Webserver hinter VPN - Port 80 aber nicht erlaubt

[frozendog]

Hallo!

Habe im DSM eine VPN Verbindung eingerichtet (OpenVPN). Nicht verwechseln: kein VPN-Server. Der VPN wird direkt vom Synology hergestellt, nicht vom Router.
Um meinen Webserver weiterhin betreiben zu können müsste Port 80 geöffnet werden - der VPN Anbieter öffnet aber nur Ports größer 2048.

Wenn nun jemand "www.example.com:7777" eingeben würde, dann würde das ja gehen.
Die Seite soll aber nach wie vor via "www.example.com" erreichbar sein.

Idee 1: Edieren/Ändern der /usr/local/etc/reverse-proxy.conf
Idee 2: Bei meinem Domain Anbieter einen Stealth Forward von "www.example.com" auf "www.example.com:7777"

Was meint ihr?

 

[heavy]

Nur zum Verständnis. Deine DS wählt sich als Client in ein VPN ein.

Dann die Fragen, wer befindet sich dann wie in diesem VPN? Wenn er drin ist warum sollte dann port 80 nicht gehen? Wenn du von außerhalb den Zugriff erlauben willst (das schließe ich aus der Domain) warum machst du es dann nicht über die normale Portfreigabe?

Zu Idee 1. Wenn der User schon gar nicht auf deine DS kommt über Port 80, dann nützt es auch nichts wenn du dort was einträgst. Damit bleibt eigentlich nur Idee2, wobei ich dann den Sinn deines VPN immernoch nicht verstehe.

 

[Ameisentaetowierer]

Hört sich interessant an....nach Verschleierung....

 

[frozendog]

Nur zum Verständnis. Deine DS wählt sich als Client in ein VPN ein.

Dann die Fragen, wer befindet sich dann wie in diesem VPN? Wenn er drin ist warum sollte dann port 80 nicht gehen? Wenn du von außerhalb den Zugriff erlauben willst (das schließe ich aus der Domain) warum machst du es dann nicht über die normale Portfreigabe?

Zu Idee 1. Wenn der User schon gar nicht auf deine DS kommt über Port 80, dann nützt es auch nichts wenn du dort was einträgst. Damit bleibt eigentlich nur Idee2, wobei ich dann den Sinn deines VPN immernoch nicht verstehe.

Ja, die DS ist ein Client. Konkret habe ich TorGuard VPN (ohne Werbung zu machen: aktuell -50% Lifetime Promotion, d.h. $30/Jahr).
D.h. die gesamte DS ist via VPN im Netz, d.h. ich habe z.B. eine IP aus Russland, für die gesamte DS. Der VPN Anbieter hat alle Ports (außer natürlich der VPN Port 443) von Haus aus gesperrt. D.h. du kannst mit einem Port Checker prüfen welche Ports mit meiner russischen IP verfügbar sind. Momentan also nur 443. Ich kann den VPN Anbieter bitten, jeden beliegen Port über 2048 frei zu geben bzw. zu forwarden.
Ich kann so etwa, wenn ich sagen wir Port 32400 für Plex Media Server freigeben, auch über meine russische IP auf meinen Plex Server auf meiner DS zugreifen.
Portfreigaben am Router vor der DS sind deshalb sinnlos. Der VPN Tunnel den die DS aufbaut geht ja Vollgas durch den Router durch *gg*. Wenn Portfreigabe, dann beim VPN Anbieter.

Problem:
Port 80 wird vom Webserver verwendet. Port 80 kann der VPN Anbieter nicht freigeben. Ich möchte aber meinen Blog via Websever der DS hosten.

Mögliche Idee:
Port 7777 freigeben lassen vom VPN Anbieter. Wenn du dann "www.example.com" eingibst mache ich am Domain Anbieter einen Redirect auf "www.example.com:7777". Das sollte der Webserver dann verstehen, insofern ich natürlich in DSM auch 7777 als Port für den Webdienst verwende.
Leider geht das mit einem CNAME Eintag nicht. Dort sind Ports ja nicht möglich.....hmmmm

Ein Eintrag wie:

####################
NameVirtualHost *:80

<VirtualHost *:80>
ServerName blog.example.com
ProxyRequests Off
ProxyVia Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>
ProxyPass / http://localhost:7777/
ProxyPassReverse / http://localhost:7777/
</VirtualHost>
####################

hilt in diesem Fall ja nicht weiter.


@Ameisentaetowierer: Ja, Verschleierung!
hilft mir ja nicht, da Port 80 nicht möglich ist von außen.

 

[heavy]

Also wenn du bei deinem Domain Anbieter eine Umleitung einrichten kannst. Sollte es eigentlich gehen wenn du in der DSM unter Webdienste den Punkt "zusätzlichen http-Port hinzufügen" aktivierst und dort deinen Port einträgst. (Ohne gewähr)

 

[frozendog]

@heavy:
Ja, habe jetzt mal einen SRV Record angelegt, d.h. www.example.com - - - - - > www.example.com:7777
In ein paar Stunden sollte es übernommen sein. Werde es mal testen ohne VPN, d.h. ich sage dem Webdienst der DS er soll auf 7777 laufen. Und 7777 gebe ich am Router ebenfalls frei.
Wenn man dann auf www.example.com geht, sollte man umgeleitet werden auf www.example.com:7777
Wenn das klappt, dann bitte ich den VPN Anbieter den Port 7777 freizugeben. Dann aktiviere ich wieder die VPN Verbindung der DS.
Wenn es klappt......toll.....dann wäre ich schön "verschleiert"....in Russland

Ich berichte ASAP hier dann....

PS: Das schöne dabei ist, dass ich dann die DS wie gewohnt nutzen kann, auch für andere Ports/Dienste. Und jeder sieht nur eine russische IP. Solange man nicht dieselben Ports am Router vor der DS freigibt, denn sonst könnte man durch eine Correlation Attack meine wahre IP finden.

 

[heavy]

Wenn es geht alleine schon der zusätzliche port wäre es nett wenn du es uns mitteilst. Bei mir sind änderungen an der Domain schon nach ein paar minuten durch

 

[Ameisentaetowierer]

Und 7777 gebe ich am Router ebenfalls frei.

Warum?
Ich habe es so verstanden, dass deine DS von aussen perVPN erreichbar ist.
Damit sieht dein Router maximal den VPN-Tunnel, aber keinen Port.
Du solltest lieber auf der DS alles aus der VPN Anbindung blocken, bis auf die Ports, die du freigegeben willst.
Aus Sicht deines VPNProviders sind alle Ports auf der DS offen, die du auch im WLAN siehst.

Edith: die einzig wirkliche Anonymität ist: sich in Zurückhaltung üben und Klappe halten

 

[heavy]

Hallo Ameisentaetowierer ich habe mich das auch gefragt, dann aber beim erneuten lesen gesehen, dass er erst die umleitung und den Webserver ohne VPN testen will, und wenn das geht den VPN Dienstleister bitten will den Port zu öffnen.

 

[frozendog]

Ja, normale Umleitung ohne VPN getestet.
Jetzt werden dann Ports beim VPN-Anbieter freigeschaltet als nächster Schritt.

NOT WORKING:
a) Ein SRV Record beim Domain Anbieter geht nicht, da man als Ziel eine IP angeben muss, d.h. es muss ein A-RECORD das Ziel sein. Und das geht eben nur mit einer fixen IP, das würde mich $60 mehr kosten (eine fixe rumänische IP). Nein, danke. In meinem Fall habe ich aber eine dynamische IP meines ISP's, welche alle 15 Minuten in meinem DDNS eingetragen wird.

WORKING:
b) Was funktioniert: Einen Stealth URL Forward von "www.example.com" auf "www.example.com:7777". Der Benutzer sieht den Port also nicht unmittelbar. Der Port 7777 ist nur ein Beispiel. Andere Ports, etwa 8080 oder bekannte Ports eignen sich besser, da diese von den meisten Firmen-Firewalls nicht blockiert sind.

Werde also den VPN-Anbieter bitteb, den Port 7777 (als Beispiel nur) zu öffnen. Dann beim Domain Anbbieter "www.example.com" ---> Stealth ---> "www.example.com:7777"

@Ameisentaetowierer:
Du sagst: "Du solltest lieber auf der DS alles aus der VPN Anbindung blocken, bis auf die Ports, die du freigegeben willst."
Wenn meine DS also eine VPN Verbindung aufbaut, dann hat zwar die Außenwelt standardmäßig keinen Zugriff auf meine DS bzw deren Ports, ABER der VPN-Anbieter würde alles sehen? Wirklich?
Bedeutet das also, ich muss explizit in den Firewall-Einstellungen der DS alles blockieren außer z.B. den Webdienst auf 7777?

 

[Ameisentaetowierer]

Virtual Private Network
Normalerweise funktioniert das so, dass deine DS ein virtuelles Netzwerinterface (ifconfig -a) erzeugt und mit einem ebenfalls virtuellen Interface bei deinem Provider verbindet. Ihr seid dann auch beide im gleichen Netzsegment.
Das verhält sich so, als hättest du ein Lankabel bis zum Provider gelegt und direkt bei ihm angestöpselt.
Dein Router merkt davon, wie gesagt, nix.
Wenn dein Provider es nicht geblockt hat, könnten andere Kunden ebenfalls zu dir durch.
Du kannst ja mal das Netzsegment durchpingen.

 

[frozendog]

Da hast du recht. Und bei einem amerikansichen Anbieter muss man mit allem rechnen *gg*.

Abhilfe?
Router stellt VPN her. DSM dahinter. Am Router dann "gezielt" die Ports (7777) öffnen (jene die auch der VPN Provider freigibt nach einer Anfrage). Dann Port Forward des Ports auf die IP der DSM.
Sollte ja gehen.
Dann würde der VPN Provider nichts sehen, nicht wahr?

 

[Ameisentaetowierer]

Dafür würde ich meine Hand nicht in's Feuer legen.
Ich habe gerade keine Syno mit VPN zur Hand.....siehst du denn nicht unter den Firewalleinstellungen das VPN-Interface?