Zwei IIS hinter einer IP

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

21.03.2010 - 11:43

Ein Freund von mir hat vor kurzem seine Wohnung und sein Büro vernetzt. Beide sind im gleichen Haus, und beide benutzen einen Internetzugang. Die Struktur sieht ungefähr so aus:

Code:

                                                                         +- Privatnetz
                                                                         |
         +-- (blau, 192.168.2.1) -- 192.168.2.2 | WRT54GL | 192.168.3.1 -+- 192.168.3.2 | Windows Home Server
         |
WWW -- IPCop -- (grün, 192.168.1.1) -- Switch -- 192.168.1.2 | SBS
                                          |
                                          +----- Firmennetz

Er hat zwei Domain-Names: Einen privaten für den SBS und einen *.homeserver.com (wird von MS betrieben) für den Home Server. Der Home Server scheint eine Weboberfläche bereitzustellen, die er nach außen hin auch zugänglich haben möchte. Der HS lauscht auf Port 443 und wir haben bisher keine Möglichkeit gefunden, ihm etwas anderes beizubringen.

Das Problem ist nun natürlich, dass sich hier zwei Server für das gleiche Protokoll hinter der gleichen IP zuständig fühlen. Ich hab mir nun überlegt, dass man den SBS als Proxy für den HS einrichten könnte, der je nach aufgerufener Domain entweder seine Dienste bereit stellt oder eben an den HS weiterleitet. Leider weiß ich nicht, ob das mit IIS überhaupt ohne Zusatzpakete möglich ist.

Wisst ihr ob das möglich ist und wenn ja, wie man das am besten angeht? Ich bräuchte da nur ein paar Stichwörter, damit ich mich weiter einlesen kann, weil ich ziemlich unbedarft bin was den IIS angeht.
Oder gibt es da bessere Alternativen (eine weitere externe IP fällt wegen den Kosten weg)?

Bearbeitet von jives am 21.03.2010, 11:55

Probmaker

1.0.0.721

Registered: Nov 2003
Location: here
Posts: 5033

21.03.2010 - 12:04

hab ich das richtig verstanden: blau hängt beim WRT54GL am WAN port?

Tilmann

Big d00d

Registered: Aug 2001
Location: Illinois
Posts: 261

21.03.2010 - 12:17

Portumleitung - extern wwi 8081 nehmen und intern auf die 443 legen?

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12192

21.03.2010 - 12:59

wozu ist das doppelte NAT gut ? wär ja viele einfacher wenn er den wrt54gl einfach als access point konfiguriert für WLAN und dann nur 2 netze hat.

Probmaker

1.0.0.721

Registered: Nov 2003
Location: here
Posts: 5033

21.03.2010 - 13:34

Zitat von davebastard
wozu ist das doppelte NAT gut ? wär ja viele einfacher wenn er den wrt54gl einfach als access point konfiguriert für WLAN und dann nur 2 netze hat.

deswegen meine frage. ack @ 443 intern und irgendeinen anderen extern... dann richtest am SBS eine subdomain ein (wwi zb privat.domain.tld) und da machst eine weiterleitung auf den neuen externen port.

Jediknight

Big d00d

Registered: Jul 2002
Location: 3xx4
Posts: 206

21.03.2010 - 14:08

Ich vermute mal das der HS auf dem Port 443 eine TLS/SSL Verbindung aufbaut? Wenn ja kannst des mit einem Proxy(reverse Proxy) nicht so einfach realisieren, weil der Proxy die Verschlüsselung "aufbrechen" müsste um nachzusehen für welchen Server das Paket bestimmt ist. Es gibt Lösungen dafür aber ich glaub kaum das die der IIS beherrscht.

Das einfachste wäre die Portumleitung wie Tilmann geschrieben hat

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

21.03.2010 - 14:27

*räusper* google?

http://www.microsoft.com/technet/pr...7.mspx?mfr=true

Erster Treffer.

Versteh nur das Netzwerk grad garned. Im Prinzip - wie gesagt - ist das 2. NAT vom Linksys Gerät nicht notwendig. Bzw. eigendlich ist die IPCop-Lösung ned notwendig.

Für so kleine Netze kann ein OpenWRT-basierendes Betriebssystem eh alles was man braucht bishin zum VPN.

Probmaker

1.0.0.721

Registered: Nov 2003
Location: here
Posts: 5033

21.03.2010 - 14:33

ipcop wird wegen antispam usw (firmennetz...) nötig sein. der linksys sollte halt imho als AP laufen und nicht als router ansich.

Jediknight

Big d00d

Registered: Jul 2002
Location: 3xx4
Posts: 206

21.03.2010 - 14:53

Zitat von EvilGohan
*räusper* google?

http://www.microsoft.com/technet/pr...7.mspx?mfr=true

Erster Treffer.

...

Dein link ist eine Anleitung wenn man mehrere IP Adressen hat. Das man dann den SSL Traffic auf den HS und SBS aufteilen kannn ist mir klar. Aber er hat nur eine IP

Creating Multiple Sites Using Multiple IP Addresses (IIS 6.0)

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12192

21.03.2010 - 14:56

Zitat von EvilGohan
*räusper* google?

http://www.microsoft.com/technet/pr...7.mspx?mfr=true

wie soll der verlinkte artikel hier helfen ? so wie ich das verstanden hab gibts nicht mehrere externe ip adressen.

edit: onwed

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

22.03.2010 - 08:58

Sry, dann hab ichs falsch verstanden.
Du brauchst quasi "vHosts" (Apache!) für IIS?

http://www.microsoft.com/technet/pr...2.mspx?mfr=true

Das Stichwort hier sind die sog. Host Header.

Hier mit Screenshots....da ist auch mal eine Maske in der du den Port auf dem dein IIS binden soll ändern kannst: http://www.visualwin.com/host-header/

jives

And the science gets done

Registered: Sep 2001
Location: Baden
Posts: 3548

22.03.2010 - 11:02

Ja, die Lösung mit doppeltem NAT/IPcop am WAN vom WRT ist geradeaus gepfuscht, mir war schon fast peinlich das hier rein zu stellen

Das und der IPCop sind Überbleibsel von einer IT-Bude die mein Freund beauftragt hat ihm das Netz zu bauen - leider war das ein Haufen schlimmer Pfuscher, und seitdem die rausgeflogen sind helfe ich aus so weit ich kann und Zeit hab (und werd das bei Gelegenheit beheben).

@Gohan:
Der erste Link hilft mir leider nicht, wie schon erklärt wurde. Der zweite ist schon mal ein Schritt in die richtige Richtung (das Stichwort Host Header hilft), aber leider bleibt das von Jediknight angesprochene Problem mit der SSL-Verbindung.

@Tilmann: Hört sich gut an! Tja, so einfach kann es sein. Dass ich da nicht selbst draufgekommen bin... :bash:

Danke jedenfalls!

Jediknight

Big d00d

Registered: Jul 2002
Location: 3xx4
Posts: 206

22.03.2010 - 11:29

Zitat von EvilGohan
Sry, dann hab ichs falsch verstanden.
Du brauchst quasi "vHosts" (Apache!) für IIS?

http://www.microsoft.com/technet/pr...2.mspx?mfr=true

Das Stichwort hier sind die sog. Host Header.

Hier mit Screenshots....da ist auch mal eine Maske in der du den Port auf dem dein IIS binden soll ändern kannst: http://www.visualwin.com/host-header/

kein Problem

vHosts wird ihm auch nicht helfen, weil der HS am Port 443 Listen, was bedeutet das er https verwendet.
Somit kannst du ohne das du die tls/ssl verbindung "aufbrichts" nicht erkennen was ihm HTTP Header und Body steht. Also kannst du auch keine Entscheidung aufgrund der Header Informationen treffen.

Der IIS hat das Feature nicht das man diesen als SSL-Rerverse Proxy verwenden kann. Dazu gibt es von MS den ISA/Microsoft Forefront Threat Management Gateway.
Ob man mit dem Apache eine SSL-Rerverse Proxy betreiben kann weis ich nicht bzw. google hat auf die schnelle auch nichts konkrets ausgespuckt.

@jives

Auf die einfachen Dinge kommt man nie drauf

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3918

22.03.2010 - 13:08

Aaaah...jetzt geht mir erst ein Licht auf! :eek:

Obwohl das noch immer kein großes Problem ist...es geht ja eigendlich nur um den Zugang von extern, ODER?

Setz einfach einen Port Forward. IP-Cop kennt ja eh beide Server anhand ihrer internen Adressen.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12071

22.03.2010 - 13:12

Zitat von Jediknight
Ob man mit dem Apache eine SSL-Rerverse Proxy betreiben kann weis ich nicht bzw. google hat auf die schnelle auch nichts konkrets ausgespuckt.

Ja, kann man.

jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	21.03.2010 - 11:43 Ein Freund von mir hat vor kurzem seine Wohnung und sein Büro vernetzt. Beide sind im gleichen Haus, und beide benutzen einen Internetzugang. Die Struktur sieht ungefähr so aus: Code: `+- Privatnetz \| +-- (blau, 192.168.2.1) -- 192.168.2.2 \| WRT54GL \| 192.168.3.1 -+- 192.168.3.2 \| Windows Home Server \| WWW -- IPCop -- (grün, 192.168.1.1) -- Switch -- 192.168.1.2 \| SBS \| +----- Firmennetz` Er hat zwei Domain-Names: Einen privaten für den SBS und einen .homeserver.com (wird von MS betrieben) für den Home Server. Der Home Server scheint eine Weboberfläche bereitzustellen, die er nach außen hin auch zugänglich haben möchte. Der HS lauscht auf Port 443 und wir haben bisher keine Möglichkeit gefunden, ihm etwas anderes beizubringen. Das Problem ist nun natürlich, dass sich hier zwei Server für das gleiche Protokoll hinter der gleichen IP zuständig fühlen. Ich hab mir nun überlegt, dass man den SBS als Proxy für den HS einrichten könnte, der je nach aufgerufener Domain entweder seine Dienste bereit stellt oder eben an den HS weiterleitet. Leider weiß ich nicht, ob das mit IIS überhaupt ohne Zusatzpakete möglich ist. Wisst ihr ob das möglich ist und wenn ja, wie man das am besten angeht? Ich bräuchte da nur ein paar Stichwörter, damit ich mich weiter einlesen kann, weil ich ziemlich unbedarft bin was den IIS angeht. Oder gibt es da bessere Alternativen (eine weitere externe IP fällt wegen den Kosten weg)? Bearbeitet von jives am 21.03.2010, 11:55*
Probmaker 1.0.0.721 Registered: Nov 2003 Location: here Posts: 5033	21.03.2010 - 12:04 hab ich das richtig verstanden: blau hängt beim WRT54GL am WAN port?
Tilmann Big d00d Registered: Aug 2001 Location: Illinois Posts: 261	21.03.2010 - 12:17 Portumleitung - extern wwi 8081 nehmen und intern auf die 443 legen?
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12192	21.03.2010 - 12:59 wozu ist das doppelte NAT gut ? wär ja viele einfacher wenn er den wrt54gl einfach als access point konfiguriert für WLAN und dann nur 2 netze hat.
Probmaker 1.0.0.721 Registered: Nov 2003 Location: here Posts: 5033	21.03.2010 - 13:34 Zitat von davebastard wozu ist das doppelte NAT gut ? wär ja viele einfacher wenn er den wrt54gl einfach als access point konfiguriert für WLAN und dann nur 2 netze hat. deswegen meine frage. ack @ 443 intern und irgendeinen anderen extern... dann richtest am SBS eine subdomain ein (wwi zb privat.domain.tld) und da machst eine weiterleitung auf den neuen externen port.
Jediknight Big d00d Registered: Jul 2002 Location: 3xx4 Posts: 206	21.03.2010 - 14:08 Ich vermute mal das der HS auf dem Port 443 eine TLS/SSL Verbindung aufbaut? Wenn ja kannst des mit einem Proxy(reverse Proxy) nicht so einfach realisieren, weil der Proxy die Verschlüsselung "aufbrechen" müsste um nachzusehen für welchen Server das Paket bestimmt ist. Es gibt Lösungen dafür aber ich glaub kaum das die der IIS beherrscht. Das einfachste wäre die Portumleitung wie Tilmann geschrieben hat
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	21.03.2010 - 14:27 räusper google? http://www.microsoft.com/technet/pr...7.mspx?mfr=true Erster Treffer. Versteh nur das Netzwerk grad garned. Im Prinzip - wie gesagt - ist das 2. NAT vom Linksys Gerät nicht notwendig. Bzw. eigendlich ist die IPCop-Lösung ned notwendig. Für so kleine Netze kann ein OpenWRT-basierendes Betriebssystem eh alles was man braucht bishin zum VPN.
Probmaker 1.0.0.721 Registered: Nov 2003 Location: here Posts: 5033	21.03.2010 - 14:33 ipcop wird wegen antispam usw (firmennetz...) nötig sein. der linksys sollte halt imho als AP laufen und nicht als router ansich.
Jediknight Big d00d Registered: Jul 2002 Location: 3xx4 Posts: 206	21.03.2010 - 14:53 Zitat von EvilGohan räusper google? http://www.microsoft.com/technet/pr...7.mspx?mfr=true Erster Treffer. ... Dein link ist eine Anleitung wenn man mehrere IP Adressen hat. Das man dann den SSL Traffic auf den HS und SBS aufteilen kannn ist mir klar. Aber er hat nur eine IP Creating Multiple Sites Using Multiple IP Addresses (IIS 6.0)
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12192	21.03.2010 - 14:56 Zitat von EvilGohan räusper google? http://www.microsoft.com/technet/pr...7.mspx?mfr=true wie soll der verlinkte artikel hier helfen ? so wie ich das verstanden hab gibts nicht mehrere externe ip adressen. edit: onwed
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	22.03.2010 - 08:58 Sry, dann hab ichs falsch verstanden. Du brauchst quasi "vHosts" (Apache!) für IIS? http://www.microsoft.com/technet/pr...2.mspx?mfr=true Das Stichwort hier sind die sog. Host Header. Hier mit Screenshots....da ist auch mal eine Maske in der du den Port auf dem dein IIS binden soll ändern kannst: http://www.visualwin.com/host-header/
jives And the science gets done Registered: Sep 2001 Location: Baden Posts: 3548	22.03.2010 - 11:02 Ja, die Lösung mit doppeltem NAT/IPcop am WAN vom WRT ist geradeaus gepfuscht, mir war schon fast peinlich das hier rein zu stellen Das und der IPCop sind Überbleibsel von einer IT-Bude die mein Freund beauftragt hat ihm das Netz zu bauen - leider war das ein Haufen schlimmer Pfuscher, und seitdem die rausgeflogen sind helfe ich aus so weit ich kann und Zeit hab (und werd das bei Gelegenheit beheben). @Gohan: Der erste Link hilft mir leider nicht, wie schon erklärt wurde. Der zweite ist schon mal ein Schritt in die richtige Richtung (das Stichwort Host Header hilft), aber leider bleibt das von Jediknight angesprochene Problem mit der SSL-Verbindung. @Tilmann: Hört sich gut an! Tja, so einfach kann es sein. Dass ich da nicht selbst draufgekommen bin... Danke jedenfalls!
Jediknight Big d00d Registered: Jul 2002 Location: 3xx4 Posts: 206	22.03.2010 - 11:29 Zitat von EvilGohan Sry, dann hab ichs falsch verstanden. Du brauchst quasi "vHosts" (Apache!) für IIS? http://www.microsoft.com/technet/pr...2.mspx?mfr=true Das Stichwort hier sind die sog. Host Header. Hier mit Screenshots....da ist auch mal eine Maske in der du den Port auf dem dein IIS binden soll ändern kannst: http://www.visualwin.com/host-header/ kein Problem vHosts wird ihm auch nicht helfen, weil der HS am Port 443 Listen, was bedeutet das er https verwendet. Somit kannst du ohne das du die tls/ssl verbindung "aufbrichts" nicht erkennen was ihm HTTP Header und Body steht. Also kannst du auch keine Entscheidung aufgrund der Header Informationen treffen. Der IIS hat das Feature nicht das man diesen als SSL-Rerverse Proxy verwenden kann. Dazu gibt es von MS den ISA/Microsoft Forefront Threat Management Gateway. Ob man mit dem Apache eine SSL-Rerverse Proxy betreiben kann weis ich nicht bzw. google hat auf die schnelle auch nichts konkrets ausgespuckt. @jives Auf die einfachen Dinge kommt man nie drauf
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3918	22.03.2010 - 13:08 Aaaah...jetzt geht mir erst ein Licht auf! Obwohl das noch immer kein großes Problem ist...es geht ja eigendlich nur um den Zugang von extern, ODER? Setz einfach einen Port Forward. IP-Cop kennt ja eh beide Server anhand ihrer internen Adressen.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12071	22.03.2010 - 13:12 Zitat von Jediknight Ob man mit dem Apache eine SSL-Rerverse Proxy betreiben kann weis ich nicht bzw. google hat auf die schnelle auch nichts konkrets ausgespuckt. Ja, kann man.

Zwei IIS hinter einer IP

Forum Index > Digital Life > Internet & Provider

jives

Probmaker

Tilmann

davebastard

Probmaker

Jediknight

EG

Probmaker

Jediknight

davebastard

EG

jives

Jediknight

EG

COLOSSUS