Hallo,
es freut mich, seit (quasi) jetzt Mitglied dieses Forums zu sein und hoffe, dass sich die eine oder andere spannende Diskussion ergibt und man als Administrator auf dem neusten Stand bleibt. :-)
Ich habe direkt zum Anfang eine - für mich - knifflige Frage und hoffe, dass ihr mir dabei weiterhelfen könnt.
Ich betreibe meinen eigenen Server als Home-Server (zur Zeit noch Debian 7.x) und biete einige Dienste auch öffentlich an (bzw. muss diese öffentlich anbieten - zum Beispiel E-Mail, DNS-Zone-Transfer, Web, ...) - bisher werden die festen (öffentlichen) IP-Adressen direkt auf dem Server via OpenVPN abgebildet und genutzt (Service von Portunity). Problem dabei war immer, dass beim Bootvorgang diejenigen Dienste mit öffentlicher IP-Adresse nicht korrekt gestartet werden konnten, weil diese erst später (deutlich nach der Tunnel-Initialisierung) zur Verfügung stehen - Abhilfe schafft mir ein eigenes Script, welches beim Bootvorgang auf die erfolgreiche Tunnel-Initialisierung und Vergabe der öffentlichen IP-Adressen wartet - damit stehen diese vor den zu startenden Diensten zur Verfügung und diese können darauf zugreifen. Da bald der Umstieg auf Debian 8.x ansteht und dies "systemd" nutzt (man mag davon halten, was man möchte), verliefen meine bisherigen Tests mit der bisherigen Möglichkeit negativ.
Daraufhin habe ich mir Gedanken gemacht und stelle nun die OpenVPN-Verbindung über meinen Router (Modell: ASUS RT-AC87U mit Original-Software) her - der Tunnel steht auch bereits problemlos. Jetzt komme ich aber zum Problem: Wie leite ich den Traffic einer bestimmten Tunnel-IP-Adresse auf die interne IP-Adresse des Servers weiter und wie verleite ich den Server dazu, für öffentliche "Aufgaben" auch eine öffentliche IP-Adresse (nämlich die, die diesem Dienst zugewiesen ist) zu benutzen? Bisher ist das zum Beispiel in "postfix" oder "bind" kein Problem, weil die öffentlichen IP-Adressen direkt auf dem Server zur Verfügung stehen und in der Konfiguration angegeben werden können.
Ich habe bereits einiges mit "iptables", Portweiterleitung und NAT versucht, jedoch ohne Erfolg. Auf dem Server nutze ich PBR, um den eingehenden Tunnel-Traffic auch wieder über den Tunnel zu schicken (der Rest geht über den normalen Internetanschluss) - das kann ich auch auf dem Router einrichten: dann erreiche ich die Tunnel-IP-Adresse mit einem "ping" allerdings nur aus dem Internet, nicht jedoch aus dem internen Netzwerk - lasse ich PBR weg, erreiche ich die Tunnel-IP-Adresse aus dem internen Netzwerk, jedoch nicht aus dem Internet.
Gedacht war, dass ich die öffentlichen IP-Adressen auf dem Server einrichte und dann auf diesem und auf dem Router entsprechende Routen hinterlege, damit der Traffic vom Tunnel, über den Router und die Firewall, zum Server und vom Server, über den Router und die Firewall, zum Tunnel läuft. Doch welche Routen muss ich wo hinterlegen und ist dies überhaupt sicher?
Eins noch: Ich möchte das, wie erwähnt, möglichst sicher halten - niemand soll von Außen Zugriff auf das gesamte interne Netzwerk erhalten - es soll nur möglich sein, eine bestimmte öffentliche IP-Adresse für einen bestimmten Server-Dienst zu benutzen (entsprechende IP-Adressen sind vorhanden), ohne "nach links oder rechts" zu können. Außerdem soll das auch problemlos mit IPv6 funktionieren und nicht an der Firewall des Routers vorbei geschehen.
Hat da jemand eine Idee und kann mir weiterhelfen? Ich bedanke mich schon jetzt. :-)
es freut mich, seit (quasi) jetzt Mitglied dieses Forums zu sein und hoffe, dass sich die eine oder andere spannende Diskussion ergibt und man als Administrator auf dem neusten Stand bleibt. :-)
Ich habe direkt zum Anfang eine - für mich - knifflige Frage und hoffe, dass ihr mir dabei weiterhelfen könnt.
Ich betreibe meinen eigenen Server als Home-Server (zur Zeit noch Debian 7.x) und biete einige Dienste auch öffentlich an (bzw. muss diese öffentlich anbieten - zum Beispiel E-Mail, DNS-Zone-Transfer, Web, ...) - bisher werden die festen (öffentlichen) IP-Adressen direkt auf dem Server via OpenVPN abgebildet und genutzt (Service von Portunity). Problem dabei war immer, dass beim Bootvorgang diejenigen Dienste mit öffentlicher IP-Adresse nicht korrekt gestartet werden konnten, weil diese erst später (deutlich nach der Tunnel-Initialisierung) zur Verfügung stehen - Abhilfe schafft mir ein eigenes Script, welches beim Bootvorgang auf die erfolgreiche Tunnel-Initialisierung und Vergabe der öffentlichen IP-Adressen wartet - damit stehen diese vor den zu startenden Diensten zur Verfügung und diese können darauf zugreifen. Da bald der Umstieg auf Debian 8.x ansteht und dies "systemd" nutzt (man mag davon halten, was man möchte), verliefen meine bisherigen Tests mit der bisherigen Möglichkeit negativ.
Daraufhin habe ich mir Gedanken gemacht und stelle nun die OpenVPN-Verbindung über meinen Router (Modell: ASUS RT-AC87U mit Original-Software) her - der Tunnel steht auch bereits problemlos. Jetzt komme ich aber zum Problem: Wie leite ich den Traffic einer bestimmten Tunnel-IP-Adresse auf die interne IP-Adresse des Servers weiter und wie verleite ich den Server dazu, für öffentliche "Aufgaben" auch eine öffentliche IP-Adresse (nämlich die, die diesem Dienst zugewiesen ist) zu benutzen? Bisher ist das zum Beispiel in "postfix" oder "bind" kein Problem, weil die öffentlichen IP-Adressen direkt auf dem Server zur Verfügung stehen und in der Konfiguration angegeben werden können.
Ich habe bereits einiges mit "iptables", Portweiterleitung und NAT versucht, jedoch ohne Erfolg. Auf dem Server nutze ich PBR, um den eingehenden Tunnel-Traffic auch wieder über den Tunnel zu schicken (der Rest geht über den normalen Internetanschluss) - das kann ich auch auf dem Router einrichten: dann erreiche ich die Tunnel-IP-Adresse mit einem "ping" allerdings nur aus dem Internet, nicht jedoch aus dem internen Netzwerk - lasse ich PBR weg, erreiche ich die Tunnel-IP-Adresse aus dem internen Netzwerk, jedoch nicht aus dem Internet.
Gedacht war, dass ich die öffentlichen IP-Adressen auf dem Server einrichte und dann auf diesem und auf dem Router entsprechende Routen hinterlege, damit der Traffic vom Tunnel, über den Router und die Firewall, zum Server und vom Server, über den Router und die Firewall, zum Tunnel läuft. Doch welche Routen muss ich wo hinterlegen und ist dies überhaupt sicher?
Eins noch: Ich möchte das, wie erwähnt, möglichst sicher halten - niemand soll von Außen Zugriff auf das gesamte interne Netzwerk erhalten - es soll nur möglich sein, eine bestimmte öffentliche IP-Adresse für einen bestimmten Server-Dienst zu benutzen (entsprechende IP-Adressen sind vorhanden), ohne "nach links oder rechts" zu können. Außerdem soll das auch problemlos mit IPv6 funktionieren und nicht an der Firewall des Routers vorbei geschehen.
Hat da jemand eine Idee und kann mir weiterhelfen? Ich bedanke mich schon jetzt. :-)
Aucun commentaire:
Enregistrer un commentaire