Erweiterte Portweiterleitung

B

bilbo_b

Guest
Hallo auch. Mit dnsomatic.com kann man ja diverse DynDNS Adressen auf die FritzBox verweisen lassen. Ist es auch möglich dabei von der FB die Quelle auswerten zu lassen? Angenommen ich hab einmal den Namen RechnerEins.dyndns.org und den RechnerZwei.dyndns.org. Beide verweisen auf die gleiche IP einer FritzBox. Kann ich die FritzBox so einstellen (mit Freetz), das eine Anfrage auf https://RechnerEins.dyndns.org:443 auf den Rechner hinter der FB weitergeleitet wird und eine Anfrage für https://RechnerZwei.dyndns.org:443 auf die Fernwartung der FB selbst? Oder kann man die Fernwartung der FB verschlüsselt und dennoch über Port 80 erreichen?
 
Die Namensauflösung macht der Client, danach spricht der Client die IP-Adresse an. Die Box kann folglich nicht unterscheiden, ob direkt die IP-Adresse oder einer von mehreren möglichen Namen verwendet wurde, um zu dieser IP-Adresse zu kommen.

Bei HTTP wird in der Anfrage der Name mitgesendet. Das erfolgt aber zu spät, als dass man das für eine Port-Weiterleitung nutzen könnte.
Bei HTTPS ist das auch noch verschlüsselt, so dass ein Router gar nicht mitbekommt, welches Ziel angesprochen werden soll.

Was bei DIr helfen könnte ist ein Reverse Proxy mit Unterstützung für SSL Verbindungen.
 
Du kannst in der ersten FB eine Portweiterleitung ExterneIP:445 -> Rechner2IP:443 einrichten.
Dann sind beide über z.B.
- Rechner1.DynDNS.org:443 bzw.
- Rechner1.DynDNS.org:445 (-> Rechner2:443)
erreichbar
 
Also Reverse Proxy ist ne Idee. Hatte ich schon mal versucht mit dem Apache hinter der FB. Ich nutze dort unter anderem Webmin unter Linux und das nutze ich mit https://rechnername/webmin/. Habe nach dem gleichen Schema versucht auf die FB zuzugreifen. Das gelingt mir aber nur bei der Startseite. Sobald ich ein Menü anklicke oder mich einlogge, klappt das nicht mehr. Scheinbar wegen dem JavaScript im FB Menü. Oder kann man Reverse Proxy auch auf der FB direkt einsetzen, statt auf dem Apache dahinter? Wenn ja, wie muss ich da vorgehen? Auf dem Apache dahinter wäre mir aber lieber, dann müsste ich die FB nicht modifizieren.

Achja wegen anderen Ports: Ein anderer Port geht leider nicht. Ich komme aus meiner Firma nur über Port 80 und 443 raus. 80 fällt aber aus, mangels fehlender Verschlüsselung.
 
Zuletzt bearbeitet von einem Moderator:
Also Reverse Proxy ist ne Idee. ... Oder kann man Reverse Proxy auch auf der FB direkt einsetzen, statt auf dem Apache dahinter? Wenn ja, wie muss ich da vorgehen?
Du könntest z. B. pound (ein reverse proxy) benutzen (siehe Link: http://www.apsis.ch/pound/). Da gibt es auch ein Paket für pound auf der FritzBox mit Freetz. Evtl. kann man pound für die Box, auch statisch gelinkt kompilieren. Oder Du benutzt pound auf deinem Rechner, d. h. hinter der Box.
 
Hab scheinbar nen Weg gefunden. Wenn es auch wild aussieht :) Ist auch nur bei der 7270 so. Andere Boxen gehen einfacher.

ProxyPass /fritzi/ http://192.168.178.1/
ProxyPassReverse /fritzi/ http://192.168.178.1/
ProxyPass /login.lua http://192.168.178.1/login.lua
ProxyPassReverse /login.lua http://192.168.178.1/login.lua
ProxyPass /cgi-bin/ http://192.168.178.1/cgi-bin/
ProxyPassReverse /cgi-bin/ http://192.168.178.1/cgi-bin/
ProxyPass /html/ http://192.168.178.1/html/
ProxyPassReverse /html/ http://192.168.178.1/html/
ProxyPass /logincheck.lua http://192.168.178.1/logincheck.lua
ProxyPassReverse /logincheck.lua http://192.168.178.1/logincheck.lua
ProxyPass /css/default/images/ http://192.168.178.1/css/default/images/
ProxyPassReverse /css/default/images/ http://192.168.178.1/css/default/images/
ProxyPass /html/de/images/ http://192.168.178.1/html/de/images/
ProxyPassReverse /html/de/images/ http://192.168.178.1/html/de/images/
ProxyPass /js/ http://192.168.178.1/js/
ProxyPassReverse /js/ http://192.168.178.1/js/
ProxyPass /css/default/ http://192.168.178.1/css/default/
ProxyPassReverse /css/default/ http://192.168.178.1/css/default/
ProxyPass /system/ http://192.168.178.1/system/
ProxyPassReverse /system/ http://192.168.178.1/system/
ProxyPass /logout.lua http://192.168.178.1/logout.lua
ProxyPass /net/ http://192.168.178.1/net/
ProxyPassReverse /logout.lua http://192.168.178.1/logout.lua
ProxyPassReverse /net/ http://192.168.178.1/net/
 
Hallo,

wenn Du iptables auf der Box hast, könntest Du evtl. die an der Box eintreffenden Pakete ein wenig filtern (z.B. MAC-Adresse, Teil-String o.Ä.) und entsprechend weiterleiten.
Grüße,

JD.
 
In den Syn-Paketen, die eine Verbindung aufbauen, ist noch kein Inhalt drin, der kommt erst später. Wenn man die Verbindung auf NEtzwerk-Ebene weiterleiten will, muss man das aber am Anfang der Verbindung tun.
Die MAC-Adresse als Kriterium wird auch nicht weiter helfen.
 
Wenn ich ihn hier
Kann ich die FritzBox so einstellen (mit Freetz), das eine Anfrage auf https://RechnerEins.dyndns.org:443 auf den Rechner hinter der FB weitergeleitet wird und eine Anfrage für https://RechnerZwei.dyndns.org:443 auf die Fernwartung der FB selbst?
richtig verstanden habe, dann braucht doch eine Anfrage von einem Rechner auf
Code:
https://RechnerEins.dyndns.org:443
einen Absender, sprich: Die IP des anfragenden Rechners sollte doch in den Paketen irgendwo zu finden sein ... (?)
 
Die IP des anfragenden Rechners (oder die IP dessen Routers) ist sicher in den Paketen zu finden. Man kann aber davon ausgehen, dass es sich dabei um dynamische Adressen handelt und diese somit nicht zur Unterscheidung der Pakete genutzt werden können.
Es kann auch sein, dass mit der gleichen Absender-Adresse einmal auf das eine Ziel und einmal auf das andere zugegriffen werden soll.
 
Erstmal funktioniert es mit dem ReverseProxy des Apache hinter der FB. Einzig in Webmin komm ich nicht mehr rein, was aber an den Weiterleitungen liegen wird. Werd mir Pound mal auf der VM installieren und testen. Wenn das ne schicke Sache ist, überleg ich mir mal mal, ob ich ein Freetz Image mit Pound für die FB baue

Kann man Pound auf der FB denn dann mit einer eigenen Maske konfigurieren oder muss man das dann via SSH machen?
 
Kann man Pound auf der FB denn dann mit einer eigenen Maske konfigurieren oder muss man das dann via SSH machen?
Keine Maske. Pound wird mit einer Textdatei konfiguriert. Die Erstellung der Konfigurationsdatei kann auch schon im Build-System (mit einem Unix-Texteditor) erfolgen, mit dem Freetz-Image auf die Box geflasht werden und auf der Box (in der Konsole, telnet, ssh) wenn erforderlich mit einem Texteditor (nano, nvi, vi) ergänzt bzw. geändert werden.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,696
Beiträge
2,216,700
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.