2
Wie kann ich im internen Netzwerk verschiedene WEBserver aus dem Internet via DynDNS ansprechen ohne PAT ?
Hallo zusammen! Ich brauche eine Lösung zum Thema: Ansprechen verschiedener WEBServer im Netzwerk
über eine DynDNS-Adresse ohne PAT (port address translation) da nur Port 80 freigebeben werden darf!
Ich habe folgendes Problem.
Bei einem unserer Kunden wurde ein Automationsnetzwerk mit Controllern zur Automatisierung
der Gebäudetechnik aufgebaut. Hierzu zählt auch ein Server mit über dem man
eine WEB-basierte Visualisierung auf dessem IIS aufrufen kann. Der Zugriff aus dem Internet
wurde mit einer DynDns Adresse realisiert da der Kunde aus eigenen Gründen keine feste IP
für den Anschluss bekommen hat bzw. beantragen wollte.
Der hier verwendete Router ist ein Draytek Vigor (genaue Serie hab ich nicht im Kopf!).
Im Router wird der ext. Port 80 auf die interne Adresse (Port 80) des Servers geroutet. - Alles kein Thema!
Problematisch wurde es erst als die Aufgabenstellung erweitert wurde;
und zwar: Auf den Automationscontrollern läuft ein eigener kleiner WEBServer über welchen
jeweils über den Server eine WEBSeite auf dem Controller aufgerufen werden soll (in einem IFrame).
Ich habe das via PAT (port address translation) auf dem Router realisiert.
Bedeutet:
Controller 1 hat z.B. die IP: 192.168.25.10
Öffne ich nun über die DynDns - Adresse Port 81 (xyz.dyndns.org:81) leitet mich der
Router auf die interne IP-Adresse 192.168.25.1 Port: 80 und lässt mich so auf den
Webserver des Controllers zugreifen.
Unser Kunde jedoch bekommt von seiner IT nicht die Freigabe von seinen Rechnern
eine Dynamische Adresse mit anderen Ports als der Nr. 80 anzusprechen.
Gibt es irgendeine Möglichkeit die Verwendung mehrerer Ports zu umgehen?
Gibt es im IIS die Möglichkeit ext. Adressen als z.B. virtuelles Verzeichnis anzulegen?
Bei einem unserer Kunden wurde ein Automationsnetzwerk mit Controllern zur Automatisierung
der Gebäudetechnik aufgebaut. Hierzu zählt auch ein Server mit über dem man
eine WEB-basierte Visualisierung auf dessem IIS aufrufen kann. Der Zugriff aus dem Internet
wurde mit einer DynDns Adresse realisiert da der Kunde aus eigenen Gründen keine feste IP
für den Anschluss bekommen hat bzw. beantragen wollte.
Der hier verwendete Router ist ein Draytek Vigor (genaue Serie hab ich nicht im Kopf!).
Im Router wird der ext. Port 80 auf die interne Adresse (Port 80) des Servers geroutet. - Alles kein Thema!
Problematisch wurde es erst als die Aufgabenstellung erweitert wurde;
und zwar: Auf den Automationscontrollern läuft ein eigener kleiner WEBServer über welchen
jeweils über den Server eine WEBSeite auf dem Controller aufgerufen werden soll (in einem IFrame).
Ich habe das via PAT (port address translation) auf dem Router realisiert.
Bedeutet:
Controller 1 hat z.B. die IP: 192.168.25.10
Öffne ich nun über die DynDns - Adresse Port 81 (xyz.dyndns.org:81) leitet mich der
Router auf die interne IP-Adresse 192.168.25.1 Port: 80 und lässt mich so auf den
Webserver des Controllers zugreifen.
Unser Kunde jedoch bekommt von seiner IT nicht die Freigabe von seinen Rechnern
eine Dynamische Adresse mit anderen Ports als der Nr. 80 anzusprechen.
Gibt es irgendeine Möglichkeit die Verwendung mehrerer Ports zu umgehen?
Gibt es im IIS die Möglichkeit ext. Adressen als z.B. virtuelles Verzeichnis anzulegen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146526
Url: https://administrator.de/contentid/146526
Printed on: April 16, 2024 at 21:04 o'clock
2 Comments
Latest comment
Einzige Möglichkeit, welche mir bekannt ist, wäre ein Loadbalancer. Du greifst auf http://<extip>:80/controller1 zu und landest dann auf 192.168.25.10, du greifst auf http://<extip>:80/controller2 zu und landest auf 192.168.25.11, ...
Nur wenn du VPN auf dem Draytek aktivierst !
Das ist recht einfach denn der Draytek spricht unter anderem PPTP als VPN Protokoll (IPsec und L2TP kann er parallel auch noch, das erfordert aber separate Clients wie z.B. den freien_Shrew_Client ).
Mit PPTP VPNs kannst du jeden beliebigen VPN Client den Windows, Apple Mac, Linux, iPhone etc. von Haus aus an Bord haben benutzen um dich gesichert mit dem Draytek zu verbinden.
VPNs einrichten mit PPTP
bzw.
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
http://www.draytek.de/Beispiele_html/VPN/Host-LAN-Macintosh.htm
Dann kannst du transparent ohne Probleme und ohne jegliche Port Frickelei direkt auf die Komponenten zugreifen ! Außerdem ist das auch der professionelle Weg wie man sowas löst und mit dem Draytek hast du auch eine entsprechende Hardware die das supportet !
Generell ist diese Lösung also zu bevorzugen, denn das verhindert das du zig Löcher in die Router Firewall bohren musst für diese Endgeräte ! Du hast also zudem auch noch eine erhöhte Sicherheit durch das VPN (Verschlüsselung) denn bei simplen Port Forwarding gehen die Daten immer ungeschützt über das Netz !!
Letztlich also auch für den Kunden eine erheblich akzeptablere Lösung !
Ohne VPN bleibt dir nur die Option des unsicheren Port Translation wie du sie oben schon beschrieben hast mit all den Nachteilen !
Das ist recht einfach denn der Draytek spricht unter anderem PPTP als VPN Protokoll (IPsec und L2TP kann er parallel auch noch, das erfordert aber separate Clients wie z.B. den freien_Shrew_Client ).
Mit PPTP VPNs kannst du jeden beliebigen VPN Client den Windows, Apple Mac, Linux, iPhone etc. von Haus aus an Bord haben benutzen um dich gesichert mit dem Draytek zu verbinden.
VPNs einrichten mit PPTP
bzw.
http://www.draytek.de/Beispiele_html/VPN/XP-Vigor-PPTP.htm
http://www.draytek.de/Beispiele_html/VPN/Host-LAN-Macintosh.htm
Dann kannst du transparent ohne Probleme und ohne jegliche Port Frickelei direkt auf die Komponenten zugreifen ! Außerdem ist das auch der professionelle Weg wie man sowas löst und mit dem Draytek hast du auch eine entsprechende Hardware die das supportet !
Generell ist diese Lösung also zu bevorzugen, denn das verhindert das du zig Löcher in die Router Firewall bohren musst für diese Endgeräte ! Du hast also zudem auch noch eine erhöhte Sicherheit durch das VPN (Verschlüsselung) denn bei simplen Port Forwarding gehen die Daten immer ungeschützt über das Netz !!
Letztlich also auch für den Kunden eine erheblich akzeptablere Lösung !
Ohne VPN bleibt dir nur die Option des unsicheren Port Translation wie du sie oben schon beschrieben hast mit all den Nachteilen !
