Ports#

Wenn IServ hinter einem Router betrieben wird, müssen die nötigen Ports vom Router an den IServ weitergeleitet werden, damit er von außen erreichbar ist.

Empfohlene Konfiguration#

Die beste und flexibelste Lösung ist, alle Ports an den IServ weiterzuleiten. Dann können bei der Einrichtung keine Fehler unterlaufen (z. B. Port vergessen), und wenn IServ in Zukunft zusätzliche Ports für neue Dienste benötigt, muss die Routerkonfiguration dafür nicht erst extra angepasst werden.

Dies wird bei der FRITZ!Box z. B. wie folgt eingerichtet:

  1. Auf der Weboberfläche der FRITZ!Box einloggen.

  2. System -> Ansicht -> Erweiterte Ansicht -> Übernehmen.

  3. Internet -> Freigaben -> Portfreigaben -> Neue Portfreigabe.

  4. Portfreigabe aktiv für: Exposed Host.

  5. An Computer: manuelle Eingabe der IP-Adresse

  6. An IP-Adresse: IP-Adresse vom IServ, die zur FRITZ!Box hin zeigt.

  7. OK.

Ports manuell weiterleiten#

Falls Sie auf Ihrem Router keine pauschale Freigabe einrichten können oder wollen, müssen diese Ports einzeln freigegeben werden:

Port

Transport

Protokoll

Fernwartung

22

TCP

SSH

Zugriff auf die Weboberfläche

80

TCP

HTTP

443

TCP

HTTPS

FTP

21

TCP

FTP

63000 – 63099

TCP

FTP (Daten)

E-Mail-Empfang

25

TCP

SMTP

587

TCP

Submission

465

TCP

SMTPS

E-Mail-Abruf

110

TCP

POP3

143

TCP

IMAP

993

TCP

IMAPS

995

TCP

POP3S

LDAP-Server

10636

TCP

LDAPS

Unverschlüsselte Ports#

Die folgenden benötigten Protokolle erlauben unverschlüsselte Datenübertragung mit der Möglichkeit diese optional zu Verschlüsseln. Unverschlüsselte Verbindungen zu diesen Ports werden vom IServ-Portalserver abgelehnt:

HTTP

IServ leitet HTTP-Zugriffe automatisch auf HTTPS um, wenn der Server ein gültiges SSL-Zertifikat hat (das sollte bei allen Servern der Fall sein). Bei HTTPS-Verbindungen setzt IServ den HSTS-Header und stellt damit sicher, dass der Client die nächsten 6 Monate ausschließlich HTTPS zum Zugriff verwendet. Das Sicherheitsrisiko ist daher minimal. HTTP darf auf keinen Fall gesperrt werden, da IServ Let’s Encrypt für die Erzeugung des SSL-Zertifikats verwendet, und die Domainvalidierung HTTP benötigt. Des Weiteren könnte gesperrtes HTTP bei Benutzern den Eindruck erwecken, dass der Server offline wäre.

FTP

FTP unterstützt verschlüsselte Verbindungen (FTPES) auf Port 21. Der Client muss das jedoch unterstützen. Außerdem muss sichergestellt sein, dass die Portweiterleitung für die Ports 63000 – 63099 im Router eingerichtet ist.

SMTP

SMTP unterstützt Verschlüsselung per STARTTLS. Wenn dieser Port nicht weitergeleitet wird, kann IServ keine Mails mehr empfangen.

Submission

Submission unterstützt Verschlüsselung per STARTTLS. Thunderbird und Outlook werden von IServ bei der Einrichtung eines E-Mail-Accounts automatisch für Submission+STARTTLS konfiguriert.

POP3

POP3 unterstützt Verschlüsselung per STARTTLS. Thunderbird und Outlook werden von IServ bei der Einrichtung eines E-Mail-Accounts automatisch für IMAP+STARTTLS konfiguriert; POP3+STARTTLS wird nur im Notfall verwendet, wenn IMAP und IMAPS nicht funktionieren.

IMAP

IMAP unterstützt Verschlüsselung per STARTTLS. Thunderbird und Outlook werden von IServ bei der Einrichtung eines E-Mail-Accounts automatisch für IMAP+STARTTLS konfiguriert.

Ausgehende Ports#

Falls Ihr Router eine Firewall für ausgehende Verbindungen haben sollte, schalten Sie diese bitte ab bzw. konfigurieren Sie sie so, dass IServ unbeschränkt auf allen Ports ausgehende Verbindungen aufbauen kann.

LDAP#

IServ nutzt standardmäßig Port 10636 anstatt Port 636. Der Port 636 ist reserviert für zukünftige Verwendung. Falls eine anzubindende Software keine Portänderung unterstützt, sollte Sie den Port 636 im Router an Port 10636 auf dem IServ weiterleiten.