Interner Webserver von extern
Hallo zusammen,
mein interner Webserver mit der IP 192.168.156.200:8080 soll aus dem Internet erreichbar sein. Auf meiner Firewall ist ein Symantec SSL Zertifikat installiert. Egal was ich versuche http Anfragen funktionieren wunderbar, https funktioneit gar nichts. Aufruf https://externeip
Was ich versucht habe:
- SNAT Eintrag auf der Firewall: "External-->192.168.156.200:8080"
- Firewall Policy auf der Firewall: PacketFilter: HTTPS, From: External To: SNAT (s.o.)
Geloggt wird auf der Firewall dabei der Fehler: "Deny: Unhandled external package". Habe es auch schon mit https-Proxy veruscht und mit anderen Ports als 443, ohne Erfolg. Was ich nicht verstehe ist, dass es einwandfrei funktioniert, wenn ich als PacketFilter http statt https wähle. Hat jemand eine Idee, wo der Fehler liegt? Danke für eure Hilfe.
Grüße
Peter
mein interner Webserver mit der IP 192.168.156.200:8080 soll aus dem Internet erreichbar sein. Auf meiner Firewall ist ein Symantec SSL Zertifikat installiert. Egal was ich versuche http Anfragen funktionieren wunderbar, https funktioneit gar nichts. Aufruf https://externeip
Was ich versucht habe:
- SNAT Eintrag auf der Firewall: "External-->192.168.156.200:8080"
- Firewall Policy auf der Firewall: PacketFilter: HTTPS, From: External To: SNAT (s.o.)
Geloggt wird auf der Firewall dabei der Fehler: "Deny: Unhandled external package". Habe es auch schon mit https-Proxy veruscht und mit anderen Ports als 443, ohne Erfolg. Was ich nicht verstehe ist, dass es einwandfrei funktioniert, wenn ich als PacketFilter http statt https wähle. Hat jemand eine Idee, wo der Fehler liegt? Danke für eure Hilfe.
Grüße
Peter
Please also mark the comments that contributed to the solution of the article
Content-Key: 334825
Url: https://administrator.de/contentid/334825
Printed on: April 20, 2024 at 01:04 o'clock
11 Comments
Latest comment
Moin ....
also anhand deiner wenigen Angaben kann ich nur eine kleine Vermutung anstellen.
du leitest die externe Anfrage von Port 8080 in dein Netz weiter und wunderst dich das der Webserver auf 443 nicht antwortet?
Wenn ich deinen Angaben so folge sieht das wie folgt bei dir aus: http (Port443) < Eingehend > Firewall macht eine Anfrage in Port 8080 daraus > und der Webserver antwortet nicht auf 443 ... ist erstmal nicht wirklich ungewöhnlich!
VG
Ashnod
also anhand deiner wenigen Angaben kann ich nur eine kleine Vermutung anstellen.
du leitest die externe Anfrage von Port 8080 in dein Netz weiter und wunderst dich das der Webserver auf 443 nicht antwortet?
Wenn ich deinen Angaben so folge sieht das wie folgt bei dir aus: http (Port443) < Eingehend > Firewall macht eine Anfrage in Port 8080 daraus > und der Webserver antwortet nicht auf 443 ... ist erstmal nicht wirklich ungewöhnlich!
VG
Ashnod
Zitat von @petermarc:
warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? Wie kann ich das Problem lösen?
warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? Wie kann ich das Problem lösen?
Das kommt darauf an wie du die Weiterleitung für Port 80 behandelst, wenn die 1:1 durchgeht dann antwortet der Server natürlich auf dem Standardport.
Entweder änderst du die Weiterleitung auf die passenden Ports oder aber du konfigurierst den (unbekannten) Webserver das er auf dem Port für diese Domain und das Protokoll lauscht.
Ashnod
Zitat von @petermarc:
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.
Kannst du im Prinzip schon machen ... nur muss der Webserver so konfiguriert sein das er entsprechend die Anfragen beantwortet.
Wenn du das halbwegs konform machen möchtest dann solltest du dafür eher einen Port wie 8443 verwenden.
Die Umsetzung von 443 auf 8443 muss dann aber auch richtig in der Firewall konfiguriert sein...
Ashod
Hallo,
einen Server von intern immer über eine private IP Adresse (z.B. 192.168.1.10/24) und auf einen Server von extern immer via
http://.......... zugreifen, wenn man nun von intern auf einen internen Server via http.//..... zugreifen möchte muss man dazu
HairPin NAT benutzen, dann funktioniert es.
Gruß
Dobby
einen Server von intern immer über eine private IP Adresse (z.B. 192.168.1.10/24) und auf einen Server von extern immer via
http://.......... zugreifen, wenn man nun von intern auf einen internen Server via http.//..... zugreifen möchte muss man dazu
HairPin NAT benutzen, dann funktioniert es.
Gruß
Dobby
Moin.
Die Quelladresse muss ja gleich bleiben sonst würde die Antwort auf das Paket ja nicht wieder beim Client landen! Und außerdem würde beim SNAT ja die Zieladresse nicht geändert das Paket würde also weiterhin an die Firewall gerichtet sein, also vollkommener Blödsinn hier mit SNAT hantieren zu wollen...
hauruck
Ein einfacher SNAT auf der Firewall (Extern-->InterneIP:8080)
Das ist natürlich Humbug! Das ist kein "SourceNAT" was da gemacht werden muss sondern ein DNAT(DestinationNAT)!! Ist ja auch logisch da ja nicht die Quelladresse des Pakets an der Firewall umgeschrieben werden soll, sondern die Zieladresse auf die interne IP umgeschrieben (geNATet) werden muss. Der DNAT Prozess findet immer im PREROUTING statt und SNAT im POSTROUTING - Primitivste Firewall Grundlagen.Die Quelladresse muss ja gleich bleiben sonst würde die Antwort auf das Paket ja nicht wieder beim Client landen! Und außerdem würde beim SNAT ja die Zieladresse nicht geändert das Paket würde also weiterhin an die Firewall gerichtet sein, also vollkommener Blödsinn hier mit SNAT hantieren zu wollen...
hauruck
1:1 NAT ist hier denke ich dann die richtige Antwort.
Gruß
Dobby
Gruß
Dobby
Zitat von @108012:
1:1 NAT ist hier denke ich dann die richtige Antwort.
Für ein einfaches Portmapping eines einzelnen Ports nicht nötig.1:1 NAT ist hier denke ich dann die richtige Antwort.