Standard PHP Version, benötigte Ports fürs NAT Gateway, SSL Zertifikat, Netzwerk-/DNS Konfiguration

Frankenstein

New Member
Moin zusammen,

ich habe mich heute dran gesetzt ISPConfig zu installieren und zu konfigurieren, da ich von Plesk weg will (Anti-Spam ist absoluter Müll bei Plesk^^). Bei der Konfiguration sind wir ein paar Sachen aufgefallen und es sind noch ein paar offene Fragen.

- Bei einem kleinen Test einen Kunden anzulegen ist mir aufgefallen, dass ich beim erstellen des Kunden keine PHP Version auswählen kann, obwohl PHP8.2 die Standard-PHP Version ist und unter "Serverkonfiguration -> Web -> PHP Einstellungen" der Menüpunkt "Biete die standardmäßig installierte PHP-Version des Servers nicht zur Auswahl an" nicht ausgewählt ist.

- Weiter finde ich in der Dokumentation (vielleicht bin ich ja blind) keine aussagekräftige Liste, welche Ports offen sein müssen - damit ich diese im NAT Gateway (OPNsense) sauber `NAT`en kann - übersehe ich nur etwas oder hätte da jemand einmal eine saubere Auflistung?

- Weiter war zum Zeitpunkt der Installation der DNS Eintrag noch nicht sauber durch um das SSL Zertifikat per acme.sh zu beziehen - Ich hatte per update Script dann das Zertifikat versucht neu erstellen zu lassen. Rufe ich die Seite per DNS Eintrag auf, lädt allerdings "das default-Zertifikat von der Firewall für ungültige Einträge". Rufe ich die Seite per LAN IP auf, komme ich zwar dran, aber bekomme ein "nicht-sicher", obwohl das SSL Zertifikat (Let's Encrypt) richtig geladen wird. Hängt das eventuell mit der Netzwerkkonfiguration zusammen, dass der Server hinter NAT liegt (hat eine eigene Floating IPv4 - aber eben per NAT über die Firewall)?

- Zu guter letzt würde mich interessieren, ob ihr nach der Installation bestimmte Konfigurationen empfehlen könnt, die wichtig wären (Nur damit ich nichts wichtiges vergesse und die Sicherheit drunter leidet)

Danke euch im voraus und beste Grüße
Frankenstein
 

Till

Administrator
- Bei einem kleinen Test einen Kunden anzulegen ist mir aufgefallen, dass ich beim erstellen des Kunden keine PHP Version auswählen kann, obwohl PHP8.2 die Standard-PHP Version ist und unter "Serverkonfiguration -> Web -> PHP Einstellungen" der Menüpunkt "Biete die standardmäßig installierte PHP-Version des Servers nicht zur Auswahl an" nicht ausgewählt ist.
Du kannst dort nur etwas auswählen wenn Du Zusatz PHP Versionen angelegt hast. Da Du nur die Standard PHP Version hast, macht eine weitere Auswahl keinen Sinn.

- Weiter finde ich in der Dokumentation (vielleicht bin ich ja blind) keine aussagekräftige Liste, welche Ports offen sein müssen - damit ich diese im NAT Gateway (OPNsense) sauber `NAT`en kann - übersehe ich nur etwas oder hätte da jemand einmal eine saubere Auflistung?
Es sind alles standard Ports, also nichts ISPConfig spezifisches außer Port 8080 und 8081. Du kannst aber z.B. eine Liste der default Ports sehen wenn Du in ISPConfig unter System eine Firewall hinzufügst, dort zeigt er Dir die Standard Ports als Default an.

- Weiter war zum Zeitpunkt der Installation der DNS Eintrag noch nicht sauber durch um das SSL Zertifikat per acme.sh zu beziehen - Ich hatte per update Script dann das Zertifikat versucht neu erstellen zu lassen. Rufe ich die Seite per DNS Eintrag auf, lädt allerdings "das default-Zertifikat von der Firewall für ungültige Einträge". Rufe ich die Seite per LAN IP auf, komme ich zwar dran, aber bekomme ein "nicht-sicher", obwohl das SSL Zertifikat (Let's Encrypt) richtig geladen wird. Hängt das eventuell mit der Netzwerkkonfiguration zusammen, dass der Server hinter NAT liegt (hat eine eigene Floating IPv4 - aber eben per NAT über die Firewall)?

das liegt an deiner lokalen netzwerk config. Außerdem musst Du wenn Du hinter einem NAT Router bist der ausgehende Requests auf seine eigene Adresse blockiert den Let's Encrypt Check unter system > server config deaktivieren, da dein Router dann verhindert dass ISPConfig testen kann dass die Domains auf den richtigen server verweisen.

- Zu guter letzt würde mich interessieren, ob ihr nach der Installation bestimmte Konfigurationen empfehlen könnt, die wichtig wären (Nur damit ich nichts wichtiges vergesse und die Sicherheit drunter leidet)
Du musst keine weiteren Einstellungen vornehmen, das Setup ist dafür gemacht so live im Internet verwendet zu werden.
 

Frankenstein

New Member
Danke dir für deine Unterstützung

Was die Ports angeht, hab ich per `ss -ltnup` geprüft was offen ist. Die Firewall schlägt mir unter anderem diese vor: 4190, 40110:40210 - da diese nicht offen sind, frage ich mich inwiefern ich diese zwingend benötige? 4190 ist Managesieve wenn ich mich nicht irre?

Außerdem musst Du wenn Du hinter einem NAT Router bist der ausgehende Requests auf seine eigene Adresse blockiert den Let's Encrypt Check unter system > server config deaktivieren
Outbound NAT ist konfiguriert - der Server geht über seine eigene Floating IP raus. Das Zertifikat ist ja an sich korrekt.

das liegt an deiner lokalen netzwerk config.
Bedeutet aber nicht zwingend, dass es nur per LAN erreichbar bleibt? Grundsätzlich sollen Kunden ja trotzdem das Control Panel aufrufen können (und die Apps wie Roundcube). Heißt Netzwerkkonfiguration innerhalb von ISPConfig auf die Public Werte anpassen (ist es unabhängig vom System?)

Du kannst dort nur etwas auswählen wenn Du Zusatz PHP Versionen angelegt hast.
So nun verstanden, besten Dank.
 

Till

Administrator
Was die Ports angeht, hab ich per `ss -ltnup` geprüft was offen ist. Die Firewall schlägt mir unter anderem diese vor: 4190, 40110:40210 - da diese nicht offen sind, frage ich mich inwiefern ich diese zwingend benötige? 4190 ist Managesieve wenn ich mich nicht irre?
Die Port Range sind die FTP passive ports. Port 4190 weiß ich jetzt so nicht.

Heißt Netzwerkkonfiguration innerhalb von ISPConfig auf die Public Werte anpassen (ist es unabhängig vom System?)
ISPConfig hat keine Netzwerk config die Du anpassen musst. Bei Webseiten wählst Du im IP Feld heutzutage einfach * aus und nur bei DNS musst Du immer die externen IP's nehmen, falls Du den DNS Server verwendest.
 

Werbung

Top