Port forwarding met meerdere http poorten

[Zebrapet]

Hallo,

Ik heb sinds een paar maanden newer & faster VDSL van EDPnet. Opzich goed tevreden en ook goed te spreken over de Fritz!box 7260.
Vooral de parent control is super.

Maar nu het volgende:
Heb een Vmware bak draaien met een 3 tal virtuele servers (2x MS 2008r2 en 1 Ubuntu 14)
Deze draaien IIS en Apache op poort 80.
Configuratie is als volgt:
Voor de eerste server:
Domeinnaam  no-ip.org 80  fritz!box 80  webserver
Tweede met forwarding van de poort
Domeinnaam  no-ip.org 80-8000  fritz!box 8000-80  webserver
Derde met forwarding van de poort
Domeinnaam  no-ip.org 80-8080  fritz!box 8080-80  webserver
De eerste server wekrt perfect, de tweede en derde zijn niet bereikbaar. Ik heb al verschillende poorten geprobeerd en gechecked of ze open staan maar ik krijg het niet aan de gang.
Iemand een idee? Zie ik iets over het hoofd, of doe ik iets stoms?

[krisken]

Waarom 80 8000?

Je moet gewoon port 8000 forwarden naar poort 80 op je intern ip.

Ik weet niet hoe die modem werkt, maar vermoed dat je in die richting moet kijken.

[xming]

port forwarding naar 3 verschillende interne IPs zal niet werken, wat je best kunt doen is forwarden naar een interne reverse proxy, en configureert de reverse proxy zodat ie http kan proxyen naar verschillende IPs.

[laroyj]

je hebt waarschijnlijk maar 1 public IP ?
Dan denk ik niet dat het mogelijk is om 3 keer poort 80 toe te kennen...
De theorie is correct dat je een andere extern portnr neemt om dan de forwarden, maar je kan uiteraard maar 1 keer naar eenzelfde interne port forwarden, met een standaard EDPNET abonnement heb je idd maar 1 public IP, mits aanpassing van je abonnement en extra bij te betalen 15-25 euro kan je een aantal IP adressen extra krijgen...

Bij belgacom start ben je goedkoper af, daar krijg je 4 pppoe sessies voor je 25 euro, wat ik daar dan doe is 1 router per server en daar dan voor elke router de portforwaring gaan doen naar die poort 80 en ook tekekens met een andere no-ip of dyndns per router/server public ip.

bij telenet heb je na uw modem-only ook meerdere public ip's

Want in uw huidige situatie komt u met verschillen de no-ip's toch altijd op uw zelfde publieke ip terecht en 1 toestel op port 80 kan maar werken...

Maar mss kan kan je de interne poort van je servers aanpassen naar een andere poort en dan heb je uiteraard ook geen problemen, echter bij sommige toestellen moet dit vast port 80 zijn...

[krisken]

Ik vermoed dat TS het volgende wilt:
publicip:80 ==> internip:80 (server 1)
publicip:8000 ==> internip:80 (server 2)
publicip:8080 ==> internip:80 (server3)

[Zebrapet]

Ik moet toch gewoon een poort om kunnen zetten?

Mijn gedachtengang was:

Http aanvraag naar domeinnaam op poort 80, deze wordt doorgezet naar het no-ip.org adres waar poort 80 wordt omgezet naar poort 8000 en doorgezet naar extern ip van de Fritz! op poort 8000. De Fritz! zet hem weer om naar poort 80 naar de ip van de webserver op poort 80.

De omzetting is omdat de basis webserver al op poort 80 werkt. En die werkt dus.

Aanvraag op domeinnaam op poort 8000 en deze doorzetten naar de Fritz! waar deze om word gezet naar interne ip op poort 80 werkt ook niet.

[Zebrapet]

Ik vermoed dat TS het volgende wilt:
publicip:80 ==> internip:80 (server 1)
publicip:8000 ==> internip:80 (server 2)
publicip:8080 ==> internip:80 (server3)

Klopt. Met 65000 poorten moet dat toch kunnen? (Ik heb ze toch niet allemaal nodig )

ik stel een port forwarding in op no-ip.org en zet dat weer terug op mijn router. Logisch ????

[Zebrapet]

Maar mss kan kan je de interne poort van je servers aanpassen naar een andere poort en dan heb je uiteraard ook geen problemen, echter bij sommige toestellen moet dit vast port 80 zijn...

Op IIS kan ik idd de poort van de interne webserver aanpassen. Maar die gebruikers komen toch altijd binnen op poort 80 http. Dat verkeer moet gescheiden op de router binnen komen willen ze niet allemaal naar server 1 (80) uitkomen.

[krisken]

Ik vermoed dat TS het volgende wilt:
publicip:80 ==> internip:80 (server 1)
publicip:8000 ==> internip:80 (server 2)
publicip:8080 ==> internip:80 (server3)

Klopt. Met 65000 poorten moet dat toch kunnen? (Ik heb ze toch niet allemaal nodig )

ik stel een port forwarding in op no-ip.org en zet dat weer terug op mijn router. Logisch ????

Ik heb geen kennis van fritz of no-ip (ik gebruik een bbox3 als modem met eigen router er achter) maar kan je bvb jouwexternip:8080 wel bereiken?

[Zebrapet]

Ja, van het web een poortscan geeft aan dat xxx.xxx.xxx.xxx is responding on port 8000 (Ik beperk me even tot 1 extra webserver op poort 8000)
Ook zie ik responce van poort 21 en 80

[ITnetadmin]

Stomme vragen:
staan je ips juist?

Als je ze intern kan bereiken, kan het probleem ook zijn dat de return signal niet doorkomt.
Wireshark kan natuurlijk makkelijk uitsluitsel geven, maar in deze tijden dat hubs niet meer bestaan is dat moeilijker te doen tegenwoordig.
Stap voor stap testen. Effe zonder je ddns direct je ip:port van buitenaf bevragen bv, als je kan.


[ Post made via mobile device ]

[Zebrapet]

Iedereen bedankt voor het advies.

Door de dingen uit te sluiten ben ik achter het probleem gekomen.

Ik werk vanuit een sterk gecontroleerde corperate omgeving remote op mijn systemen thuis.
En je raad het al: Alle andere poorten behalve 80 zijn afgeschermd voor http zodat ik de site anders dan op poort 80 niet zie.

Ik ben echter wel erg geholpen met de suggestie voor een reversed proxy. Die ben ik nu aan het opzetten.

thx.

[brubbel]

FWIW:
Ik gebruik een ssh tunnel met een transparante proxy (sshuttle) via vpn (hamachi op een rpi).
Omdat heel de ip-range thuis direct gemapt wordt op mijn laptop (linux) kan ik meteen aan alle toestellen, inclusief shared folders. Ook al zit alles achter een dubbele NAT (3G access point). Geen gepruts met poorten forwarden, ddns, ...

[ITnetadmin]

Ah ja, uiteraard gaat je traffiek niet via de ddns service, dus eenmaal je die op poort 80 hebt gecontacteerd vertelt hij je dat je met je externe telenet ip moet contact nemen op poort 8080, en die verbinding gaat uit van bij jou, niet van bij de ddns provider.

Klein zwak puntje in de connectie dus, tenzij je idd nog een reverse proxy gaat gebruiken die jouw poort 80 omzet in een externe poort 8080, maar ik vrees dat het zo wel een erg grote ellende gaat worden van port translations, en dat alleen maar omdat telenet poorten onnodig blokkeert (en jouw bedrijf ook trouwens).



[ Post made via mobile device ]

[Zebrapet]

Maar hoe doen die grote hosters dat dan? Die hebben ook meerdere websites op meerdere servers?

[freggy]

(Name based) virtualhosts.

[ITnetadmin]

Yups. Die gaan op de url naam, iirc, filteren, eenmaal je op de werbservice bent; per domeinnaam redirecten naar een subfolder in de document root.
Je kan die setting terugvinden in je apache config files, trouwens. Die draaien heus geen apache service per website hoor.

[ Post made via mobile device ]