Ich habe eine Domäne (z. B. example.com), eine statische IP-Adresse (z. B. 212.5.5.5) und lokale Geräte bei 192.168.0.1:80, 192.168.0.2:80, 192.168.0.3:80, 192.168.0.4:80, 192.168.0.4:47(dies ist keine Website).
Wie greife ich über Subdomänen (z. B. device1.example.com, device2.example.com, usw.) auf diese Geräte zu?
Derzeit konnte ich nur example.com:80und example.com:47zum Laufen bringen, die auf 192.168.0.4:80und verweisen 192.168.0.4:47.
Ich weiß, dass Sie den Port auf dem DNS-Server nicht einstellen können.
Wie kann ich mein Problem überwinden?
Antwort1
Sie können einen öffentlichen Server haben, auf dem der Reverse-Proxy von Nginx läuft, der den Datenverkehr basierend auf der Subdomäne an den richtigen Server umleitet.
nginx-Konfiguration auf Ihrem „Haupt“-Server:
server {
server_name device1.example.com;
location / {
proxy_pass http://192.168.0.1:80;
}
}
server {
server_name device2.example.com;
location / {
proxy_pass http://192.168.0.2:80;
}
}
server {
server_name device3.example.com;
location / {
proxy_pass http://192.168.0.3:80;
}
}
Antwort2
Sie müssen für alles außer einem alternative Ports verwenden. Beispielsweise würde 212.5.5.5:80 an 192.168.0.1:80 weiterleiten, aber dann würde 212.5.5.5:81 an 192.168.0.2:80 weiterleiten und 212.5.5.5:82 würde an 192.168.0.3:80 weiterleiten und so weiter. Dies sollte auf den meisten modernen NAT-Geräten konfigurierbar sein.
Wenn Sie IPv6 verwenden möchten, können Sie auch einfach IPv6-Passthrough auf Ihrem NAT-Gerät oder Router aktivieren. Dadurch wird jede IPv6-Adresse in Ihrem LAN dem öffentlichen Internet zugänglich gemacht, sodass Sie von außen direkt darauf zugreifen können. Wie Sie sich vorstellen können, ist dies mit einem gewissen Risiko verbunden. Sie müssen selbst entscheiden, ob Sie dieses Risiko eingehen möchten.
Antwort3
Sie sollten diese Dienste nicht direkt dem Internet aussetzen. Sie können diese Geräte nicht auf ihre Sicherheit prüfen und durch die bloße Bereitstellung werden Informationen über den Zustand Ihres internen Netzwerks preisgegeben.
Die richtige Lösung besteht darin, einen VPN-Server einzurichten, der Ihnen Fernzugriff auf ein internes Netzwerk gewährt. Idealerweise sollte das interne Netzwerk von Ihrem Hauptnetzwerk getrennt sein und nur für diese exponierten Geräte verwendet werden. Dadurch wird der Schaden begrenzt, wenn sie gehackt werden.
Open-Source-VPN-Software ist ausgereift, geprüft und die Sicherheitsprobleme sind gut bekannt. Sie beschränken sich auf eine viel kleinere Angriffsfläche.
Antwort4
Sie könnten zunächst sicherstellen, dass jeder über das Internet auf diese Dienste zugreifen muss (= dass sie wirklich öffentlich sein sollen). Andernfalls könnten Sie die Einrichtung eines VPN-Servers in Betracht ziehen und auf die Dienste innerhalb Ihres Netzwerks zugreifen.
Ich gehe davon aus, dass es sich bei den Diensten auf dem Port 80um Webserver handelt, die typische Webdienste bereitstellen. In einem solchen Fall gelten die in anderen Antworten vorgeschlagenen Reverse-Proxy-Lösungen.
Es kann sein, dass es sich um Dienste handelt, die für die Ausführung mit einem SRVEintrag in Ihrem DNS vorbereitet/beabsichtigt sind. Die Idee ist, dass Sie einen bekannten Eintrag für einen Dienst auflösen, der Ihnen wiederum den Namen:Port für die Verbindung gibt. Um das Beispiel von Minecraft zu nehmen:
- Sie richten Ihren Client für die Verbindung ein mit
minecraft.example.com - Ihr Client weiß, dass er
_minecraft._tcp.minecraft.example.com.durch eine Abfrage die tatsächliche IP-Adresse und den Port für die Verbindung abrufen kann.
Dies ist eine äußerst nützliche Funktion, muss aber auf derKlientfür den Dienst, auf den Sie zugreifen