11
Interner Webserver von extern
Hallo zusammen,
mein interner Webserver mit der IP 192.168.156.200:8080 soll aus dem Internet erreichbar sein. Auf meiner Firewall ist ein Symantec SSL Zertifikat installiert. Egal was ich versuche http Anfragen funktionieren wunderbar, https funktioneit gar nichts. Aufruf https://externeip
Was ich versucht habe:
- SNAT Eintrag auf der Firewall: "External-->192.168.156.200:8080"
- Firewall Policy auf der Firewall: PacketFilter: HTTPS, From: External To: SNAT (s.o.)
Geloggt wird auf der Firewall dabei der Fehler: "Deny: Unhandled external package". Habe es auch schon mit https-Proxy veruscht und mit anderen Ports als 443, ohne Erfolg. Was ich nicht verstehe ist, dass es einwandfrei funktioniert, wenn ich als PacketFilter http statt https wähle. Hat jemand eine Idee, wo der Fehler liegt? Danke für eure Hilfe.
Grüße
Peter
mein interner Webserver mit der IP 192.168.156.200:8080 soll aus dem Internet erreichbar sein. Auf meiner Firewall ist ein Symantec SSL Zertifikat installiert. Egal was ich versuche http Anfragen funktionieren wunderbar, https funktioneit gar nichts. Aufruf https://externeip
Was ich versucht habe:
- SNAT Eintrag auf der Firewall: "External-->192.168.156.200:8080"
- Firewall Policy auf der Firewall: PacketFilter: HTTPS, From: External To: SNAT (s.o.)
Geloggt wird auf der Firewall dabei der Fehler: "Deny: Unhandled external package". Habe es auch schon mit https-Proxy veruscht und mit anderen Ports als 443, ohne Erfolg. Was ich nicht verstehe ist, dass es einwandfrei funktioniert, wenn ich als PacketFilter http statt https wähle. Hat jemand eine Idee, wo der Fehler liegt? Danke für eure Hilfe.
Grüße
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334825
Url: https://administrator.de/contentid/334825
Printed on: April 19, 2024 at 05:04 o'clock
11 Comments
Latest comment
Moin ....
also anhand deiner wenigen Angaben kann ich nur eine kleine Vermutung anstellen.
du leitest die externe Anfrage von Port 8080 in dein Netz weiter und wunderst dich das der Webserver auf 443 nicht antwortet?
Wenn ich deinen Angaben so folge sieht das wie folgt bei dir aus: http (Port443) < Eingehend > Firewall macht eine Anfrage in Port 8080 daraus > und der Webserver antwortet nicht auf 443 ... ist erstmal nicht wirklich ungewöhnlich!
VG
Ashnod
also anhand deiner wenigen Angaben kann ich nur eine kleine Vermutung anstellen.
du leitest die externe Anfrage von Port 8080 in dein Netz weiter und wunderst dich das der Webserver auf 443 nicht antwortet?
Wenn ich deinen Angaben so folge sieht das wie folgt bei dir aus: http (Port443) < Eingehend > Firewall macht eine Anfrage in Port 8080 daraus > und der Webserver antwortet nicht auf 443 ... ist erstmal nicht wirklich ungewöhnlich!
VG
Ashnod
Hi Ashnod,
warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? "Unhandled external package" sagt auch eher, dass das externe Paket nicht nach intern geroutet werde kann oder? Die Antwort des Webservers wäre ein "unhandled internel package".
Wie kann ich das Problem lösen?
Grüße
peter
warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? "Unhandled external package" sagt auch eher, dass das externe Paket nicht nach intern geroutet werde kann oder? Die Antwort des Webservers wäre ein "unhandled internel package".
Wie kann ich das Problem lösen?
Grüße
peter
Zitat von @petermarc:
warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? Wie kann ich das Problem lösen?
warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? Wie kann ich das Problem lösen?
Das kommt darauf an wie du die Weiterleitung für Port 80 behandelst, wenn die 1:1 durchgeht dann antwortet der Server natürlich auf dem Standardport.
Entweder änderst du die Weiterleitung auf die passenden Ports oder aber du konfigurierst den (unbekannten) Webserver das er auf dem Port für diese Domain und das Protokoll lauscht.
Ashnod
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.
Zitat von @petermarc:
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.
Kannst du im Prinzip schon machen ... nur muss der Webserver so konfiguriert sein das er entsprechend die Anfragen beantwortet.
Wenn du das halbwegs konform machen möchtest dann solltest du dafür eher einen Port wie 8443 verwenden.
Die Umsetzung von 443 auf 8443 muss dann aber auch richtig in der Firewall konfiguriert sein...
Ashod
Hallo,
einen Server von intern immer über eine private IP Adresse (z.B. 192.168.1.10/24) und auf einen Server von extern immer via
http://.......... zugreifen, wenn man nun von intern auf einen internen Server via http.//..... zugreifen möchte muss man dazu
HairPin NAT benutzen, dann funktioniert es.
Gruß
Dobby
einen Server von intern immer über eine private IP Adresse (z.B. 192.168.1.10/24) und auf einen Server von extern immer via
http://.......... zugreifen, wenn man nun von intern auf einen internen Server via http.//..... zugreifen möchte muss man dazu
HairPin NAT benutzen, dann funktioniert es.
Gruß
Dobby
Hi Dobby,
danke für deine Antwort. Mein Problem ist aber, dass ich die Umleitung auf der Firewall an den internen Server http://interneIP:8080 nicht korrekt zum laufen bekomme. Die Anfrage kommt von extern über https://externeFirewallIP:irgendeinPort und muss forwarded werden an http://interneIP:8080. Die Webserverkonfiguration sollte so bestehen bleiben. Ein einfacher SNAT auf der Firewall (Extern-->InterneIP:8080) und eine Policy mit TCP:8080 (From:External, To: SNAT) scheint nicht zu funktionieren. Ich bin ratlos
danke für deine Antwort. Mein Problem ist aber, dass ich die Umleitung auf der Firewall an den internen Server http://interneIP:8080 nicht korrekt zum laufen bekomme. Die Anfrage kommt von extern über https://externeFirewallIP:irgendeinPort und muss forwarded werden an http://interneIP:8080. Die Webserverkonfiguration sollte so bestehen bleiben. Ein einfacher SNAT auf der Firewall (Extern-->InterneIP:8080) und eine Policy mit TCP:8080 (From:External, To: SNAT) scheint nicht zu funktionieren. Ich bin ratlos
Moin.
Die Quelladresse muss ja gleich bleiben sonst würde die Antwort auf das Paket ja nicht wieder beim Client landen! Und außerdem würde beim SNAT ja die Zieladresse nicht geändert das Paket würde also weiterhin an die Firewall gerichtet sein, also vollkommener Blödsinn hier mit SNAT hantieren zu wollen...
hauruck
Ein einfacher SNAT auf der Firewall (Extern-->InterneIP:8080)
Das ist natürlich Humbug! Das ist kein "SourceNAT" was da gemacht werden muss sondern ein DNAT(DestinationNAT)!! Ist ja auch logisch da ja nicht die Quelladresse des Pakets an der Firewall umgeschrieben werden soll, sondern die Zieladresse auf die interne IP umgeschrieben (geNATet) werden muss. Der DNAT Prozess findet immer im PREROUTING statt und SNAT im POSTROUTING - Primitivste Firewall Grundlagen.Die Quelladresse muss ja gleich bleiben sonst würde die Antwort auf das Paket ja nicht wieder beim Client landen! Und außerdem würde beim SNAT ja die Zieladresse nicht geändert das Paket würde also weiterhin an die Firewall gerichtet sein, also vollkommener Blödsinn hier mit SNAT hantieren zu wollen...
hauruck
Hi hauruck,
SNAT heißt hier Static NAT (wird so auf meiner Firewall als Begriff verwendet)
SNAT heißt hier Static NAT (wird so auf meiner Firewall als Begriff verwendet)
1:1 NAT ist hier denke ich dann die richtige Antwort.
Gruß
Dobby
Gruß
Dobby
Zitat von @108012:
1:1 NAT ist hier denke ich dann die richtige Antwort.
Für ein einfaches Portmapping eines einzelnen Ports nicht nötig.1:1 NAT ist hier denke ich dann die richtige Antwort.
