Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fotigate 80C 2. https Portfreigabe

Frage Netzwerke

Mitglied: Striker2102

Striker2102 (Level 1) - Jetzt verbinden

31.03.2010 um 20:07 Uhr, 8280 Aufrufe, 12 Kommentare

Ich Schaffe es leider nicht einen 2. https Port auf der Fortigate freizuschalten.

Ich habe einen Webserver EBS2008, darauf läuft die Default Web Site mit https port 443 wo OWA (exchange webaccess), Webarbeitsplatz usw. drauf ist und eine Sharepoint website mit https Port 446.

Mein Problem ist das Ich zwar den Port 443 durch mappen kann (https://sub.domain.de:443) aber ich schaffe es nicht den Port 446 durchzubringen.

Es funktioniert aber wenn ich den port 446 auf 443 map geht es aber von 446 auf 446 nicht.

Meine Hauptfrage:

Kann mann den standart https port 443 überhaupt auf einen anderen umleiten?

Ich hoffe Ihr versteht mich was ich will, und ihr könnt mir helfen

Mit freundlichen Grüßen Striker2102
Mitglied: dog
31.03.2010 um 20:15 Uhr
Kann mann den standart https port 443 überhaupt auf einen anderen umleiten?

Ja, ohne Probleme.
Bitte warten ..
Mitglied: 89043
31.03.2010 um 22:08 Uhr
Klar geht das.
Bei den Fortinet Produkten läuft das über die sogenannten Virtual IPs.
Dort kannst einstellen, welche öffentlichen Ports an welchen Server weitergeleitet werden sollen.
Wenn es nötig ist kannst du über das port forwarding auch den destination port ändern.

So wie ich dich verstanden habe, hast du das für den Port 443 auch schon getan.
Wenn auf dem gleichen Server noch eine Website über den Port 446 läuft, musst du noch so eine Virtual IP anlegen, mit deren hilfe du einen externen Port (ob das nun 446 oder irgendein anderer kannst du dir im prinzip frei aussuchen) auf den Server weitergeleitet wird. Sofern du einen anderen Port als 446 wählst, musst du Port forwarding aktivieren, so dass die Pakete auf Port 446 ankommen.

Danach musst du den Port 446 natürlich auch noch in einer Firewall Policy erlauben. Ist auch eigentlich alles sehr gut in der Fortinet Knowledgebase dokumentiert. (http://kb.fortinet.com)
Bitte warten ..
Mitglied: harald21
31.03.2010 um 23:38 Uhr
Hallo,

das funktioniert ohne Probleme. Auf der Fortigate kannst du jeden Port überallhin umleiten.

Du mußt einfach eine virtuelle IP auf der Fortigate einrichten (Häckchen bei "Port-Weiterleitung" nicht vergessen) und dann noch den Traffic erlauben
Src-IF: wan
Dst-IF: internal
Src-IP: all
Dst-IP: vip_Port443 bzw vip_port 446
Schedule: always
Service: https (für Port 443) bzw. https446 (als custom service einrichten)
Action: Accept

Natürlich muß dann auch ein Webserver auf Port 446 auf Anfragen reagieren.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: Striker2102
01.04.2010 um 00:42 Uhr
Vielen dank für eure schnellen Antworten

aber leider ist mein Problem noch nicht gelöst

habe eigentlich eh alles gleich gemacht wie beim port 443 (ausgenommen das es den service https schon giebt).

Src-IF: wan
Dst-IF: DMZ (habe noch einen Forfront TMG zischen webserver und Fortigate aber das Problem ist das der Port dort nie ankommt und 443 schon)
Src-IP: all
Dst-IP: vip_Port443 bzw vip_port 446
Schedule: always
Service: https (für Port 443) bzw. https446 (als custom service einrichten)
Action: Accept

dass komische ist auch dass wenn ich bei der virtuellen ip die portweiterleitung von 446 auf 443 stelle komm ich ohne Probleme durch,
aber wenn ich die portweiterleitung von 446 auf 446 stelle geht garnichts

Harald schrieb:
"dann noch den Traffic erlauben" (diesbezüglich hab ich leider nichts gefunden könntest du mir dass bitte genauer erklären?)

giebt es auf der Fortigate die möglichkeit den Traffic zu Protokollieren, dann könnte ich villeicht dort einen fehler finden, dass einen Regel oder so falsch greift. (so änlich wie beim TMG)


Vielen Dank und noch eine schöne nacht

Mit freundlichen Grüßen Striker
Bitte warten ..
Mitglied: harald21
01.04.2010 um 08:02 Uhr
Hallo,

"Traffic erlauben" bezieht sich darauf, eine Accept-Policy zu erstellen.
Der Traffic überwachen kannst du am Besten auf der Fortigate Console:
"diag sniff pack any 'tcp and port 446' 4"
Dann werden dir die für tcp/446 ein- und ausgehenden Packete angezeigt, inkl. der Interface, über die diese gehen.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: 89043
01.04.2010 um 08:21 Uhr
Zitat von Striker2102:
dass komische ist auch dass wenn ich bei der virtuellen ip die portweiterleitung von 446 auf 443 stelle komm ich ohne Probleme
durch,
aber wenn ich die portweiterleitung von 446 auf 446 stelle geht garnichts

Hast du denn sichergestellt dass der Dienst auf Port 446 auch wirklich läuft?
Kannst du intern vom LAN darauf zugreifen wenn du nicht über die Firewall gehst?

Falls ja würde ich vorschlagen dass du entweder den von harald21 genannten sniffer einsetzt, oder - was ich noch besser finde - die folgenden Befehle auf der CLI ausführst:

diagnose debug enable
diagnose debug flow show console enable
diagnose debug flow filter port 446
diagnose debug flow trace start xxx (wobei xxx die Anzahl an Nachrichten angibt, die über diesen Befehl angezeigt werden)
Bitte warten ..
Mitglied: Striker2102
01.04.2010 um 08:47 Uhr
Guten Morgen!

ja intern ist es kein problem
ich hab beide ausprobiert bin aber nicht ganz schlau daraus geworden

FG80CM3909603185 # id=20085 trace_id=1 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."

id=20085 trace_id=1 msg="allocate a new session-0219b2d0"

id=20085 trace_id=1 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"

id=20085 trace_id=1 msg="VIP-192.168.10.253:446, outdev-wan1"

id=20085 trace_id=1 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"

id=20085 trace_id=1 msg="find a route: gw-192.168.10.253 via dmz"

id=20085 trace_id=1 msg="Denied by forward policy check"

id=20085 trace_id=2 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."

id=20085 trace_id=2 msg="allocate a new session-0219b2d3"

id=20085 trace_id=2 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"

id=20085 trace_id=2 msg="VIP-192.168.10.253:446, outdev-wan1"

id=20085 trace_id=2 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"

id=20085 trace_id=2 msg="find a route: gw-192.168.10.253 via dmz"

id=20085 trace_id=2 msg="Denied by forward policy check"

id=20085 trace_id=3 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."

id=20085 trace_id=3 msg="allocate a new session-0219b2d9"

id=20085 trace_id=3 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"

id=20085 trace_id=3 msg="VIP-192.168.10.253:446, outdev-wan1"

id=20085 trace_id=3 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"

id=20085 trace_id=3 msg="find a route: gw-192.168.10.253 via dmz"

id=20085 trace_id=3 msg="Denied by forward policy check"

mich macht des letzte a bissi stutzig

und befehl von harald:

interfaces=[any]

filters=[tcp and port 446]

5.260095 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506

8.280033 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506

14.257574 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506

villeicht hilft euch das was

Mit freundlichen Grüßen Striker
Bitte warten ..
Mitglied: 89043
01.04.2010 um 09:47 Uhr
id=20085 trace_id=1 msg="Denied by forward policy check"

Das heisst, das es keine firewall policy gibt die den Traffic erlaubt.
Du musst die Virtual IP die du erstellt hast in eine firewall policy einbinden. z.B.

src address: all
src interface wan1
dst address virtual-ip
dst interface internal (oder dmz, je nachdem wo der server steht auf den weitergeleitet werden soll)
service port 446
action allow

wichtig: kein nat aktivieren.
Bitte warten ..
Mitglied: harald21
01.04.2010 um 10:21 Uhr
Hallo,

ich sehe bei dir nur eingehende Packete (wan1-Interface):
5.260095 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
8.280033 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
14.257574 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506

es fehlen hier aber die ausgehenden Packete, d. h. der Traffic ist nicht durch eine Firewall-Policy erlaubt.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: Striker2102
01.04.2010 um 12:25 Uhr
geht leider immer noch nicht
meine einstellungen auf der fortigate:

services:
Service Name: https446
detail: TCP/446:446

Virtual IP:
name: Intranet
ip: wan1(ISP)/82.192.xx.xx
service port: 446/tcp
map to ip/ip range: 192.168.10.253
map to port 446/tcp

Policy:
src-IF: wan1(ISP
dst-IF: dmz
source: any
destination: Intranet
schedule: always
service: https446
action: accept

so sind meine einstellungen
und es will einfach nicht durgehen

Mit freundlichen Grüßen Striker
Bitte warten ..
Mitglied: 89043
01.04.2010 um 12:44 Uhr
hast du bei der konfiguration des services auch darauf geachtet, die source ports von 1-65535 zuzulassen und nur den destination port auf 446 zu setzen?


ansonsten zeig uns mal bitte den output der folgenden Befehle:

show firewall vip intranet
show firewall service custom https446
show firewall policy <id der angelegten policy>
Bitte warten ..
Mitglied: Striker2102
01.04.2010 um 21:03 Uhr
Vielen dank Liebe Administratoren

Mein fehler war das ich bei services den source port statt auf 1-65535 auf 446 gestellt hatte aber jetzt komm ich dank euch endlich durch. Nach 3 tage lang rumtüfteln .

Vielen dank nochmal und wüsche euch noch Frohe Ostern

Mit freundlichen Grüßen Striker
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
SEO
Wie funktioniert eine HTTPS Verschlüsselung? (5)

Frage von Yanmai zum Thema SEO ...

Verschlüsselung & Zertifikate
Zertifikate: Schwerer Fehler bei Globalsign führt zu HTTPS-Problemen

Link von Frank zum Thema Verschlüsselung & Zertifikate ...

Verschlüsselung & Zertifikate
Wachsende Kritik an Public Key Pinning für HTTPS (2)

Link von colinardo zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...