Fortigate 60C: Port Forwarding mittels virtueller IP funktioniert nicht mehr
Liebe Administratoren
Vor kurzem wurde bei einem unserer Kunden die Public Domain (example.com) auf einen neuen Anbieter transferiert. Die Public Nameserver sind gleich. Es besteht ein A-Record für remote.example.com, welcher auf die statische IP des Internetanschlusses verweist. Zusätzlich bestehen CNAMEs für cloud.example.com sowie mail.example.com, welcher auf den Eintrag remote.example.com verweisen.
Auf der Firewall (Fortigate 60c) sind virtuelle IP-Adressen (0.0.0.0 -> 192.168.0.2, Port 5000 / 5001 sowie 0.0.0.0 -> 192.168.0.3, Port 80 / 443 / 25 etc.) eingerichtet, welche vor der Umstellung funktioniert haben. Die Ports sind allesamt in der Firewall geöffnet (werden auch von außen als geöffnet angezeigt). Die Methode wird bei allen virtuellen IPs als Static-NAT angezeigt (ich kann auch nichts anderes auswählen).
Im internen Netzwerk läuft ein SBS-2008 Server mit Exchange 2007, auf welchen die Ports 80, 443 und 25 weitergeleitet werden. Dies funktioniert problemlos. Allerdings werden die Ports 5000 / 5001 nicht auf das NAS (192.168.0.2) weitergeleitet, sondern landen auch auf dem Exchange Server, obwohl die Regel auf die richtige Adresse konfiguriert ist. Ich habe das mit einer neuen IIS-Website auf dem Port 5000 getestet. Die Firewall wurde mehrmals neu gestartet, was das Problem leider auch nicht lösen konnte.
Die Benutzer würden schlussendlich via cloud.example.com auf das NAS verbinden. Leider kann ich auch keine 2. statische IP Adresse beim ISP bestellen. Die Umsetzung eines Reverse Proxy's auf dem SBS ist mir ehrlich gesagt zu unsicher (der SBS reagiert generell sehr empfindlich auf Änderungen).
Habt Ihr einen Lösungsvorschlag? Für jegliche Hilfe bin ich dankbar.
Freundliche Grüsse
nextized
Vor kurzem wurde bei einem unserer Kunden die Public Domain (example.com) auf einen neuen Anbieter transferiert. Die Public Nameserver sind gleich. Es besteht ein A-Record für remote.example.com, welcher auf die statische IP des Internetanschlusses verweist. Zusätzlich bestehen CNAMEs für cloud.example.com sowie mail.example.com, welcher auf den Eintrag remote.example.com verweisen.
Auf der Firewall (Fortigate 60c) sind virtuelle IP-Adressen (0.0.0.0 -> 192.168.0.2, Port 5000 / 5001 sowie 0.0.0.0 -> 192.168.0.3, Port 80 / 443 / 25 etc.) eingerichtet, welche vor der Umstellung funktioniert haben. Die Ports sind allesamt in der Firewall geöffnet (werden auch von außen als geöffnet angezeigt). Die Methode wird bei allen virtuellen IPs als Static-NAT angezeigt (ich kann auch nichts anderes auswählen).
Im internen Netzwerk läuft ein SBS-2008 Server mit Exchange 2007, auf welchen die Ports 80, 443 und 25 weitergeleitet werden. Dies funktioniert problemlos. Allerdings werden die Ports 5000 / 5001 nicht auf das NAS (192.168.0.2) weitergeleitet, sondern landen auch auf dem Exchange Server, obwohl die Regel auf die richtige Adresse konfiguriert ist. Ich habe das mit einer neuen IIS-Website auf dem Port 5000 getestet. Die Firewall wurde mehrmals neu gestartet, was das Problem leider auch nicht lösen konnte.
Die Benutzer würden schlussendlich via cloud.example.com auf das NAS verbinden. Leider kann ich auch keine 2. statische IP Adresse beim ISP bestellen. Die Umsetzung eines Reverse Proxy's auf dem SBS ist mir ehrlich gesagt zu unsicher (der SBS reagiert generell sehr empfindlich auf Änderungen).
Habt Ihr einen Lösungsvorschlag? Für jegliche Hilfe bin ich dankbar.
Freundliche Grüsse
nextized
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 271889
Url: https://administrator.de/forum/fortigate-60c-port-forwarding-mittels-virtueller-ip-funktioniert-nicht-mehr-271889.html
Ausgedruckt am: 28.12.2024 um 08:12 Uhr
9 Kommentare
Neuester Kommentar
Hi
Ich würde erstmal die Konfig sichern und die Firmware der 60C updaten. Dann nochmal testen. Wenn das Problem weiter besteht würde ich die gesicherte Konfig mit einem Texteditor öffenen und nach der IP suchen. Möglicherweise wird in der GUI etwas anderes angezeigt als in der Konfig steht.
Sollte das auch nicht helfen würde ich einen Reset durchführen und die Konfig neu einspielen. Wenn das auch nix bringt die Konfig schnell neu machen und nochmal testen.
LG Andy
Ich würde erstmal die Konfig sichern und die Firmware der 60C updaten. Dann nochmal testen. Wenn das Problem weiter besteht würde ich die gesicherte Konfig mit einem Texteditor öffenen und nach der IP suchen. Möglicherweise wird in der GUI etwas anderes angezeigt als in der Konfig steht.
Sollte das auch nicht helfen würde ich einen Reset durchführen und die Konfig neu einspielen. Wenn das auch nix bringt die Konfig schnell neu machen und nochmal testen.
LG Andy
Zitat von @earlthegrey:
Hallo!
Wie genau sind die Virtuellen IP's konfiguriert?
Mit 0.0.0.0 wohl nicht oder?
Hallo!
Wie genau sind die Virtuellen IP's konfiguriert?
Mit 0.0.0.0 wohl nicht oder?
Warum nicht 0.0.0.0 bedeutet nur egal von welcher IP die anfrage auf Port 5000 kommt leite sie an 192.168.0.2
LG
Naja, bei meinen Virtuellen IP's bin ich schon etwas präziser und trage die tatsächliche externe ip ein... hab aber auch mehr als eine.
z.b.:
External IP Address/Range: xxx.yyy.zzz.123 - xxx.yyy.zzz.123
Mapped IP Address/Range: 10.xx.xx.1 - 10.xx.xx.1
Port Forwarding: TCP
External Service Port: 25 - 25
Map to Port: 25 - 25
z.b.:
External IP Address/Range: xxx.yyy.zzz.123 - xxx.yyy.zzz.123
Mapped IP Address/Range: 10.xx.xx.1 - 10.xx.xx.1
Port Forwarding: TCP
External Service Port: 25 - 25
Map to Port: 25 - 25