PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : 1 Router + dahinter 2 Webserver



pehta
09.10.07, 12:50
Hallo ihrs!
2. Beitrag :-)

Nachdem ich es geschafft habe meinen Linuxserver (Ubuntu 6.06 Dapper Drake) aus dem 192.168.0.10 er netz ins 192.168.1.10 er Netz zu bringen und auch den SSH Server auf der 192.168.1.10er Adresse zu horchen. Versuche ich nun diesen Linux-Server und einen Windows 2003 + Tomcat Server (192.168.1.4) mit meinem Router (192.168.1.1) auf dem 80er Port erreichbar zu machen.

Vorgeschichte : 2 ISP's, von denen einer gekündigt wurde. Server die über den gekündigten ISP rausgingen müssen nun an ein anderes Netz geschlossen werden (von xxx.xxx.0.xxx -> xxx.xxx.1.xxx).

Ich habe einen Bintec Access 25 (http://www.funkwerk-ec.de/prod_bintec_vpn25_main_de,13402,194.html) der viele konfigurationsmöglichkeiten bietet. Aber ich weiß nicht so recht was ich jetzt genau brauche.

Soweit mir bekannt ist, kann man einen Port nur an eine einzige IP-Adresse routen. Wie würde ihr vorgehen bei einem solchen vorhaben ?

marce
09.10.07, 12:53
(1) anderer Port verwenden
(2) einer der Server spielt Proxy

ThorstenS
09.10.07, 12:56
Du hast recht, dein router ist nicht intelligent genug die Webserveranfragen nach Hostnamen auf den ein oder anderen Host umzubiegen.

Du könnst aber per mod_proxy auf dem Linux Apachen Anfragen für den Windows Rechner weiterreichen.

Die BinTec leitet also alle Anfragen an :80 auf den Linuxserver.
sobald aber die URL /windows auftaucht, leitet der Linuxserver diese Anfragen über mod_proxy an den Windowsrechner, woraufhin der Lionux Apache den Inhalt ausliefert.

Wie das genau geht, kannst du sicherlich ergoogeln.

pehta
09.10.07, 13:01
Danke für die blitzschnellen Antworten.

Beim Bintec macht mich nur eine Sache stutzig. Ich habe die möglichkeit Static Hosts einzutragen wie zb sub1.domain.de auf ip 192.168.1.10 und sub2.domain.de auf 192.168.1.4, was dann intern im LAN auch funktioniert. Ich erreiche über meine Subdomains, die gewünschten Applikationen, weiß aber nicht genau ob der Bintec diese eigenschaft auch nach aussen zur Verfügung stellen kann.

@ ThorstenS: Woher weißt du das genau mit dem Bintec ? Welches Feature wäre dafür zuständig ?

ThorstenS
09.10.07, 13:23
Meine letzte BinTec habe ich 2002 in der Hand gehalten, kannte das von dir genannte feature noch nicht.

Aber prinzipiell muss der Router von aussen unter beiden Domains erreichbar sein - was er wohl nicht ist.
Nur anhand des Namens kann er ja dem ein oder anderen Webserver die Anfragen weiterleiten.
Du könntest dir auf zwei verschiedenen Rechnern im Netz einen dyndns Client installieren. Der eine löst auf die Domain auf, die du dem Windows Rechner zuordnest, der ander auf eine domain für den Linux host. Wäre das eine Lösung für dich? Den Rest kann ja anscheinen die BinTec....

pehta
09.10.07, 13:31
Um ehrlich zu sein, habe ich bereits 2 Dyndns Clients.

Auf jedem Server einen, aber jede Weiterleitung meiner Subdomains (bei einem externen Webhoster) als CNAME auf eine der dyndns-domains endet am Bintec, wo ich mich dann für den Konfigurations-Wizard einloggen kann. :-/ Komme praktisch nicht bis zum Webserver durch.

ThorstenS
09.10.07, 16:45
hmm, eigentlich hast du damit ja schon alles richtig gemacht.
Ich weis nicht mehr wie es funktioniert, aber man konnte sich doch auch
per telnet auf der BinTec anmelden und anstelle der Überfläche auf der console rumturnen. (hab ich leider vergessen wie das ging)
Damals habe ich auch den Verkehr mitsniffen können. Das solltest du tun, um zu sehen was mit den Paketen passiert...

marce
09.10.07, 19:32
Schon mal von einem Rechner probiert, der ausserhalb Deines Netzes sitzt?

pehta
10.10.07, 09:52
Da ich noch ein paar Tage die 2. Leitung habe, teste ich mit nem separaten Rechner auf der 2. Leitung ob die Applikationen auf der 1. Leitung von aussen erreichbar sind.

Von sniffen habe ich schonmal etwas "gehört". Ich kenne mich aber nicht damit aus.

Habe auch feststellen müssen, daß ich von aussen auch keinen SSH-Zugriff übers Terminal und kein SFTP-Zugang mehr habe. Da wird die verbndung Refused. Das war nach der Umstellung der IP des Linux-Servers das erste Problem mit dem ich zu kämpfen hatte bis ich schließlich in der sshd_config ListenAddress auf 192.168.1.10 (quasi die neue IP) gestellt habe. Nun ist es im LAN Möglich, aber extern hab ich immernoch keinen SFTP- bzw SSH-Zugriff. Gibt es da noch etwas was ich beachten muss?

mod_proxy will irgendwie nicht bei mir funktionieren. So wie ich das verstanden habe, benötige ich einen reverse-proxy. Somit wären diese 2 Zeilen in meine proxy.conf hinzuzufügen:


ProxyPass /image http://192.168.1.4
ProxyPassReverse /image http://192.168.1.4

Und 2 symbolische Links in /etc/apache2/mods-enabled. Der eine auf proxy.load und der andere auf proxy.conf.

Richtig ?

Image ist jetzt zb eine Applikation auf dem Windows Server ist.



Nachtrag: Problem mit SSH-Extern behoben. War ein NAT-Problem.

marce
10.10.07, 10:08
mod_proxy will irgendwie nicht bei mir funktionieren. So wie ich das verstanden habe, benötige ich einen reverse-proxy. Somit wären diese 2 Zeilen in meine proxy.conf hinzuzufügen:


ProxyPass /image http://192.168.1.4
ProxyPassReverse /image http://192.168.1.4
Gibt's die Fehlerbeschreibung etwas genauer? Browsermeldung, Logfiles, - das übliche halt...

pehta
10.10.07, 10:19
Aktiviere ich mod_proxy mit den beiden Zeilen, müsste ich doch unter http://192.168.1.10/image auf http://192.168.1.4 "weiterverlinkt" werden. Richtig ?

Stattdessen bekomme ich aber einen 403 Forbidden Fehler

marce
10.10.07, 10:22
403 von welchem Server? Und immer noch: Logfiles?

pehta
10.10.07, 10:35
403 Forbidden Error bringt mir der Linux-Server 192.168.1.10 dessen log sagt folgendes:


[Wed Oct 10 10:16:37 2007] [notice] Apache/2.0.55 (Ubuntu) PHP/5.1.2 mod_ssl/2.0.55 OpenSSL/0.9.8a configured -- resuming normal operations
[Wed Oct 10 10:17:00 2007] [error] [client 192.168.1.195] client denied by server configuration: proxy:http://192.168.1.4

Bedarf der Windows-Server eigentlich nicht auch einer neuen Konfiguration, wegen dem Proxy ?



Nachtrag: http://192.168.1.10/image auf http://192.168.1.4 funktioniert. In der proxy.conf mußte Deny from all auskommentiert werden.

Jetzt muss ich es nur noch hinkriegen daß der Linux-Server bei der Anfrage image.meinedomain.de diese dann an die 192.168.1.4 weiterleitet.