Ports#
Wenn IServ hinter einem Router betrieben wird, müssen die nötigen Ports vom Router an den IServ weitergeleitet werden, damit er von außen erreichbar ist.
Empfohlene Konfiguration#
Die beste und flexibelste Lösung ist, alle Ports an den IServ weiterzuleiten. Dann können bei der Einrichtung keine Fehler unterlaufen (z. B. Port vergessen), und wenn IServ in Zukunft zusätzliche Ports für neue Dienste benötigt, muss die Routerkonfiguration dafür nicht erst extra angepasst werden.
Dies wird bei der FRITZ!Box z. B. wie folgt eingerichtet:
Auf der Weboberfläche der FRITZ!Box einloggen.
System -> Ansicht -> Erweiterte Ansicht -> Übernehmen.
Internet -> Freigaben -> Portfreigaben -> Neue Portfreigabe.
Portfreigabe aktiv für: Exposed Host.
An Computer: manuelle Eingabe der IP-Adresse
An IP-Adresse: IP-Adresse vom IServ, die zur FRITZ!Box hin zeigt.
OK.
Ports manuell weiterleiten#
Falls Sie auf Ihrem Router keine pauschale Freigabe einrichten können oder wollen, müssen diese Ports einzeln freigegeben werden:
Port |
Transport |
Protokoll |
|---|---|---|
Fernwartung |
||
22 |
TCP |
SSH |
Zugriff auf die Weboberfläche |
||
80 |
TCP |
HTTP |
443 |
TCP |
HTTPS |
FTP |
||
21 |
TCP |
FTP |
63000 – 63099 |
TCP |
FTP (Daten) |
E-Mail-Empfang |
||
25 |
TCP |
SMTP |
587 |
TCP |
Submission |
465 |
TCP |
SMTPS |
E-Mail-Abruf |
||
110 |
TCP |
POP3 |
143 |
TCP |
IMAP |
993 |
TCP |
IMAPS |
995 |
TCP |
POP3S |
LDAP-Server |
||
10636 |
TCP |
LDAPS |
Unverschlüsselte Ports#
Die folgenden benötigten Protokolle erlauben unverschlüsselte Datenübertragung mit der Möglichkeit diese optional zu Verschlüsseln. Unverschlüsselte Verbindungen zu diesen Ports werden vom IServ-Portalserver abgelehnt:
- HTTP
IServ leitet HTTP-Zugriffe automatisch auf HTTPS um, wenn der Server ein gültiges SSL-Zertifikat hat (das sollte bei allen Servern der Fall sein). Bei HTTPS-Verbindungen setzt IServ den HSTS-Header und stellt damit sicher, dass der Client die nächsten 6 Monate ausschließlich HTTPS zum Zugriff verwendet. Das Sicherheitsrisiko ist daher minimal. HTTP darf auf keinen Fall gesperrt werden, da IServ Let’s Encrypt für die Erzeugung des SSL-Zertifikats verwendet, und die Domainvalidierung HTTP benötigt. Des Weiteren könnte gesperrtes HTTP bei Benutzern den Eindruck erwecken, dass der Server offline wäre.
- FTP
FTP unterstützt verschlüsselte Verbindungen (
FTPES) auf Port 21. Der Client muss das jedoch unterstützen. Außerdem muss sichergestellt sein, dass die Portweiterleitung für die Ports 63000 – 63099 im Router eingerichtet ist.- SMTP
SMTP unterstützt Verschlüsselung per STARTTLS. Wenn dieser Port nicht weitergeleitet wird, kann IServ keine Mails mehr empfangen.
- Submission
Submission unterstützt Verschlüsselung per STARTTLS. Thunderbird und Outlook werden von IServ bei der Einrichtung eines E-Mail-Accounts automatisch für Submission+STARTTLS konfiguriert.
- POP3
POP3 unterstützt Verschlüsselung per STARTTLS. Thunderbird und Outlook werden von IServ bei der Einrichtung eines E-Mail-Accounts automatisch für IMAP+STARTTLS konfiguriert; POP3+STARTTLS wird nur im Notfall verwendet, wenn IMAP und IMAPS nicht funktionieren.
- IMAP
IMAP unterstützt Verschlüsselung per STARTTLS. Thunderbird und Outlook werden von IServ bei der Einrichtung eines E-Mail-Accounts automatisch für IMAP+STARTTLS konfiguriert.
Ausgehende Ports#
Falls Ihr Router eine Firewall für ausgehende Verbindungen haben sollte, schalten Sie diese bitte ab bzw. konfigurieren Sie sie so, dass IServ unbeschränkt auf allen Ports ausgehende Verbindungen aufbauen kann.
LDAP#
IServ nutzt standardmäßig Port 10636 anstatt Port 636. Der Port 636 ist reserviert für zukünftige Verwendung. Falls eine anzubindende Software keine Portänderung unterstützt, sollte Sie den Port 636 im Router an Port 10636 auf dem IServ weiterleiten.