Externer Zugriff auf 8080

    Hi,


    ganz einfach: in meinem Firmennetz ist der 8080 geblockt - ein Aufruf Marke URL:8080 scheitert, weil mein Admin das filtert. Aber: wenn ich mein NAS via DynDNS über https aufrufe, wird diese Verbindung zugelassen - was das NAS dann intern macht, "sieht" mein Netz nicht, da ich über eine freigegebene https-Verbindung rausgehe.


    Deswegen könnte eine Doorway-Page via Joomla auf dem NAS gehen, solange ich über eine primär erlaubte Verbindung rausgehe. Ich gebe dir Recht von wegen Aufwand etc. Letztlich gilt das, was jody sagt: Es sind und bleiben Speicherlösungen. Ich habe die Dienste, die ich von außen erreichen muss, auf Homepages laufen, das NAS nutze ich als NAS.

    Einmal editiert, zuletzt von eol1 ()

    Um das zu realisieren, was Du vorhast (um mal zurück auf das eigentliche Problem zu kommen), reicht eine Portal- oder Doorpage nicht aus.


    Das Problem lässt sich folgendermassen beschreiben:


    - Zugriff aus einem geschützten Netzwerk (Firma) über die dort freigegebenen Ports 80 (http) und 443 (https) auf DREI Anwendungen/Dienste im Heimnetz (Fritzbox 443, NAS-HTTP 80, NAS-ADMIN 8080)


    Daraus ergibt sich folgendes:


    - Einer der Ports muss der Fritzbox zugeordnet werden, der andere dem NAS


    Damit bleibt für das NAS nur der Zugriff über http Port 80 übrig.


    Jetzt bleibt als Frage: Wie kann ich zwei Dienste (NAS-HTTP, NAS-Admin) über einen Port laufen lassen?


    Generell habe ich da drei Vorschläge, die ich aber alle nicht ausprobiert habe, da ich aus Sicherheitsgründen sowohl meinen Router, als auch meine NAS-Administration nie direkt aus dem Internet zugreifbar machen würde, genauso aber die momentane Lösung auf dem NAS für nicht sehr gelungen erachte:


    1. Einsatz eines Proxy-Servers (squid), der anhand der URL entscheidet, ob auf dem NAS die Website oder die Administration aufgerufen werden soll (z.B. alles mit /joomla/... wird auf Website weitergeleitet, alles andere auf die Adminseite. MIt einem transparenten Proxy könnte man dann auch die Fritzbox über einen zentralen Port für alle Dienste (https 443) erreichbar machen. Stichwort hier wäre "squid transparent ssl proxy"


    2. Erweitern/Ersetzen des Apache-Servers auf dem NAS, durch eine Version die weitere Apache-Module zur Verfügung stellt (mod_rewrite, mod_proxy) und erstellen von Regeln, die die entsprechenden Anfragen weiterleiten.


    Qnap hat durch den Einsatz von drei verschiedenen Diensten für Website, Adminsite und SSL das ganze sehr kompliziert und kaum wartbar gemacht:


    1. SSL wir zentral über stunnel gesteuert
    2. thttp (Tiny HTTP) steuert den Admin-Bereich
    3. Apache http ist für die Website verantwortlich


    Daher Vorschlag 3.


    Das NAS wird so umkonfiguriert, dass stunnel und thttp nicht mehr verwendet werden und stattdessen die entsprechenden Module des Apache eingesetzt werden können (mod_ssl, mod_rewrite, virtual hosts)


    Daran wird auch schon teilweise von einigen Bastlern gearbeitet (siehe auch WebDAV für den Apache). Ist m.E. auch nicht so schwierig:


    1. SSL wird zunächst in der Admin-GUI deaktiviert -> Damit ist stunnel schon aus dem Spiel
    2. Der Web-Dienste (Apache) wird abgeschaltet -> Original-Apache ist auch aus dem Spiel
    3. Ein Apache mit zusätzlichen Modulen (s.o) wird installiert -> Sollte über die Paketverwaltung gehen, wenn vorhanden
    4. Die Admin-Anwendung wird auf den Apache kopiert und angepasst -> Naja, nicht ganz trivial
    5. Der neue Apache wird entsprechend konfiguriert (primär SSL und virtual hosts, rewrite wird hier nicht notwendig sein )


    Anzumerken ist, dass bei dem beschriebene Lösungsweg die Original-Adminanwendung ohne Probleme auf 8080 weiterlaufen kann. Ebenso die eventuell laufenden Anwendungen (Download, Multimedia,...). Es wird ja nur das Admin-GUI auf einer weiteren Plattform aufgesetzt.


    Gerne erwarte ich Kommentare, ob das ganze so umsetzbar ist...


    Jan

    Hallo zusammen,


    ich muss sagen: bin platt! über die Antworten.
    Leider kann ich diese nicht umsetzen, da ich von dem was Ihr schreibt eigentlich nichts verstehe.


    Ich kann meine Firma verstehen, dass Ports geblockt werden. Daran wird dort auch nichts geändert. Eigene Programme, VPN Tunnel
    etc. dürfen wir nicht installieren - bei bedarf sitzt da ein Chef, der sogar Dokumente in PDF´s umwandelt.
    Kameras schauen uns bei der Arbeit zu, jeder getippte Buchstabe wird protokolliert, E-Mail Verkehr wird kontrolliert.
    Meine Freiheiten sind zwar etwas umfangreicher als bei anderen, aber ich werde da nichts anbrennen lassen.
    Bis zu dem Tag, an dem ich mich hier an dieses Forum gewendet habe, war mir nicht einmal bekannt, dass Ports blockiert werden können.


    Um so erschrockener war ich festzustellen, dass eine geblockte Weiterleitung den Zugriff auf Daten verweigern kann, die andere benötigen
    könnten. Seien es Datenblätter, eine Homepage oder oder oder.
    Ich habe jedenfalls davor gesessen und mich gefragt, ob ich zu "blöde" bin, einen Zugriff auf mein Heimnetz zu starten. Nun weiss ich es!


    Mein Notebook habe ich für den externen Gebrauch VPN getunnelt - und es funktioniert. Danke für den Hinweis an dieser Stelle.


    und Danke für die vielen Tipps.


    Ich werde aus der Deckung heraus dieses Forum weiter beäugeln und schauen, ob aus diesem scheinbar interessanten Thema noch etwas
    wächst!


    Gruss
    KKMIKE