Porteinstellungen - intern / extern

    Hallo,
    da ich mich mit Porteinstellungen nicht so auskenne, bitte ich um eure Unterstützung. Ich fahre ein QNAP TS-673.


    In einer Windows-VM läuft eine Web-Anwendung, auf die ich nicht richtig zugreifen kann.
    a) Aufruf von außen - [DYNDNS-Adresse]:[Portnr.] - funktioniert.
    b) Aufruf von innen - [Servername]:[Portnr.] - läuft auf "ERR_CONNECTION_REFUSED".

    Bei einer anderen App "Calibre-Web" (http://www.qnapclub.eu/de/qpkg/1113), direkt auf dem QNAP, laufe ich auf den genannten Fehler, egal wie ich aufrufe.

    Der PLEX-Server z.B. läuft dagegen problemlos.


    Die jeweiligen Ports sind gleichartig im QNAP in myQNAPcloud und in der Fritzbox als Freigabe eingetragen.



    Ich habe keine Idee, wo ich eingreifen muss (möglichst ohne LINUX-Knowhow).
    Die üblichen Maßnahmen (Router-Neustart, Server-Neustart, ...) habe ich schon durchexerziert.

    Danke für eure Tipps!

    Die üblichen Warnungen, niemals QNAP QTS Ports in WAN zu leiten, stehen.


    Ist die QuFirewall drauf? Wenn ja, bitte mal entfernen

    QuFirewall ist deaktiviert.

    Wie sollte man die Ports dann freigeben?

    (Nur) Im Router/ Fritz!box?

    Nur die Ports die man halt für die VM braucht


    Also

    WAN>BridgedLANIP:Port

    und niemals

    WAN>NASIP:8080 oder 443

    Flori1

    Für das Verständnis, ich nehme nach deiner Beschreibung an, du hast Folgendes (IP-Adressen und Ports sind Beispiele):

    NAS mit fester Adresse 192.168.1.10

    Windows-VM mit fester Adresse 192.168.1.15

    In Fritzbox Port-Weiterleitung von 8080 auf 192.168.1.15 (also die VM) Port 80


    Zu den von dolbyman angesprochenen Risiken:

    Du musst davon ausgehen, dass die Web-Anwendung in deiner VM Sicherheitslücken hat (die vielleicht erst später bekannt werden). Du hast nicht gesagt, was da für eine Web-Anwendung läuft. Ist es eine viel genutzte Anwendung wie Wordpress, dann kann der Angreifer (Hacker oder automatisch laufendes Schadprogramm) auf Exploits zurückgreifen. Ist es eine wenig genutzte, womöglich selbst geschriebene Anwendung, gibt es vermutlich keine Exploits, aber dafür ist die Anwendung auch kaum auf Sicherheit getestet und vermutlich leicht angreifbar.


    Wenn der Angreifer über eine Sicherheitslücke eindringt, dann kann er in der VM Mist machen, was womöglich erst einmal unproblematisch ist, da du (hoffentlich) ein Backup der ganzen VM hast. Aber der Angreifer ist dann im lokalen Netz und hat potentiellen Zugriff auf andere Geräte, insbesondere das NAS und deinen PC. Ist dein lokales Netz dann noch gut genug abgesichert?


    Auf der sicheren Seite wärest du, wenn du das ganze NAS (welches dann keine wichtigen Daten enthalten darf) oder zumindest die VM in eine DMZ steckst. Die Fritzbox kann keine DMZ.


    Was hast du mit deiner Web-Anwendung vor? Ist sie nur für dich und eventuell die Familie? Dann nimm ein VPN oder einen ssh-Tunnel. Soll jeder darauf zugreifen? Dann ist eine Risikoabschätzung nötig. Vermutlich bist du dann mit einem Mietserver besser bedient.


    Zitat von Flori1

    a) Aufruf von außen - [DYNDNS-Adresse]:[Portnr.] - funktioniert.
    b) Aufruf von innen - [Servername]:[Portnr.] - läuft auf "ERR_CONNECTION_REFUSED".

    Das sollte funktionieren.

    Aufruf von innen ist (nach meinem obigen Beispiel) 192.168.1.15:80 ?

    Greifst du über http oder https darauf zu? Beides mal probieren.

    Wenn https, auf welchen Server ist das Zertifikat ausgestellt? Auf "DYNDNS-Adresse"? Dann passt beim Aufruf von innen das Zertifikat nicht mehr zu dem Servernamen.