Remotezugriff aus Internet auf WHS via Lancom-VPN-Router

[Santa]

Hallo Forum,
nachdem das Netzwerk steht und der interne Zugriff auf die Website des WHS klappt, wollte ich jetzt darangehen, auch den externen Remotezugriff auf meinen WHS herzustellen z.B. von einem Laptop aus, mit dem ich mich bei Freunden (oder woanders) ins Internet einlogge.
Hat dies denn von Euch (und wenn ja, wie) schon jemand mit einem Lancom-VPN-Router realisiert? Freue mich über jeden Hinweis.
Danke
Klaus

[axelmoritz]

Der Dialog zum Portforwarding verbirgt sich in LANconfig im Dialog „IP-Router“, dann „Maskierung“

Details findest du im Referenzhandbuch (Version 7.22) auf Seite 161ff. unter dem Punkt 7.4.3 und Seite 191ff.

Für HTTP brauchst Du den TCP-Port 80.
Für HTTPS brauchst Du den TCP-Port 443.
Für RDP-Proxy brauchst Du den TCP-Port 4125.

Am Beispiel HTTP sieht das dann so aus:
Anfangsport: 80
EndPort: 80
Gegenstelle: T-Online (oder wie deine Gegenstelle lautet)
Intranet Adresse: 192.168.0.41 (=IP-Adresse deines HS)
Map-Port: 0
Protokoll: TCP
WAN-Adresse: 0.0.0.0
Eintrag aktiv: Häkchen rein
Kommentar: WHS HTTP.

Wenn du eine Deny-All-Regelwerk in der Firewall fährst, musst du noch entsprechende ACCEPT-Regeln hinzufügen.

Gruss
axelmoritz

[Santa]

Hallo Axel,
erstmal vielen Dank. Hat prompt geklappt mit dem Zugriff auf meinen WHS, wobei ich jetzt aber erstmal nur den Port 443 für https aktiv gelassen habe.
Zu meinem eigenen Verständnis,
- HTTP TCP-Port 80 braucht man nur für den Website-Zugriff http://xxx.homeserver.com, wobei der WHS dann selbständig auf https "umswitcht".
- HTTPS TCP-Port 443 braucht man zwingend für den Website-Zugriff https://xxx.homeserver.com plus Zugriff für den Anmeldeuser auf seine freigegebenen Verzeichnisse.
- RDP-Proxy TCP-Port 4125 braucht man nur, wenn zusätzlich zum Zugriff auf die freigegebenen Verzeichnisse auch noch die Homeserverkonsole und eventuell noch andere Rechner im Home-Netzwerk erreicht werden sollen.

Liege ich richtig damit?

Leider kann ich, wenn ich beim Router den Port 443 auf den WHS "forwarde", nicht mehr mit https auf den Router selbst zugreifen, weder mit Lanconfig noch direkt über einen Browser. Mal sehen, wie ich das für die Zukunft einrichte. Hat jemand einen Vorschlag?
Danke und viele Grüße
Klaus

[pfaelzer]

Hallo Klaus,

Leider kann ich, wenn ich beim Router den Port 443 auf den WHS "forwarde", nicht mehr mit https auf den Router selbst zugreifen, weder mit Lanconfig noch direkt über einen Browser

hmm, bei mir (ebenfalls LANCOM) funktioniert das. Vielleicht liegt es auch daran, dass durch intensives Testen auf allen meinen Clients alles Benötigte (z.B. die Zertifikate und activeX) installiert sind.

Liege ich richtig damit?

ich könnte mir vorstellen, dass https auf http "aufsetzt" und ein Weiterleiten von Port 443 demnach nur in Verbindung mit einem Weiterleiten von Port 80 sinnvoll ist.

Somit meint Empfehlung, gib den 80 und den 443 frei für Zugriffe auf deine Shares und bei Bedarf noch zusätzlich den 4125

gruß Werner

[Santa]

Ich kann bei aktivem Forwarding von Port 443 auf die interne IP des WHS "nur" von extern nicht mehr auf den Router (der eine andere interne IP hat) selbst zugreifen (wenn ich von extern mit meiner eigenen https:\\dyn.dns.adresse ankomme, nicht mit der https:\\xxx.homeserver.com). Von internen Clients komme ich mit der lokalen IP des Routers und nicht mit der dyn.dns-adresse, da klappt alles wie immer.
Ich muss dazu sagen, dass ich beim Router als Protokoll "von entfernten Netzen" nur https erlaube.
Vermutlich muss ich auf den jeweiligen Clients, mit denen ich von extern auf den Router und den WHS zugreifen möchte, eine VPN-Verbindung einrichten. habe
neben der Anleitung zur "Konfiguration einer PPTP Verbindung zwischen LANCOM und Windows Client" im knowledgebase von lancom auch noch eine andere eventuell passende Anleitung im lancom-forum http://www.lancom-forum.de/topic,1507,- ... lient.html entdeckt, aber bin noch nicht zum Ausprobieren gekommen.
Machst Du eigenlich auch WOL auf den WHS über das Internet (von extern) via Deinem Lancom-Router? Wenn ja, wie funktioniert denn das?

Danke und Gruß
Klaus

[pfaelzer]

Hallo Klaus,

Ich muss dazu sagen, dass ich beim Router als Protokoll "von entfernten Netzen" nur https erlaube.

das wär eine Erklärung dafür, dass du bei externem Zugriff auf "xxx.homeserver.com" die Konfigurationsseite des Routers bekommst. Externen Zugriff auf den LANCOM habe ich bei mir deaktiviert, das mache ich bei Bedarf mittels VPN in das LAN und dann von dort.

Eine Lösung dafür scheint mir, dem https eine Port-Nr mitzugeben, z.B. mittels "xxx.homeserver.com:yyy". Einfach mal testen.

Vermutlich muss ich auf den jeweiligen Clients, mit denen ich von extern auf den Router und den WHS zugreifen möchte, eine VPN-Verbindung einrichten

das sind unterschiedliche Dinge, auch wenn man im Ergebnis ähnliches machen kann. Mittels VPN bist du vollwertiger Client im LAN, das ist "mehr" als ein Zugang remote auf freigegebene Ressourcen.

neben der Anleitung zur "Konfiguration einer PPTP Verbindung zwischen LANCOM und Windows Client" im knowledgebase von lancom

auch da gibt es verschiedene Möglichkeiten. Du kannst VPN von aussen auf den WHS oder jeden anderen Client zulassen, auf den Port 1723 weitergeleitet ist. Es bietet sich der WHS an, dann kannst du Anzahl und zu vergebende IPs steuern.

Wenn dein LANCOM selbst VPN-Verbindungen bereitstellen kann (und entsprechend lizenziert ist) bietet sich natürlich an, dass dies der LANCOM macht.

Machst Du eigenlich auch WOL auf den WHS über das Internet (von extern) via Deinem Lancom-Router?

ja, mache ich und funktioniert auch. ich habe mich von dieser Seite leiten lassen.

Gruß Werner

[Santa]

Hallo Werner,

das wär eine Erklärung dafür, dass du bei externem Zugriff auf "xxx.homeserver.com" die Konfigurationsseite des Routers bekommst.

es ist "in etwa" andersrum: Portforwarding (mindestens 443) brauche ich, um auf xxx.homeserver.com zu kommen, aber wenn ich es aktiviere, komme ich von extern nicht mehr auf die Konfigseite des Routers (na ja, damit könnte ich leben)

Wenn dein LANCOM selbst VPN-Verbindungen bereitstellen kann (und entsprechend lizenziert ist) bietet sich natürlich an, dass dies der LANCOM macht.

das kann er (und ich habe auch noch Lizenzen für permanente Verbindungen frei), nur ist das mit dem Einrichten so eine Sache, ich muss mich da mal reinknien

ja, mache ich und funktioniert auch. ich habe mich von [url=http://stephan.mestrona.net/wol/] dieser Seite leiten lassen.

habs mal ausprobiert, aber da macht meine Firewall dicht, na ja, ist noch nicht so wichtig, ich will erstmal sehen, dass das WOL und Standby (oder Ruhezustand) im lokalen Netz klappt
Danke und Gruß
Klaus

[pfaelzer]

Hallo Klaus,

habs mal ausprobiert, aber da macht meine Firewall dicht

da kann ich mit einem Tipp dienlich sein . Auf dem Router muss Port 9 (UDP) auf die Broadcast-IP (i.d.R. die xxx.xxx.xxx.255) weitergeleitet sein. Das geht unter "Firewall > Regeln > Weiterleiten".

Gruß Werner

[hiwi]

Da gibt's 2 Möglichkeiten:

1. HTTPS-Port für Webconfig des LANCOM verbiegen, z. B. 444 (http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument).
oder
2. HHTPS-Port für WHS beim LANCOM auf z. B. 444 legen und beim Mapping auf 443 biegen.

[cuco]

sorry wenn ich deinen thread zumülle aber ich hab einige probleme mit dem remotezugriff auf meinen whs und ihr scheint hier zimlich gut ahnung von zu haben.

von daheim bekomm ich über os x oder xp mit der ms remote desktop software ne verbindung also kann den ganzen pc verwalten.

nur welche ip oder was muss ich eingeben wenn ich das von z.b. meiner freundin aus machen will?
woher bekomm ich die aus meiner fritzbox?

geht das nicht über die xyz.homeserver.com adresse vielleicht wenn ich dahinter den [:port] eingebe?

desweiteren bekomme ich immer die meldung das ich doch bitte die adresse meines servers zu den sicheren seiten hinzufügen soll wenn ich über den internetexplorer konsolenzugriff haben will, obwohl das gemacht worden ist. hat da einer ne idee?

danke für eure hilfe

[pfaelzer]

Hallo,

sorry wenn ich deinen thread zumülle aber ich hab einige probleme mit dem remotezugriff

kein Problem, solange es zum Thema passt

nur welche ip oder was muss ich eingeben wenn ich das von z.b. meiner freundin aus machen will?
woher bekomm ich die aus meiner fritzbox? geht das nicht über die xyz.homeserver.com adresse vielleicht wenn ich dahinter den [:port] eingebe?

also ... der RDT (Remotedesktop) musst du sagen, mit welchem "Gerät" du dich verbinden willst. Ein Gerät im Netz ist identifizierbar mindestens durch seine IP, üblicherweise auch durch seinen Namen. Beide müssen eindeutig sein.

In deinem LAN ist das jetzt einfach. Dein WHS hat einen Namen (z.B. "server") und eine IP (z.B. 192.xxx.xxx.xxx). Wenn du nun eines von beiden eingibst, weiß dein Client, dass er dich mit deinem WHS verbinden soll, denn diese IP und der Name sind in deinem LAN eindeutig.

Im WAN (im Internet) ist dies genauso. Nur, dass es dort keine privaten IPs gibt (die "192er"), sondern "offizielle" IPs. Wenn du also bei deiner Freundin bist, musst du deine "externe" IP eingeben, dann wirst du mit deinem Router verbunden. Dem Dienst RDT wiederum ist ein "Port" zugeordnet, der 3389. Wenn nun dein Router eine RDT-Anforderung aus dem WAN bekommt und dieser Port auf deinen WHS weitergeleitet ist ... voila, RDT funktioniert.

Da sich diese "externe" IP ändert, gibt es die möglichkeit, einem eindeutigen Namen jeweils diese variable IP zuzuordnen. Dies machen diverse DYNDNS-Dienste, so auch der "homeserver.com". Somit ist es auch möglich, am Client deiner Freundin "xxx.homeserver.com" einzugeben und dich mit deinem LAN zu verbinden. Dieser Request geht bei deinem Router ein, wenn der RDT-Port weitergeleitet ist, meldet sich dein WHS und ist bereit.

Zu beachten ist allerdings, dass (so meine Meinung) eine RDT über das Internet etwas unsicherer ist als z.B. eine VPN-Verbindung. Meine Empfehlung zum Zugriff aus dem WAN auf das LAN, auf den WHS ist eindeutig, eine VPN-Verbindung aufzubauen. Beispiele in den FAQ.

geht das nicht über die xyz.homeserver.com adresse vielleicht wenn ich dahinter den [:port] eingebe?

wie gesagt, funktioniert, kannst sogar das [:port] weglassen, dafür leite den 3389 an den WHS weiter

desweiteren bekomme ich immer die meldung das ich doch bitte die adresse meines servers zu den sicheren seiten hinzufügen soll wenn ich über den internetexplorer konsolenzugriff haben will, obwohl das gemacht worden ist. hat da einer ne idee?

kenn' ich auch, habe aber kein Mittel dagegen. Bei mir hat geholfen, die Seite aus den sicheren Seiten zu entfernen, alle Zertifikate zu löschen und alles neu einzutragen.

Gruß Werner

[cuco]

gut welche zertifikate sollte ich da löschen? ich habe ziemlich viele im ie7. und naja wäre toll wenn der ie danach noch geht oder so

[pfaelzer]

Hallo,

gut welche zertifikate sollte ich da löschen?

vom "xxx.homeserver.com" sind das die "go daddy ..." und befinden sich mehrmals in verschiedenen Unterordnern der Zertifikate. Wenn du dir nicht sicher bist, kannst du diese vor dem Löschen exportieren und bei Bedarf wieder importieren.

Gruß Werner

[cuco]

ok es liegt nicht an meinem pc.bei meinem bruder geht es auch nicht.

komisch. also muss es am server liegen. toll.

[pfaelzer]

Hallo,

ok es liegt nicht an meinem pc.bei meinem bruder geht es auch nicht. komisch. also muss es am server liegen

sooo schnell geben wir hier nicht auf ...

Zuerst ( so mein Vorschlag), trennen wir die Probleme. Was geht nicht? Der Remotezugriff via RDT von "extern" auf deinen WHS oder der Hinweis, dass du die Website zu den "sicheren Seiten" hinzufügen sollst?

Hinweis: bei mir sind sowohl die "http" als auch die "https" eingetragen.

Gruß Werner