12
Fotigate 80C 2. https Portfreigabe
Ich Schaffe es leider nicht einen 2. https Port auf der Fortigate freizuschalten.
Ich habe einen Webserver EBS2008, darauf läuft die Default Web Site mit https port 443 wo OWA (exchange webaccess), Webarbeitsplatz usw. drauf ist und eine Sharepoint website mit https Port 446.
Mein Problem ist das Ich zwar den Port 443 durch mappen kann (https://sub.domain.de:443) aber ich schaffe es nicht den Port 446 durchzubringen.
Es funktioniert aber wenn ich den port 446 auf 443 map geht es aber von 446 auf 446 nicht.
Meine Hauptfrage:
Kann mann den standart https port 443 überhaupt auf einen anderen umleiten?
Ich hoffe Ihr versteht mich was ich will, und ihr könnt mir helfen
mfg Striker2102
Mein Problem ist das Ich zwar den Port 443 durch mappen kann (https://sub.domain.de:443) aber ich schaffe es nicht den Port 446 durchzubringen.
Es funktioniert aber wenn ich den port 446 auf 443 map geht es aber von 446 auf 446 nicht.
Meine Hauptfrage:
Kann mann den standart https port 443 überhaupt auf einen anderen umleiten?
Ich hoffe Ihr versteht mich was ich will, und ihr könnt mir helfen
mfg Striker2102
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 139638
Url: https://administrator.de/contentid/139638
Printed on: April 23, 2024 at 17:04 o'clock
12 Comments
Latest comment
Kann mann den standart https port 443 überhaupt auf einen anderen umleiten?
Ja, ohne Probleme.
Klar geht das.
Bei den Fortinet Produkten läuft das über die sogenannten Virtual IPs.
Dort kannst einstellen, welche öffentlichen Ports an welchen Server weitergeleitet werden sollen.
Wenn es nötig ist kannst du über das port forwarding auch den destination port ändern.
So wie ich dich verstanden habe, hast du das für den Port 443 auch schon getan.
Wenn auf dem gleichen Server noch eine Website über den Port 446 läuft, musst du noch so eine Virtual IP anlegen, mit deren hilfe du einen externen Port (ob das nun 446 oder irgendein anderer kannst du dir im prinzip frei aussuchen) auf den Server weitergeleitet wird. Sofern du einen anderen Port als 446 wählst, musst du Port forwarding aktivieren, so dass die Pakete auf Port 446 ankommen.
Danach musst du den Port 446 natürlich auch noch in einer Firewall Policy erlauben. Ist auch eigentlich alles sehr gut in der Fortinet Knowledgebase dokumentiert. (http://kb.fortinet.com)
Bei den Fortinet Produkten läuft das über die sogenannten Virtual IPs.
Dort kannst einstellen, welche öffentlichen Ports an welchen Server weitergeleitet werden sollen.
Wenn es nötig ist kannst du über das port forwarding auch den destination port ändern.
So wie ich dich verstanden habe, hast du das für den Port 443 auch schon getan.
Wenn auf dem gleichen Server noch eine Website über den Port 446 läuft, musst du noch so eine Virtual IP anlegen, mit deren hilfe du einen externen Port (ob das nun 446 oder irgendein anderer kannst du dir im prinzip frei aussuchen) auf den Server weitergeleitet wird. Sofern du einen anderen Port als 446 wählst, musst du Port forwarding aktivieren, so dass die Pakete auf Port 446 ankommen.
Danach musst du den Port 446 natürlich auch noch in einer Firewall Policy erlauben. Ist auch eigentlich alles sehr gut in der Fortinet Knowledgebase dokumentiert. (http://kb.fortinet.com)
Hallo,
das funktioniert ohne Probleme. Auf der Fortigate kannst du jeden Port überallhin umleiten.
Du mußt einfach eine virtuelle IP auf der Fortigate einrichten (Häckchen bei "Port-Weiterleitung" nicht vergessen) und dann noch den Traffic erlauben
Src-IF: wan
Dst-IF: internal
Src-IP: all
Dst-IP: vip_Port443 bzw vip_port 446
Schedule: always
Service: https (für Port 443) bzw. https446 (als custom service einrichten)
Action: Accept
Natürlich muß dann auch ein Webserver auf Port 446 auf Anfragen reagieren.
mfg
Harald
das funktioniert ohne Probleme. Auf der Fortigate kannst du jeden Port überallhin umleiten.
Du mußt einfach eine virtuelle IP auf der Fortigate einrichten (Häckchen bei "Port-Weiterleitung" nicht vergessen) und dann noch den Traffic erlauben
Src-IF: wan
Dst-IF: internal
Src-IP: all
Dst-IP: vip_Port443 bzw vip_port 446
Schedule: always
Service: https (für Port 443) bzw. https446 (als custom service einrichten)
Action: Accept
Natürlich muß dann auch ein Webserver auf Port 446 auf Anfragen reagieren.
mfg
Harald
Vielen dank für eure schnellen Antworten
aber leider ist mein Problem noch nicht gelöst
habe eigentlich eh alles gleich gemacht wie beim port 443 (ausgenommen das es den service https schon giebt).
Src-IF: wan
Dst-IF: DMZ (habe noch einen Forfront TMG zischen webserver und Fortigate aber das Problem ist das der Port dort nie ankommt und 443 schon)
Src-IP: all
Dst-IP: vip_Port443 bzw vip_port 446
Schedule: always
Service: https (für Port 443) bzw. https446 (als custom service einrichten)
Action: Accept
dass komische ist auch dass wenn ich bei der virtuellen ip die portweiterleitung von 446 auf 443 stelle komm ich ohne Probleme durch,
aber wenn ich die portweiterleitung von 446 auf 446 stelle geht garnichts
Harald schrieb:
"dann noch den Traffic erlauben" (diesbezüglich hab ich leider nichts gefunden könntest du mir dass bitte genauer erklären?)
giebt es auf der Fortigate die möglichkeit den Traffic zu Protokollieren, dann könnte ich villeicht dort einen fehler finden, dass einen Regel oder so falsch greift. (so änlich wie beim TMG)
Vielen Dank und noch eine schöne nacht
mfg Striker
aber leider ist mein Problem noch nicht gelöst
habe eigentlich eh alles gleich gemacht wie beim port 443 (ausgenommen das es den service https schon giebt).
Src-IF: wan
Dst-IF: DMZ (habe noch einen Forfront TMG zischen webserver und Fortigate aber das Problem ist das der Port dort nie ankommt und 443 schon)
Src-IP: all
Dst-IP: vip_Port443 bzw vip_port 446
Schedule: always
Service: https (für Port 443) bzw. https446 (als custom service einrichten)
Action: Accept
dass komische ist auch dass wenn ich bei der virtuellen ip die portweiterleitung von 446 auf 443 stelle komm ich ohne Probleme durch,
aber wenn ich die portweiterleitung von 446 auf 446 stelle geht garnichts
Harald schrieb:
"dann noch den Traffic erlauben" (diesbezüglich hab ich leider nichts gefunden könntest du mir dass bitte genauer erklären?)
giebt es auf der Fortigate die möglichkeit den Traffic zu Protokollieren, dann könnte ich villeicht dort einen fehler finden, dass einen Regel oder so falsch greift. (so änlich wie beim TMG)
Vielen Dank und noch eine schöne nacht
mfg Striker
Hallo,
"Traffic erlauben" bezieht sich darauf, eine Accept-Policy zu erstellen.
Der Traffic überwachen kannst du am Besten auf der Fortigate Console:
"diag sniff pack any 'tcp and port 446' 4"
Dann werden dir die für tcp/446 ein- und ausgehenden Packete angezeigt, inkl. der Interface, über die diese gehen.
mfg
Harald
"Traffic erlauben" bezieht sich darauf, eine Accept-Policy zu erstellen.
Der Traffic überwachen kannst du am Besten auf der Fortigate Console:
"diag sniff pack any 'tcp and port 446' 4"
Dann werden dir die für tcp/446 ein- und ausgehenden Packete angezeigt, inkl. der Interface, über die diese gehen.
mfg
Harald
Zitat von @Striker2102:
dass komische ist auch dass wenn ich bei der virtuellen ip die portweiterleitung von 446 auf 443 stelle komm ich ohne Probleme
durch,
aber wenn ich die portweiterleitung von 446 auf 446 stelle geht garnichts
dass komische ist auch dass wenn ich bei der virtuellen ip die portweiterleitung von 446 auf 443 stelle komm ich ohne Probleme
durch,
aber wenn ich die portweiterleitung von 446 auf 446 stelle geht garnichts
Hast du denn sichergestellt dass der Dienst auf Port 446 auch wirklich läuft?
Kannst du intern vom LAN darauf zugreifen wenn du nicht über die Firewall gehst?
Falls ja würde ich vorschlagen dass du entweder den von harald21 genannten sniffer einsetzt, oder - was ich noch besser finde - die folgenden Befehle auf der CLI ausführst:
diagnose debug enable
diagnose debug flow show console enable
diagnose debug flow filter port 446
diagnose debug flow trace start xxx (wobei xxx die Anzahl an Nachrichten angibt, die über diesen Befehl angezeigt werden)
Guten Morgen!
ja intern ist es kein problem
ich hab beide ausprobiert bin aber nicht ganz schlau daraus geworden
FG80CM3909603185 # id=20085 trace_id=1 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."
id=20085 trace_id=1 msg="allocate a new session-0219b2d0"
id=20085 trace_id=1 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"
id=20085 trace_id=1 msg="VIP-192.168.10.253:446, outdev-wan1"
id=20085 trace_id=1 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"
id=20085 trace_id=1 msg="find a route: gw-192.168.10.253 via dmz"
id=20085 trace_id=1 msg="Denied by forward policy check"
id=20085 trace_id=2 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."
id=20085 trace_id=2 msg="allocate a new session-0219b2d3"
id=20085 trace_id=2 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"
id=20085 trace_id=2 msg="VIP-192.168.10.253:446, outdev-wan1"
id=20085 trace_id=2 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"
id=20085 trace_id=2 msg="find a route: gw-192.168.10.253 via dmz"
id=20085 trace_id=2 msg="Denied by forward policy check"
id=20085 trace_id=3 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."
id=20085 trace_id=3 msg="allocate a new session-0219b2d9"
id=20085 trace_id=3 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"
id=20085 trace_id=3 msg="VIP-192.168.10.253:446, outdev-wan1"
id=20085 trace_id=3 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"
id=20085 trace_id=3 msg="find a route: gw-192.168.10.253 via dmz"
id=20085 trace_id=3 msg="Denied by forward policy check"
mich macht des letzte a bissi stutzig
und befehl von harald:
interfaces=[any]
filters=[tcp and port 446]
5.260095 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
8.280033 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
14.257574 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
villeicht hilft euch das was
mfg Striker
ja intern ist es kein problem
ich hab beide ausprobiert bin aber nicht ganz schlau daraus geworden
FG80CM3909603185 # id=20085 trace_id=1 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."
id=20085 trace_id=1 msg="allocate a new session-0219b2d0"
id=20085 trace_id=1 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"
id=20085 trace_id=1 msg="VIP-192.168.10.253:446, outdev-wan1"
id=20085 trace_id=1 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"
id=20085 trace_id=1 msg="find a route: gw-192.168.10.253 via dmz"
id=20085 trace_id=1 msg="Denied by forward policy check"
id=20085 trace_id=2 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."
id=20085 trace_id=2 msg="allocate a new session-0219b2d3"
id=20085 trace_id=2 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"
id=20085 trace_id=2 msg="VIP-192.168.10.253:446, outdev-wan1"
id=20085 trace_id=2 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"
id=20085 trace_id=2 msg="find a route: gw-192.168.10.253 via dmz"
id=20085 trace_id=2 msg="Denied by forward policy check"
id=20085 trace_id=3 msg="vd-root received a packet(proto=6, 80.187.105.179:58738->82.192.xx.xx:446) from wan1."
id=20085 trace_id=3 msg="allocate a new session-0219b2d9"
id=20085 trace_id=3 msg="find SNAT: IP-192.168.10.253(from IPPOOL), port-446"
id=20085 trace_id=3 msg="VIP-192.168.10.253:446, outdev-wan1"
id=20085 trace_id=3 msg="DNAT 82.192.xx.xx:446->192.168.10.253:446"
id=20085 trace_id=3 msg="find a route: gw-192.168.10.253 via dmz"
id=20085 trace_id=3 msg="Denied by forward policy check"
mich macht des letzte a bissi stutzig
und befehl von harald:
interfaces=[any]
filters=[tcp and port 446]
5.260095 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
8.280033 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
14.257574 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
villeicht hilft euch das was
mfg Striker
id=20085 trace_id=1 msg="Denied by forward policy check"
Das heisst, das es keine firewall policy gibt die den Traffic erlaubt.
Du musst die Virtual IP die du erstellt hast in eine firewall policy einbinden. z.B.
src address: all
src interface wan1
dst address virtual-ip
dst interface internal (oder dmz, je nachdem wo der server steht auf den weitergeleitet werden soll)
service port 446
action allow
wichtig: kein nat aktivieren.
Das heisst, das es keine firewall policy gibt die den Traffic erlaubt.
Du musst die Virtual IP die du erstellt hast in eine firewall policy einbinden. z.B.
src address: all
src interface wan1
dst address virtual-ip
dst interface internal (oder dmz, je nachdem wo der server steht auf den weitergeleitet werden soll)
service port 446
action allow
wichtig: kein nat aktivieren.
Hallo,
ich sehe bei dir nur eingehende Packete (wan1-Interface):
es fehlen hier aber die ausgehenden Packete, d. h. der Traffic ist nicht durch eine Firewall-Policy erlaubt.
mfg
Harald
ich sehe bei dir nur eingehende Packete (wan1-Interface):
5.260095 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
8.280033 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
14.257574 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
8.280033 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
14.257574 wan1 in 80.187.105.179.2664 -> 82.192.xx.xx.446: syn 2828483506
es fehlen hier aber die ausgehenden Packete, d. h. der Traffic ist nicht durch eine Firewall-Policy erlaubt.
mfg
Harald
geht leider immer noch nicht
meine einstellungen auf der fortigate:
services:
Service Name: https446
detail: TCP/446:446
Virtual IP:
name: Intranet
ip: wan1(ISP)/82.192.xx.xx
service port: 446/tcp
map to ip/ip range: 192.168.10.253
map to port 446/tcp
Policy:
src-IF: wan1(ISP
dst-IF: dmz
source: any
destination: Intranet
schedule: always
service: https446
action: accept
so sind meine einstellungen
und es will einfach nicht durgehen
mfg Striker
meine einstellungen auf der fortigate:
services:
Service Name: https446
detail: TCP/446:446
Virtual IP:
name: Intranet
ip: wan1(ISP)/82.192.xx.xx
service port: 446/tcp
map to ip/ip range: 192.168.10.253
map to port 446/tcp
Policy:
src-IF: wan1(ISP
dst-IF: dmz
source: any
destination: Intranet
schedule: always
service: https446
action: accept
so sind meine einstellungen
und es will einfach nicht durgehen
mfg Striker
hast du bei der konfiguration des services auch darauf geachtet, die source ports von 1-65535 zuzulassen und nur den destination port auf 446 zu setzen?
ansonsten zeig uns mal bitte den output der folgenden Befehle:
show firewall vip intranet
show firewall service custom https446
show firewall policy <id der angelegten policy>
ansonsten zeig uns mal bitte den output der folgenden Befehle:
show firewall vip intranet
show firewall service custom https446
show firewall policy <id der angelegten policy>
Vielen dank Liebe Administratoren
Mein fehler war das ich bei services den source port statt auf 1-65535 auf 446 gestellt hatte aber jetzt komm ich dank euch endlich durch. Nach 3 tage lang rumtüfteln.
Vielen dank nochmal und wüsche euch noch Frohe Ostern
mfg Striker
Mein fehler war das ich bei services den source port statt auf 1-65535 auf 446 gestellt hatte aber jetzt komm ich dank euch endlich durch. Nach 3 tage lang rumtüfteln
.Vielen dank nochmal und wüsche euch noch Frohe Ostern
mfg Striker
