Portforwarding: Unterschied zwischen den Versionen
(→Zugriff auf deine Dienste) |
Raggi (Diskussion | Beiträge) (Port Forwarding auf den AP hinzugefügt) |
||
Zeile 36: | Zeile 36: | ||
'''Hinweis für AirOS''': die [[AirOS-opennet|angepasste Firmware von Ubiquiti]] erlaubt derzeit keine einfache Konfiguration via Web-Interface. Wer hier Informationen zur manuellen Konfiguration eintragen möchte, ist herzlich willkommen. | '''Hinweis für AirOS''': die [[AirOS-opennet|angepasste Firmware von Ubiquiti]] erlaubt derzeit keine einfache Konfiguration via Web-Interface. Wer hier Informationen zur manuellen Konfiguration eintragen möchte, ist herzlich willkommen. | ||
+ | |||
+ | === Weiterleitungen auf deinen AP === | ||
+ | |||
+ | Wenn Du die Ports nicht durch deinen AP auf einen Rechner in deinem lokalen Netz weiterleiten möchtest, sondern auf den AP selbst (z.B. ssh oder http), funktioniert das nicht über ''Opennet -> ON-Extended -> Port-Mapping''. | ||
+ | Gehe hierfür auf ''Administration -> Network -> Firewall -> Custom Rule'' und trage in das Textfeld ein Zeile der Form | ||
+ | |||
+ | iptables -t nat -I PREROUTING -i tun0 -p tcp --dport <ermittelter Port> -j REDIRECT --to-ports <Port auf dem AP> | ||
+ | |||
+ | also zum Beispiel für eine Weiterleitung deines Ports 10220 auf den SSH-Port deines APs: | ||
+ | |||
+ | iptables -t nat -I PREROUTING -i tun0 -p tcp --dport 10220 -j REDIRECT --to-ports 22 | ||
+ | |||
=== Zugriff auf deine Dienste === | === Zugriff auf deine Dienste === |
Version vom 27. September 2013, 16:17 Uhr
Inhaltsverzeichnis |
Überblick
Eine Port-Weiterleitung ermöglicht dir, einzelne Dienste deines lokalen Netzes aus dem Internet heraus erreichbar zu machen.
Typische Anwendungsfälle für Portweiterleitungen sind folgende:
- Dienste im Internet freigeben: Webserver, FTP-Server, SSH/SCP, Jabber-Server, VPN-Server
- manche Chat-Protokolle benötigen einen erreichbaren Port zum Dateiaustausch
- VOIP-Telefonie manchmal erfordert explizite Port-Freigaben
- ...
Da die Opennet-Access-Points keine öffentlichen IP-Adressen besitzen, muss die Portweiterleitung auf den öffentlichen Opennet-Gateways stattfinden. Dafür existiert im Opennet ein standardisiertes Schema, das jedem Opennet-AP zehn spezifische Ports zuordnet. Auf diesen Ports eingehende Pakete werden also automatisch an deinen AP weitergeleitet. Somit musst du lediglich die Weiterleitung von deinem Opennet-AP zu dem Server in deinem lokalen Netz festlegen.
Einschränkungen und Hinweise
Die Portweiterleitung ist mit folgenden Einschränkungen verbunden:
- im Internet ist dein Dienst unter der öffentlichen Adresse erreichbar: z.B. titan.on-i.de:10220
- im Opennet und in deinem lokalen Netz funktioniert allerdings ausschließlich die Opennet-Adresse: z.B. 192.168.1.23:10220
Ermittlung der Portnummern
Jedem Opennet-AP sind zehn Ports zugeordnet. Das kleine Web-Werkzeug Portrange-O-Matic zeigt dir die zu deinem AP gehörenden Portnummern an.
Falls du an den Details der Portnummern-Ermittlung interessiert bist, findest du das dazugehörige Berechnungsschema weiter unten im Abschnitt Technische Details -> Algorithmus.
Konfiguration deines AP
Unter dem Punkt Opennet -> ON-Extended -> Port-Mapping findest du die Einstellungen für Port-Weiterleitungen. Trage hier folgende Informationen im Bereich Forwarding from the Internet through your OpenVPN tunnel ein:
- Source-Port
- ein Port - siehe Ermittlung der Portnummern (oben)
- Target-Address
- die lokale IP deines Servers / Rechners (z.B. 172.16.1.23)
- Target-Port
- die Port-Nummer des Dienstes auf deinem lokalen Server / Rechner (z.B. Port 80 für einen Web-Server)
Hinweis für AirOS: die angepasste Firmware von Ubiquiti erlaubt derzeit keine einfache Konfiguration via Web-Interface. Wer hier Informationen zur manuellen Konfiguration eintragen möchte, ist herzlich willkommen.
Weiterleitungen auf deinen AP
Wenn Du die Ports nicht durch deinen AP auf einen Rechner in deinem lokalen Netz weiterleiten möchtest, sondern auf den AP selbst (z.B. ssh oder http), funktioniert das nicht über Opennet -> ON-Extended -> Port-Mapping. Gehe hierfür auf Administration -> Network -> Firewall -> Custom Rule und trage in das Textfeld ein Zeile der Form
iptables -t nat -I PREROUTING -i tun0 -p tcp --dport <ermittelter Port> -j REDIRECT --to-ports <Port auf dem AP>
also zum Beispiel für eine Weiterleitung deines Ports 10220 auf den SSH-Port deines APs:
iptables -t nat -I PREROUTING -i tun0 -p tcp --dport 10220 -j REDIRECT --to-ports 22
Zugriff auf deine Dienste
Deine freigebenen Dienste sind über die drei aktuellen Gateway-Server (siehe Spalte Portweiterleitung) auf deinen Ports (siehe oben) ansprechbar. Bei einem Webserver könnte dies beispielsweise http://titan.on-i.de:10220/
sein. Wähle den Gateway-Server aus, mit dem dein Access Point verbunden ist
Technische Hintergründe
Wie die Lösung technisch umgesetzt ist, kann unter Server Installation/OpenVPN nachgelesen werden. Weiteres zur Nutzung von VPN-Tunneln findet ihr unter OpenVPN.