Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fotigate 80C 2. https Portfreigabe

Frage Netzwerke

Mitglied: Striker2102

Striker2102 (Level 1) - Jetzt verbinden

31.03.2010 um 20:07 Uhr, 8396 Aufrufe, 12 Kommentare

Ich Schaffe es leider nicht einen 2. https Port auf der Fortigate freizuschalten.

Ich habe einen Webserver EBS2008, darauf läuft die Default Web Site mit https port 443 wo OWA (exchange webaccess), Webarbeitsplatz usw. drauf ist und eine Sharepoint website mit https Port 446.

Mein Problem ist das Ich zwar den Port 443 durch mappen kann (https://sub.domain.de:443) aber ich schaffe es nicht den Port 446 durchzubringen.

Es funktioniert aber wenn ich den port 446 auf 443 map geht es aber von 446 auf 446 nicht.

Meine Hauptfrage:

Kann mann den standart https port 443 überhaupt auf einen anderen umleiten?

Ich hoffe Ihr versteht mich was ich will, und ihr könnt mir helfen

mfg Striker2102
Mitglied: dog
31.03.2010 um 20:15 Uhr
Kann mann den standart https port 443 überhaupt auf einen anderen umleiten?

Ja, ohne Probleme.
Bitte warten ..
Mitglied: 89043
31.03.2010 um 22:08 Uhr
Klar geht das.
Bei den Fortinet Produkten läuft das über die sogenannten Virtual IPs.
Dort kannst einstellen, welche öffentlichen Ports an welchen Server weitergeleitet werden sollen.
Wenn es nötig ist kannst du über das port forwarding auch den destination port ändern.

So wie ich dich verstanden habe, hast du das für den Port 443 auch schon getan.
Wenn auf dem gleichen Server noch eine Website über den Port 446 läuft, musst du noch so eine Virtual IP anlegen, mit deren hilfe du einen externen Port (ob das nun 446 oder irgendein anderer kannst du dir im prinzip frei aussuchen) auf den Server weitergeleitet wird. Sofern du einen anderen Port als 446 wählst, musst du Port forwarding aktivieren, so dass die Pakete auf Port 446 ankommen.

Danach musst du den Port 446 natürlich auch noch in einer Firewall Policy erlauben. Ist auch eigentlich alles sehr gut in der Fortinet Knowledgebase dokumentiert. (http://kb.fortinet.com)
Bitte warten ..
Mitglied: harald21
31.03.2010 um 23:38 Uhr
Hallo,

das funktioniert ohne Probleme. Auf der Fortigate kannst du jeden Port überallhin umleiten.

Du mußt einfach eine virtuelle IP auf der Fortigate einrichten (Häckchen bei "Port-Weiterleitung" nicht vergessen) und dann noch den Traffic erlauben
Src-IF: wan
Dst-IF: internal
Src-IP: all
Dst-IP: vip_Port443 bzw vip_port 446
Schedule: always
Service: https (für Port 443) bzw. https446 (als custom service einrichten)
Action: Accept

Natürlich muß dann auch ein Webserver auf Port 446 auf Anfragen reagieren.

mfg
Harald
Bitte warten ..
Mitglied: Striker2102
01.04.2010 um 00:42 Uhr
Vielen dank für eure schnellen Antworten

aber leider ist mein Problem noch nicht gelöst

habe eigentlich eh alles gleich gemacht wie beim port 443 (ausgenommen das es den service https schon giebt).

Src-IF: wan
Dst-IF: DMZ (habe noch einen Forfront TMG zischen webserver und Fortigate aber das Problem ist das der Port dort nie ankommt und 443 schon)
Src-IP: all
Dst-IP: vip_Port443 bzw vip_port 446
Schedule: always
Service: https (für Port 443) bzw. https446 (als custom service einrichten)
Action: Accept

dass komische ist auch dass wenn ich bei der virtuellen ip die portweiterleitung von 446 auf 443 stelle komm ich ohne Probleme durch,
aber wenn ich die portweiterleitung von 446 auf 446 stelle geht garnichts

Harald schrieb:
"dann noch den Traffic erlauben" (diesbezüglich hab ich leider nichts gefunden könntest du mir dass bitte genauer erklären?)

giebt es auf der Fortigate die möglichkeit den Traffic zu Protokollieren, dann könnte ich villeicht dort einen fehler finden, dass einen Regel oder so falsch greift. (so änlich wie beim TMG)


Vielen Dank und noch eine schöne nacht

mfg Striker
Bitte warten ..
Mitglied: harald21
01.04.2010 um 08:02 Uhr
Hallo,

"Traffic erlauben" bezieht sich darauf, eine Accept-Policy zu erstellen.
Der Traffic überwachen kannst du am Besten auf der Fortigate Console:
"diag sniff pack any 'tcp and port 446' 4"
Dann werden dir die für tcp/446 ein- und ausgehenden Packete angezeigt, inkl. der Interface, über die diese gehen.

mfg
Harald
Bitte warten ..
Mitglied: 89043
01.04.2010 um 08:21 Uhr
Zitat von Striker2102:
dass komische ist auch dass wenn ich bei der virtuellen ip die portweiterleitung von 446 auf 443 stelle komm ich ohne Probleme
durch,
aber wenn ich die portweiterleitung von 446 auf 446 stelle geht garnichts

Hast du denn sichergestellt dass der Dienst auf Port 446 auch wirklich läuft?
Kannst du intern vom LAN darauf zugreifen wenn du nicht über die Firewall gehst?

Falls ja würde ich vorschlagen dass du entweder den von harald21 genannten sniffer einsetzt, oder - was ich noch besser finde - die folgenden Befehle auf der CLI ausführst:

diagnose debug enable
diagnose debug flow show console enable
diagnose debug flow filter port 446
diagnose debug flow trace start xxx (wobei xxx die Anzahl an Nachrichten angibt, die über diesen Befehl angezeigt werden)
Bitte warten ..
Mitglied: Striker2102
01.04.2010 um 08:47 Uhr
Guten Morgen!

ja intern ist es kein problem
ich hab beide ausprobiert bin aber nicht ganz schlau daraus geworden

FG80CM3909603185 # id=20085 trace_id=1 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."

id=20085 trace_id=1 msg="allocate a new session-0219b2d0"

id=20085 trace_id=1 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"

id=20085 trace_id=1 msg="VIP-192.168.10.253:446, outdev-wan1"

id=20085 trace_id=1 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"

id=20085 trace_id=1 msg="find a route: gw-192.168.10.253 via dmz"

id=20085 trace_id=1 msg="Denied by forward policy check"

id=20085 trace_id=2 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."

id=20085 trace_id=2 msg="allocate a new session-0219b2d3"

id=20085 trace_id=2 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"

id=20085 trace_id=2 msg="VIP-192.168.10.253:446, outdev-wan1"

id=20085 trace_id=2 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"

id=20085 trace_id=2 msg="find a route: gw-192.168.10.253 via dmz"

id=20085 trace_id=2 msg="Denied by forward policy check"

id=20085 trace_id=3 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."

id=20085 trace_id=3 msg="allocate a new session-0219b2d9"

id=20085 trace_id=3 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"

id=20085 trace_id=3 msg="VIP-192.168.10.253:446, outdev-wan1"

id=20085 trace_id=3 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"

id=20085 trace_id=3 msg="find a route: gw-192.168.10.253 via dmz"

id=20085 trace_id=3 msg="Denied by forward policy check"

mich macht des letzte a bissi stutzig

und befehl von harald:

interfaces=[any]

filters=[tcp and port 446]

5.260095 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506

8.280033 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506

14.257574 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506

villeicht hilft euch das was

mfg Striker
Bitte warten ..
Mitglied: 89043
01.04.2010 um 09:47 Uhr
id=20085 trace_id=1 msg="Denied by forward policy check"

Das heisst, das es keine firewall policy gibt die den Traffic erlaubt.
Du musst die Virtual IP die du erstellt hast in eine firewall policy einbinden. z.B.

src address: all
src interface wan1
dst address virtual-ip
dst interface internal (oder dmz, je nachdem wo der server steht auf den weitergeleitet werden soll)
service port 446
action allow

wichtig: kein nat aktivieren.
Bitte warten ..
Mitglied: harald21
01.04.2010 um 10:21 Uhr
Hallo,

ich sehe bei dir nur eingehende Packete (wan1-Interface):
5.260095 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
8.280033 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
14.257574 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506

es fehlen hier aber die ausgehenden Packete, d. h. der Traffic ist nicht durch eine Firewall-Policy erlaubt.

mfg
Harald
Bitte warten ..
Mitglied: Striker2102
01.04.2010 um 12:25 Uhr
geht leider immer noch nicht
meine einstellungen auf der fortigate:

services:
Service Name: https446
detail: TCP/446:446

Virtual IP:
name: Intranet
ip: wan1(ISP)/82.192.xx.xx
service port: 446/tcp
map to ip/ip range: 192.168.10.253
map to port 446/tcp

Policy:
src-IF: wan1(ISP
dst-IF: dmz
source: any
destination: Intranet
schedule: always
service: https446
action: accept

so sind meine einstellungen
und es will einfach nicht durgehen

mfg Striker
Bitte warten ..
Mitglied: 89043
01.04.2010 um 12:44 Uhr
hast du bei der konfiguration des services auch darauf geachtet, die source ports von 1-65535 zuzulassen und nur den destination port auf 446 zu setzen?


ansonsten zeig uns mal bitte den output der folgenden Befehle:

show firewall vip intranet
show firewall service custom https446
show firewall policy <id der angelegten policy>
Bitte warten ..
Mitglied: Striker2102
01.04.2010 um 21:03 Uhr
Vielen dank Liebe Administratoren

Mein fehler war das ich bei services den source port statt auf 1-65535 auf 446 gestellt hatte aber jetzt komm ich dank euch endlich durch. Nach 3 tage lang rumtüfteln .

Vielen dank nochmal und wüsche euch noch Frohe Ostern

mfg Striker
Bitte warten ..
Ähnliche Inhalte
Router & Routing
2 Fritzenboxen in einer "DMZ" - jetzt nun die Portfreigabe
Frage von Bastler0815Router & Routing32 Kommentare

Hallo zusammen, ich habe gerade die tolle Anleitung hier gesehen zu dem Thema 2 Fritzboxen, leider kam diese zu ...

Router & Routing
Sonicwall Portfreigabe
Frage von frank2016Router & Routing4 Kommentare

Hallo liebe Freunde, Ich habe folgendes Problem. Ich bin nicht sehr Fit was Firewalls angeht, aber ich brauche unbedingt ...

Firewall
Firewall Portfreigabe für FTP
gelöst Frage von DocSnyder26Firewall7 Kommentare

Hallo und Guten Tag, mein Problem war, dass ich mich nicht mir FTP-Servern verbinden konnte. Dachte ich mir, ist ...

Firewall
Sophos Home und Fritzbox und die Portfreigaben
gelöst Frage von Stefan007Firewall7 Kommentare

Hallo Leute, ich habe mir die Sophos Home auf meinem ESXi installiert um zusätzlichen Schutz zu bekommen (Ja, es ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter wieder installieren auf einer frischen Windows-Installation

Tipp von Lochkartenstanzer vor 14 StundenMicrosoft Office1 Kommentar

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 16 StundenDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 16 StundenSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 19 StundenMicrosoft Office1 Kommentar

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Server-Hardware
Veeam Backup Server stürzt alle paar Tage ab
Frage von Leo-leServer-Hardware11 Kommentare

Hallo Forum, ich habe momentan folgendes Problem. Veeam Backup and Replication 9.5 u2 auf voll gepatchten DL 380 G7 ...

Windows 10
Win10 Laptop findet keine Netzwerkgeräte und Freigaben mehr
Frage von CoolzeroWindows 1010 Kommentare

Hi, seit ein paar Tagen habe ich das Problem das mein Windows 10 Laptop keine Geräte mehr in der ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell10 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...