Management über Port 80 erreichen

[spaceguy]

Hallo zusammen,

ich habe seit neuestem eine DS107 und habe hier den Webserver aktiviert sowie die Photostation. Da ich viel unterwegs bin und teilweise nur Zugriff auf das Internet über Port 80 habe, würde ich gerne Managementinterface ebenfalls über Port 80 bedienen. Natürlich könnte ich diesen als zusätzlichen Port eintragen, dann funktioniert aber die Photostation usw. nicht mehr. Mein Gedanke war nun, ob es möglich wäre die Managementoberfläche ebenfalls über ein zusätzliches Verzeichnis zu erreichen. Als Beispiel was ich hier meine:
Photostation http://meineöffentlicheIP.de/photo
Management http://meineöffentlicheIP.de/maint

Geht soetwas? Wenn ja, wie? Den Port 80 der öffentlichen IP auf Port 5000 der DS forwarden bringt mir leider nichts, da dann die Photostation nicht mehr erreichbar ist.

Laufen Photostation und das Management über den gleichen Webserver bzw. einen zusätzlichen virtuellen Webserver?

Wäre super wenn mir jemand helfen könnte.

Viele Grüße
Christian

 

[Krypton]

hmm....

warum kannst du nicht port 5001 weiterleiten und mit https zugreifen? den 5000er kann man auch öffnen, find ich aber zu unsicher...


xxx.deineip.bla:80 (photos)
xxx.deineip.bla:5001 (management)

 

[Trolli]

...und ja, das Management läuft auf einem anderen Webserver.

 

[spaceguy]

Problem ist das es mit den Ports einfach eng wird.
Ich bin viel unterwegs und sitze bei vielen Kunden hinter einem Proxyserver, welcher nur Port 80 (http) und Port 443 (https) offen hat.

Port 443 habe ich bereits für OWA (Microsoft Outlook Webaccess) verwendet, somit bleibt mir nur Port 80.

Wäre schön wenn trotzdem jemand eine Lösung hätte bzw. helfen könnte.
Danke!

Viele Grüße
Christian

 

[Krypton]

ok, das kann es geben... Hab ich mir irgendwie noch gedacht.

Zwei Ansätze:

- Die meisten Proxy-/ Netze bei Kunden (also deren Admins) sperren einige Ports ausdrücklich (ftp...) - so kann es sein, dass der 5001er trotzdem offen ist. Das wirst du aber besser wissen.

Alternative:
Ausschliesslich einen Port verwenden (23, oder 80) und alles darüber tunneln. Ist dann aber unpraktisch, weil du immer nur mit deiner eigenen Laptop-Kiste schnell drauf kommst - Photos anschauen für jedermann geht nicht mehr.

 

[spaceguy]

Alternative:
Ausschliesslich einen Port verwenden (23, oder 80) und alles darüber tunneln. Ist dann aber unpraktisch, weil du immer nur mit deiner eigenen Laptop-Kiste schnell drauf kommst - Photos anschauen für jedermann geht nicht mehr.

Und wie soll das gehen? bzw. wie meinst du das?

evtl. könnte ich ja auch die Photostation auf den Webserver des Managements umziehen....
Danke schonmal!

 

[Krypton]

es stellen sich die Fragen
- wer alles auf die Photostation zugreifen muss...
und:
- was passiert, wenn du bla.deineip.bla/photo ohne /photo eingibst?

(Ich kenne das alles nicht so gut, da ich die photostation nicht benutze)

geht dein management dann? wird vom kunden/von auswärts aus port 5000 und 5001 geblockt, so denke ich nicht, dass es geht. wenn ausschliesslich port 80 zur verfügung steht, dann geht auch nur die photostation (und evtl. die filestation, kenne ich nicht).

Weil ich ausschliesslich SELBER auf meine DS zugreife, das ganze gesichert haben will und immer von meinem Laptop aus arbeite (oder meiner Linux-Kiste an der Uni) oder meinem Geschäftspc, habe ich nur einen Port offen gelassen. Der wird an keinem der Orte geblockt (es ist nicht die 80).

Zugreifen muss ich lediglich auf Dateien, nicht zwingend auf Webdienste - obwohl das auch ginge. Ich verwende putty und eröffne damit eine ssh-Verbindung. Über diese Verbindung greife ich auf die Dateien zu - scp, sftp sind installiert und laufen auf der DS, die Linux-Kiste kann das sowieso, mein Laptop und mein Geschäftspc können das auch. Die ssh-Verbindung kann (auf Windows mit putty) so eingestellt werden, dass sie Anfragen auf Port 5000 (GUI der DS), 80 (photos), 9000 (mein Streaming Server) umleitet (über den einzigen offenen Port) und so alle Daten verschlüsselt transportiert.

Ich habe ssh so eingerichtet, dass ich nicht mit user/password, sondern nur mit einem zusätzlichen key-file zugriff habe. Dieses befindet sich auf den Rechnern, an denen ich immer arbeite (und NUR ich), und auf einem USB-Stick an meinem Schlüsselbund (zusammen mit Putty, das ist so klein).
So kann ich von jedem PC der Welt aus (mit Windows) dank ssh Verschlüsselung sicher auf alle Daten zugreifen und jeden Konsolenmist starten

 

[Trolli]

Am einfachsten ist es wohl, die Ports am Router entsprechend umzulegen:
Port 80 extern -> Port 5000 intern (Management http)
Port 443 extern -> Port 5001 intern (Management (https)
Port xxx extern -> Port 80 intern (Web / Photo Station http)
Port yyy extern -> Port 443 intern (Web / Photo Station https)

...oder Du benutzt Port 80 (http) für die Photo Station und Port 443 (https) fürs Management.

Trolli

 

[spaceguy]

Am einfachsten ist es wohl, die Ports am Router entsprechend umzulegen:
Port 80 extern -> Port 5000 intern (Management http)
Port 443 extern -> Port 5001 intern (Management (https)
Port xxx extern -> Port 80 intern (Web / Photo Station http)
Port yyy extern -> Port 443 intern (Web / Photo Station https)

...oder Du benutzt Port 80 (http) für die Photo Station und Port 443 (https) fürs Management.

Trolli

Problem ist das es mit den Ports einfach eng wird.
Ich bin viel unterwegs und sitze bei vielen Kunden hinter einem Proxyserver, welcher nur Port 80 (http) und Port 443 (https) offen hat.

Port 443 habe ich bereits für OWA (Microsoft Outlook Webaccess) verwendet, somit bleibt mir nur Port 80.

Wäre schön wenn trotzdem jemand eine Lösung hätte bzw. helfen könnte.
Danke!

Viele Grüße
Christian

Genau das geht eben nicht, weil nur Port 80 und Port 443 offen sind und Port 443 schon vergeben ist.

Falls jemand noch eine andere Idee hat, lasst es mich wissen!
Danke!

 

[Krypton]

eben vorausgesetzt, du erreichst diese Ports von extern. Dann ist das natürlich die beste Lösung, vor allem sollten sie nun wirklich von überall erreichbar sein. Kaum ein Kunde hat https-Ports wirklich dicht gemacht...

 

[spaceguy]

ja, HTTPS (443) ist offen, darauf hört aber schon mein Exchangeserver..., d.h. nichts mit Port 80 für Photostation udn Port 443 für Disk Manager...leider...

Ich hätte gerne einfach mehrere öffentliche IPs für meinen Internetanschluss

 

[Krypton]

Frage: Ist dein Exchange-Server-Dienst verschlüsselt? Den brauchst ja nun wirklich NUR du... genau wie das Management.

Du könntest also Port 80 die Photostation (DS) weiterleiten lassen - für "jeden" offen, und über den Port 443 eine Verbindung laufen lassen, die den Management-Zugriff UND den Exchange-Service aufnimmt. Das wird dann aber ein Gebastel, weil der Port 443 auf einen VPN-Server führen muss, da der Exchange-Server-Dienst und die Management-Aufrufe der DS auf verschiedene Maschinen weitergeleitet werden sollen. Ob VPN auf der DS zuverlässig funktioniert, weiss ich gerade nicht - ich ruf nur Dienste auf einer Maschine - der DS - von extern auf, und das geht ohne VPN-Server.

Vorteil: Exchange-Dienst zusätzlich verschlüsselt, genauso Management-Zugriff auf DS, Photostation für jedermann offen, nur zwei Ports benötigt.

Nachteil: VPN-Server (falls der Router das kann - traumhaft) nötig.


Variante, um ohne VPN-Server auszukommen:
Port 443 für den Exchange-Service auf den Server-Rechner forwarden, Port 80 als Tunnelport benutzen und auf die DS forwarden, Photostation und Managementzugriffe auf die DS damit tunneln.
Nachteil: Photostation nicht mehr für jeden Intuitiv erreichbar, Passwort für Verbindungsaufbau (und ein bisschen Knowhow für ssh-Verbindungen) erforderlich

 

[spaceguy]

die Idee mit VPN kam mir auch schon. Ich verwende eine Fritzbox 7170. Diese kann VPN, was auch gut funktioniert. Nur ist es eben wieder so, dass nicht bei jedem Kunden VPN nutzbar ist. Alles in allem eine verzwickte Sache
Aber ich denke ich finde eine Lösung... bin eben dabei mir mal die DS genauer anzuschauen...evtl. baue ich dann selbst was passendes...

vielen Dank für deine Hilfe... aber falls trotzem noch jemand eine Idee hat... immer her damit!
CU
Chris

 

[Krypton]

Ok, nun merk ich auch mal was: Du benutzt bei deinen Kunden gar nicht deinen Laptop (mit VPN-Client möglich...), sondern einfach einen Rechner, der da grad so steht.

Oder nicht?

jedenfalls "verhindert" das den Zugriff mit VPN, klar. Meine Frage: Benutzt du die Photostation, um diesen Leuten etwas zu zeigen? Dh, sie muss dann verfügbar sein, wenn du da bist, und gleichzeitig möchtest du auch auf Exchange-Server und Management der DS zugreifen?

Oder sollen die Dienste von verschiedenen Orten aus, von verschiedenen Leuten, genutzt werden?

 

[spaceguy]

Ja, nach möglichkeit verschiedene Orte, verschiedene Leute.
Ich benutze mal mein Laptop, mal die Rechner der Kunden. Aber es gibt tatsächlich Kunden, die keinen VPN Traffic nach Außen zulassen, d.h. es hilft dann auch nichts, wenn ich mein Notebook mit VPN Client dabei habe, aber trotzdem nicht raus komme.
Sorry falls meine Ausgangssituation bzw. mein Vorhaben etwas unklar ist.

 

[Krypton]

sollen alle Leute aufs Mangement kommen? Wirklich? Reicht denen die photo-Station nicht aus?

 

[spaceguy]

natürlich wäre es schön, wenn nur bestimmte benutzer auf das Management kommen könnten. Wenn ich aber alles über Port 80 ohne zusätzlichen Tunnel, VPN oder ähnliches machen will, wird es wohl nicht anders gehen.

 

[_TokTok_]

Irgendwie hat mich die Diskussion auf ne Idee gebracht:
Kann man evtl. ne .htaccess in die Verzeichnisse legen in dem auch die Dateien für den DSM und die Photostation sind?

Dann könntest Du nämlich Deinen Router von Port 80 auf ne Webseite von der DS leiten lassen, auf der legst Du Links z.B. zur Photostation oder Management. Wirklich drauf kann man dann nur nachdem man die Passworteingabe der .htaccess passiert hat

Voraussetzung ist natürlich, dass die .htaccess an dieser Stelle auch verarbeitet wird.

Bei Deinem Problem hilft das leider herzlich wenig, weil Du immernoch die offenen Ports brauchst, fällt mir grade so auf. Trotzdem würde mich das mit der .htaccess interessieren

 

[spaceguy]

Irgendwie hat mich die Diskussion auf ne Idee gebracht:
Kann man evtl. ne .htaccess in die Verzeichnisse legen in dem auch die Dateien für den DSM und die Photostation sind?

Dann könntest Du nämlich Deinen Router von Port 80 auf ne Webseite von der DS leiten lassen, auf der legst Du Links z.B. zur Photostation oder Management. Wirklich drauf kann man dann nur nachdem man die Passworteingabe der .htaccess passiert hat

Voraussetzung ist natürlich, dass die .htaccess an dieser Stelle auch verarbeitet wird.

Bei Deinem Problem hilft das leider herzlich wenig, weil Du immernoch die offenen Ports brauchst, fällt mir grade so auf. Trotzdem würde mich das mit der .htaccess interessieren

Für den Zugangsschutz eine gute Idee. Problem ist, das wenn ich einen Link auf diese Webseite setzen würde, der so aussieht http://meineöffentlicheIP.de:5000 auch versucht wird eine Verbindung über Port 5000 aufzubauen, was mich der Sache wieder keinen Zentimeter weiter bring. Ein verzwickte Sache eben
Aber immer mal weiter her mit den Ideen, vielleicht finden wir ne Lösung.
CU
Chris

 

[Krypton]

wenn du sagen würdest:

- alle kommen immer und von überall auf die Photostation
- nur du kommst überallher auf deinen Exchange-Server und das Management

... dann hätte ich die Lösung. Mit nur zwei Ports, die offen sein brauchen. Ich schau mal, ob ich es schaffe, das so anzupassen, dass auch andere zusätzlich noch auf das Management kommen können.