Reverse Proxy ist ne Idee. Hatte ich schon mal versucht mit dem Apache hinter der FB. Ich nutze dort unter anderem Webmin unter Linux und das nutze ich mit https://rechnername/webmin/. Habe nach dem gleichen Schema versucht auf die FB zuzugreifen. Das gelingt mir aber nur bei der Startseite. Sobald ich ein Menü anklicke oder mich einlogge, klappt das nicht mehr. Scheinbar wegen dem JavaScript im FB Menü. Oder kann man Reverse Proxy auch auf der FB direkt einsetzen, statt auf dem Apache dahinter? Wenn ja, wie muss ich da vorgehen? Auf dem Apache dahinter wäre mir aber lieber, dann müsste ich die FB nicht modifizieren.

Achja wegen anderen Ports: Ein anderer Port geht leider nicht. Ich komme aus meiner Firma nur über Port 80 und 443 raus. 80 fällt aber aus, mangels fehlender Verschlüsselung.
 
Zuletzt bearbeitet von einem Moderator:

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,751
Punkte für Reaktionen
10
Punkte
38
Also Reverse Proxy ist ne Idee. ... Oder kann man Reverse Proxy auch auf der FB direkt einsetzen, statt auf dem Apache dahinter? Wenn ja, wie muss ich da vorgehen?
Du könntest z. B. pound (ein reverse proxy) benutzen (siehe Link: http://www.apsis.ch/pound/). Da gibt es auch ein Paket für pound auf der FritzBox mit Freetz. Evtl. kann man pound für die Box, auch statisch gelinkt kompilieren. Oder Du benutzt pound auf deinem Rechner, d. h. hinter der Box.
 
B

bilbo_b

Guest
Hab scheinbar nen Weg gefunden. Wenn es auch wild aussieht :) Ist auch nur bei der 7270 so. Andere Boxen gehen einfacher.

ProxyPass /fritzi/ http://192.168.178.1/
ProxyPassReverse /fritzi/ http://192.168.178.1/
ProxyPass /login.lua http://192.168.178.1/login.lua
ProxyPassReverse /login.lua http://192.168.178.1/login.lua
ProxyPass /cgi-bin/ http://192.168.178.1/cgi-bin/
ProxyPassReverse /cgi-bin/ http://192.168.178.1/cgi-bin/
ProxyPass /html/ http://192.168.178.1/html/
ProxyPassReverse /html/ http://192.168.178.1/html/
ProxyPass /logincheck.lua http://192.168.178.1/logincheck.lua
ProxyPassReverse /logincheck.lua http://192.168.178.1/logincheck.lua
ProxyPass /css/default/images/ http://192.168.178.1/css/default/images/
ProxyPassReverse /css/default/images/ http://192.168.178.1/css/default/images/
ProxyPass /html/de/images/ http://192.168.178.1/html/de/images/
ProxyPassReverse /html/de/images/ http://192.168.178.1/html/de/images/
ProxyPass /js/ http://192.168.178.1/js/
ProxyPassReverse /js/ http://192.168.178.1/js/
ProxyPass /css/default/ http://192.168.178.1/css/default/
ProxyPassReverse /css/default/ http://192.168.178.1/css/default/
ProxyPass /system/ http://192.168.178.1/system/
ProxyPassReverse /system/ http://192.168.178.1/system/
ProxyPass /logout.lua http://192.168.178.1/logout.lua
ProxyPass /net/ http://192.168.178.1/net/
ProxyPassReverse /logout.lua http://192.168.178.1/logout.lua
ProxyPassReverse /net/ http://192.168.178.1/net/
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Hallo,

wenn Du iptables auf der Box hast, könntest Du evtl. die an der Box eintreffenden Pakete ein wenig filtern (z.B. MAC-Adresse, Teil-String o.Ä.) und entsprechend weiterleiten.
Grüße,

JD.
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
0
Punkte
0
In den Syn-Paketen, die eine Verbindung aufbauen, ist noch kein Inhalt drin, der kommt erst später. Wenn man die Verbindung auf NEtzwerk-Ebene weiterleiten will, muss man das aber am Anfang der Verbindung tun.
Die MAC-Adresse als Kriterium wird auch nicht weiter helfen.
 

JohnDoe42

Aktives Mitglied
Mitglied seit
17 Mrz 2009
Beiträge
1,404
Punkte für Reaktionen
0
Punkte
38
Wenn ich ihn hier
Kann ich die FritzBox so einstellen (mit Freetz), das eine Anfrage auf https://RechnerEins.dyndns.org:443 auf den Rechner hinter der FB weitergeleitet wird und eine Anfrage für https://RechnerZwei.dyndns.org:443 auf die Fernwartung der FB selbst?
richtig verstanden habe, dann braucht doch eine Anfrage von einem Rechner auf
Code:
https://RechnerEins.dyndns.org:443
einen Absender, sprich: Die IP des anfragenden Rechners sollte doch in den Paketen irgendwo zu finden sein ... (?)
 

RalfFriedl

IPPF-Urgestein
Mitglied seit
22 Apr 2007
Beiträge
12,343
Punkte für Reaktionen
0
Punkte
0
Die IP des anfragenden Rechners (oder die IP dessen Routers) ist sicher in den Paketen zu finden. Man kann aber davon ausgehen, dass es sich dabei um dynamische Adressen handelt und diese somit nicht zur Unterscheidung der Pakete genutzt werden können.
Es kann auch sein, dass mit der gleichen Absender-Adresse einmal auf das eine Ziel und einmal auf das andere zugegriffen werden soll.
 
B

bilbo_b

Guest
Erstmal funktioniert es mit dem ReverseProxy des Apache hinter der FB. Einzig in Webmin komm ich nicht mehr rein, was aber an den Weiterleitungen liegen wird. Werd mir Pound mal auf der VM installieren und testen. Wenn das ne schicke Sache ist, überleg ich mir mal mal, ob ich ein Freetz Image mit Pound für die FB baue

Kann man Pound auf der FB denn dann mit einer eigenen Maske konfigurieren oder muss man das dann via SSH machen?
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,751
Punkte für Reaktionen
10
Punkte
38
Kann man Pound auf der FB denn dann mit einer eigenen Maske konfigurieren oder muss man das dann via SSH machen?
Keine Maske. Pound wird mit einer Textdatei konfiguriert. Die Erstellung der Konfigurationsdatei kann auch schon im Build-System (mit einem Unix-Texteditor) erfolgen, mit dem Freetz-Image auf die Box geflasht werden und auf der Box (in der Konsole, telnet, ssh) wenn erforderlich mit einem Texteditor (nano, nvi, vi) ergänzt bzw. geändert werden.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,863
Beiträge
2,027,497
Mitglieder
350,975
Neuestes Mitglied
user7008