Thema: Webserver hinter Firewall nicht erreichbar

[Selganor [n/a]]

Ich weiss... das ist fuer was anderes da, aber hier sind ja genug IT-Spezialisten das vielleicht von euch jemand eine Idee haben kann damit sich meine "Wochenarbeit" nicht noch in die naechste Woche schleift.

Evtl. klaert sich bei mir auch ein Knoten wenn ich das mal aufuehrlich niederschreibe

Situation:
Wir haben ein simples Netzwerk (alle Desktops haben statische IPs im selben 192.168.x.x-Netz, mobile Geraete kriegen IPs via DHCP vom WLAN)

Bis Montag hatten wir eine Firewall die das Netz vom Internet "geschuetzt" hat (interne Karte=192.168-Netz, Externe Karte: statische IP-Adresse beim KabelBW) - Verbindung ins Internet via Fritz-Box (schleift per Bridge-Modus alle Anfragen direkt an die Firewall weiter ohne irgendwas zu filtern)

Der Linux-Webserver in unserem Netzwerk (NICHT die Firewall) wurde durch die statische IP angesprochen.

Jetzt ist uns der Firewall-Server abgeraucht und wir haben die statische IP direkt an die FritzBox (WAN-MAC, also 3 Stellen geringer als auf dem Geraet aufgedruckt) gebunden.

Mangels Ersatz muss die Firewall der FritzBox erstmal unseren Firewall-Server ersetzen bis wir einen Ersatz beschaffen (Zeit und Geld sind beides Faktoren)

Das Problem: Man kommt von "aussen" nicht an den Webserver hinter der Fritz-Box ran.

Einzige Methode mit der es ging, war die IP des WS auf DHCP zu setzen (KabelBW verteilt diese IPs scheinbar nur via DHCP, und es ist nicht moeglich diese IPs haendisch/statisch einzutragen) und den WS durch einen gebridgten Port der FritzBox direkt ans  Internet anzuschliessen.
Damit hat der Server dann aber NULL Schutz, also waere es nur eine Frage der Zeit wann irgendwelche Script-Kiddies den entdeckt und plattgemacht haben.

Also gleich wieder abgekoppelt und als "Plan Z" (wenn alles andere versagen sollte) abgehakt.

Ich duerfte so ziemlich alle anderen Kombinationen (die sicherer) sind schon durchprobiert haben, bin jetzt aber zu faul die hier nochmal aufzulisten. Einfach fragen und ich antworte gerne.

Bei den zahlreichen Gespraechen mit dem Kundenservice haben die Mitarbeiter mit denen ich gesprochen habe fast immer irgendwas neues gelernt was sie vorher noch nicht wussten (aber auch nicht weitergeholfen hat)

Hat noch jemand irgendeine Idee wie es klappen koennte (oder warum es nicht klappt)?

[Turgon]

Einzige Methode mit der es ging, war die IP des WS auf DHCP zu setzen (KabelBW verteilt diese IPs scheinbar nur via DHCP, und es ist nicht moeglich diese IPs haendisch/statisch einzutragen) und den WS durch einen gebridgten Port der FritzBox direkt ans  Internet anzuschliessen.
Damit hat der Server dann aber NULL Schutz, also waere es nur eine Frage der Zeit wann irgendwelche Script-Kiddies den entdeckt und plattgemacht haben.

Das versteh' ich nicht, man kann doch auf dem Webserver auf der entsprechenden IP nur den Webserver selbst anbieten, bzw. eine sinnvolle Konfiguration sollte auch nicht angreifbar sein?

Hat noch jemand irgendeine Idee wie es klappen koennte (oder warum es nicht klappt)?

Ich kenn' die Fritzbox nicht, die ihr habt, aber vielleicht kann die Port Forwarding?
Dh ihr lasst der Fritzbox die offizielle IP, und forwardet nur Port 80 bzw. 443 zu eurem Webserver. Oder meintest du das mit deiner obigen Lösung? Dann versteh' ich noch weniger, was du daran auszusetzen hast ;-)
Irgendwie muss ja die Kommunikation mit dem Webserver stattfinden, es ist der Sinn eines Webservers, dass man mit ihm Verbindungen aufbauen kann. Eine Firewall kann auch nix anderes machen als Traffic zu eurem Webserver durchzulassen.

Im übrigen würde ich einem selbst aufgesetzten Server in punkto Schutz vor Hackerangriffen mehr trauen als einer Fritzbox ...

[Selganor [n/a]]

"Sinnvolle Konfiguration" liegt nicht in unserer Hand weil wir den Server nur im Keller stehen haben und zwei andere Firmen (eine davon koennte uns in 14 Tagen fuer vierstelliges Geld eine neue - oder aus den Resten unserer alten  ausgeschlachtete - Firewall beschaffen ) kuemmern sich um die Verwaltung der Software darauf, wir nutzen den Webserver nur um unsere Datenbanken (intern und in Einschraenkungen extern fuer unsere Benutzer) zu verwalten.

Am Webserver koennen wir also nix aendern.

Portweiterleitung (fuer Port 80) in der Firewall der Fritzbox ist gesetzt

[Turgon]

Auf welche Einstellungen habt ihr Zugriff?
Mit der Portweiterleitung sollte ja der Webserver wieder grundsätzlich funktionieren. Welche Probleme siehst du noch genau?

[Selganor [n/a]]

Das Problem das ich sehe ist, dass es immer noch nicht klappt.

Theoretisch koennten wir zwar am Webserver "rumschrauben" (hatte ich auch schonmal als ich den mal kurz auf DHCP gestellt habe als er durchgetunnelt die statische IP gekriegt hat), aber wenn da irgendwas schief geht dann ist ein komplettes "Game Over"

[Turgon]

Hm, kommen denn die Anfragen beim Webserver an?
Wenn nicht, wird der Port von der Fritzbox an die korrekte interne IP weitergeleitet?
Oder läuft alles über https? Dann müsstet ihr auch Port 443 weiterleiten.

[Selganor [n/a]]

Hat sich inzwischen erledigt... die Fritzbox(en) die scheinbar nicht weitergeleitet haben sind nicht mehr im Haus, dafuer kommt morgen eine neue Firewall (und heute hat es behelfsweise mit simplem WLAN-Router mit eingebauter Firewall schon geklappt)