TS431P Virtual Host-Domain startet nur die Anmeldeseite

Domain auf dem heimischen NAS?

Mutig!

Das NAS offen im Internet.

Das sollte man beachten.

Gruss

Ist ja nicht mein Netzwerk... .

Der Haken beim Webserver und der Port haben nichts mit dem virtuellem Host zu tun, das gilt rein für das Management.

Ich vermute, das im Router noch eine Portweiterleitung eingerichtet werden muss auf den Port des virtuellen Hosts.

Bei mir im internen LAN funktionieren die vHosts wie sie sollen, aber ich greife nicht von aussen zu.

Gruss

Zitat von Eisenbahner

Wenn ich nun in der Browserzeile meineDomain.at aufrufe dann meldet sich nur die Anmeldeseite vom NAS

Du leitest bewusst Port 80 an NAS:8080?

Da muß ich FSC830 Recht geben. Es ist nur eine Frage der Zeit wann die NAS einen neuen Besitzer bekommt.

Wenn Du den Webserver aktivierst, wird im DocRoot eine Datei mit einem Redirect zu 8080 angelegt.

Ist das eventuell der Fall?

Dann fehlt dir ein tcp service record für den Ordner auf den Server mit dem Zielport.

Zitat von Eisenbahner

Was mache ich da falsch?

Möglicherweise gar nichts.

So wie ich diese Anleitung verstehe, wird über die aufgerufene URL erkannt, wo die Anfrage hingeht. Steht keine 3rd-Level-Domain davor, geht sie an die QNAP-Anmeldeseite.

Bevor du weitere Versuche machst, empfehle ich dir, sofern nicht erfolgt, den ssh-Zugang freizuschalten, damit du noch an das NAS kommst, falls du den Web-Zugang abschießen solltest.

Was in jedem Falle gehen sollte: Du leitest im NAS (d. h. Virtual Host Konfig) "www.deinname.at" auf deine Seite um. Bei deinem Web-Hoster legst du eine Umleitung von "deinname.at" auf "www.deinname.at" an. Wenn jetzt ein Besucher deine Seite mit "deinname.at" (ohne "www") aufruft, bekommt er "www" davor gesetzt - was idR. ok sein sollte.

Dann kannst du versuchen, was sich ergibt, wenn du im Virtual Host nicht "www.deinname.at" konfigurierst, sondern nur deinname.at.

Noch ein Versucht ist, du nimmst eine andere Portnummer im Virtaul Host, z. B. 60080 für deine Web-Seite. Im Router musst du dann eine Portweiterleitung von extern 80 auf NAS:60080 machen. Der Besucher merkt nichts davon, dass da ein unüblicher Port im Spiel ist.

(Ich habe die Versuche nicht ausprobiert.)

Thema Sicherheit:

Durch den WWW-Zugriff bietest du kriminellen Angreifern wesentlich mehr Angriffsfläche, und einige Schwachstellen sind außerhalb deiner Einflussmöglichkeiten (z. B. Fehler im Webserver). Wenn du dort eine rein statische Seite anbietest, mag das Risiko vertretbar sein, wenn Benutzereingaben verarbeitet werden (z. B. Gästebuch zum Eintragen) erhöht sich das Risiko erheblich.

Denk dran: Auch wenn die Daten auf deinem NAS nicht wichtig sind und gerne gelöscht oder verschlüsselt werden dürfen: Sobald ein Angreifer auf dem NAS ist, ist er im internen LAN. Die übrigen Geräte im LAN (PC, Drucker etc.) sollten dann ihre Dienste (Freigaben) mit vernünftigen Passwörtern sichern oder keine Dienste anbieten.

Was du tun kannst, um die Sicherheit zu erhöhen:

Du nimmst nicht den von QNAP angebotenen Webserver, sondern installierst eine virtuelle Maschine mit Linux (feste IP verwenden), und da kommt Apache (oder Tomcat, wenn du Java brauchst) drauf. Dann machst du eine Portfreigabe auf diese virtuelle Maschine. Ein Angreifer, der den Webserver kompromittiert hat, muss dann erst aus der virtuellen Maschine raus kommen, was möglich, aber nicht trivial ist (vorausgesetzt, du hast im LAN und insbesondere im NAS vernünftige Passwörter). Damit löst sich übrigens auch das Problem aus deiner Eingangsfrage. Der WWW-Zugriff geht dann direkt auf deine Seite.

Zusätzliche Sicherheit hast du, wenn du den zweiten LAN-Port ebenfalls mit dem Router verbindest (eigene IP-Adresse am Port), und diesen nur mit der virtuellen Maschine nutzt.

Aber auch bei den Lösungen mit einer virtuellen Maschine ist ein Angreifer, der den Webserver kompromittiert hat, im LAN.

Im Firmenumfeld wird für sichere externe Zugriffe eine DMZ eingerichtet.