Windows Server 2012 R2 Privat IIS Website hosting

[Dark4ce897]

Hallo Zusammen

Zu Lern und Testzwecken möchte ich auf meinem PC selbst eine Website hosten.
Kann mir jemand weiterhelfen?
(Hardware siehe .txt)

Meine Ausgangslage:

--> VMware workstation 14
--> WinServer2012 R2
//fixe ip vergeben, Gateway i.o
-IIS Dienste installliert
//Homepage mit IIS konfiguriert
//Meine Testhomepage lässt sich im lokalen Netzwerk aufrufen (domain wurde reserviert und ist in meinem Besitz)
-DNS Server installiert
//?

Was muss weiter gemacht werden damit ich die Homepage, ausserhalb meines Netzwerkes aufrufen könnte?
Lässt dies mein ISP überhaupt zu?
Meiner Logik nach müsste ich eine statische IP besitzen welche ich auf meinen VmServer redirecte? Wie funktioniert das z.B. Synology da könnte man auch eine website hosten.

(Sicherheitsbedenken mal weglassen und ich weiss, dass ich die HP einfach als service hosten lassen könnte :-))

Vielen Dank wer mir weitere Infos geben kann.

 

[petepow]

Du bräuchtest eine fixe IP von deinen Provider. Dann müsstest du bei deinen Router/Firewall einen Portforward auf die VM machen.

Ob das ganze überhaupt von deinen Provider aus erlaubt ist, weiß ich natürlich nicht.


P.S. Mit dyndns konnte man früher sowas auch leicht mit wechselnder IP machen, wird wahrscheinlich jetzt auch noch gehen, habe sowas schon seit Jahren nicht mehr gemacht . Manche Router unterstützen das. Man logte sich mit seinen Benutzerdaten auf den Router bei DynDNS ein und der sendetet dann einfach immer die aktuelle ip an den Service.

Edit2: Falls du dir eine "richtige" domain gesichert hast, müsstest du natürlich auch noch deine ip in den MX-Records eintragen.

 

[GuardianAngel93]

Hi

Falls du aus der Schweiz kommst und bei Swisscom Kunde bist, kannst du da den DDNS Dienst aktivieren. Dann bekommst du einen Link wie deinwunschname.internet-box.ch dies völlig kostenlos. Andernfalls müsstest du schauen ob du via no-ip oder dyndns oder ähnliche dienste dies realisieren kannst.

Zusätzlich musst du auf deiner Firewall & deinem Router ein Portforwarding machen.. Ich nehme an, du verwendest normal HTTP (port 80) und nicht HTTPS (443)..

Hierbei gilt z.B.

Egal was extern auf port 80 anfragt wird intern auf deine Firwall geleitet sieht dann z.B. so aus:
IP: 0.0.0.0 Port: 80 zu IP Intern: 192.168.1.2 Port: 80 (Extern zu Firewall)
IP: 192.168.1.1 Port: 80 zu IP Intern 192.168.2.2 Port 80 (Firewall zu VM)

Je nach Firewall kann man dann noch weiteres bestimmen..

 

[Krautmaster]

am besten wäre dir zb eine domain + 10 subdomains bei strato oÄ rauszulassen. Da gibts auch einen client der die dynamic Ip aktualisiert. Dazu muss man bei der Domain bei Strato Dyndns aktiviert haben und in dem kleinen Tool die domain + anmeldedaten hinterlegen. Muss nur ein pc im Lan machen. Manche router können es auch aber seltener mit subdomains.

-> dann auf deinem win 2012 R2 ein DMZ virtuelles Netzwerk erstellen, da eine Firewall (zb pfsense als VM), dann die Ports im Router auf diese FW freigeben. Diese hat einen 2. Lan anschluss mit dem geschlossenen virtuellen LAN und spielt quasi router und zb dhcp server für die rechner da drin. Dann eine VM als reverse proxy. Zig weitere VMs als einzelne Webserver (sofern du mehrere Seiten drin hast). Der Reverse proxy routet dann zb hallo.domain.de an den Server A, und xyz.doiain.de an server B.
Außerdem bietet sich an zb noch nen testclient drin zu haben, einfache Windows Maschine mit zb Putty und Teamviewer sodass du einfach von diesem aus auf die VMs kommst denn die sollen ja in der DMZ möglichst abgeschottet vom Rest des Netzwerks sein.

ergo Client -> Internet -> router -> VM Firewall -> Private virtual Lan -> reverse proxy VM -> webserver

 

[conf_t]

Gibt jede Menge kostenloser und kostenpflichtiger DynDns Alternative. Ich nutze Selfhost.de.
Wie Krautmaster schrieb, einfach den Rechner ins Internet hängen geht zwar technisch wäre aber sehr dumm, da ohne DMZ (was an sich die Firewall mit einschließt) alles in deinem LAN gefährdet ist, wenn der Server, so wie du geplant hattest aufgebaut wurde, kompromittiert würde. Und kein Patch, keine Einstellung und keine Sicherheitsfeature kann die Kompromittierung ausschließen. Daher gehört sowas in eine DMZ. Firewall Schutz aus/in WAN und aus/in Richtung LAN. Dazu noch in eine eigene Broadcastdomäne. Also sowie schon beschrieben.

Du wirst sehen insbesondere, wenn du noch einen Dienst mit Login betreibst, z.B. SMTP, es vergeht kein Tag, an dem nicht mindestens eine sichtbare Brute-Force Attacke läuft. Ich konnte das mit GeoIp an der Firewall deutlich mindern (Aktuell nur DE und explizit die IPs von Cacert.org erlaubt). Die wenigen Versuche aus DE habe ich an Strato, 1&1 und M-Net verpetzt, aus deren IP Ranges die kamen. Wird natürlich nicht die echte IP des Angereifers gewesen sein, aber vielleicht konnten die was damit anfangen.

 

[Krautmaster]

https://www.computerbase.de/forum/threads/reverse-proxy-mit-nginx-und-ssl-need-help.1685725/

das hilft vielleicht bei der reverse proxy config