nextized
Goto Top

Fortigate 60C: Port Forwarding mittels virtueller IP funktioniert nicht mehr

Liebe Administratoren

Vor kurzem wurde bei einem unserer Kunden die Public Domain (example.com) auf einen neuen Anbieter transferiert. Die Public Nameserver sind gleich. Es besteht ein A-Record für remote.example.com, welcher auf die statische IP des Internetanschlusses verweist. Zusätzlich bestehen CNAMEs für cloud.example.com sowie mail.example.com, welcher auf den Eintrag remote.example.com verweisen.

Auf der Firewall (Fortigate 60c) sind virtuelle IP-Adressen (0.0.0.0 -> 192.168.0.2, Port 5000 / 5001 sowie 0.0.0.0 -> 192.168.0.3, Port 80 / 443 / 25 etc.) eingerichtet, welche vor der Umstellung funktioniert haben. Die Ports sind allesamt in der Firewall geöffnet (werden auch von außen als geöffnet angezeigt). Die Methode wird bei allen virtuellen IPs als Static-NAT angezeigt (ich kann auch nichts anderes auswählen).

Im internen Netzwerk läuft ein SBS-2008 Server mit Exchange 2007, auf welchen die Ports 80, 443 und 25 weitergeleitet werden. Dies funktioniert problemlos. Allerdings werden die Ports 5000 / 5001 nicht auf das NAS (192.168.0.2) weitergeleitet, sondern landen auch auf dem Exchange Server, obwohl die Regel auf die richtige Adresse konfiguriert ist. Ich habe das mit einer neuen IIS-Website auf dem Port 5000 getestet. Die Firewall wurde mehrmals neu gestartet, was das Problem leider auch nicht lösen konnte.

Die Benutzer würden schlussendlich via cloud.example.com auf das NAS verbinden. Leider kann ich auch keine 2. statische IP Adresse beim ISP bestellen. Die Umsetzung eines Reverse Proxy's auf dem SBS ist mir ehrlich gesagt zu unsicher (der SBS reagiert generell sehr empfindlich auf Änderungen).

Habt Ihr einen Lösungsvorschlag? Für jegliche Hilfe bin ich dankbar.

Freundliche Grüsse

nextized

Content-ID: 271889

Url: https://administrator.de/forum/fortigate-60c-port-forwarding-mittels-virtueller-ip-funktioniert-nicht-mehr-271889.html

Ausgedruckt am: 28.12.2024 um 08:12 Uhr

Ausserwoeger
Lösung Ausserwoeger 13.05.2015 aktualisiert um 10:44:10 Uhr
Goto Top
Hi

Ich würde erstmal die Konfig sichern und die Firmware der 60C updaten. Dann nochmal testen. Wenn das Problem weiter besteht würde ich die gesicherte Konfig mit einem Texteditor öffenen und nach der IP suchen. Möglicherweise wird in der GUI etwas anderes angezeigt als in der Konfig steht.

Sollte das auch nicht helfen würde ich einen Reset durchführen und die Konfig neu einspielen. Wenn das auch nix bringt die Konfig schnell neu machen und nochmal testen.

LG Andy
earlthegrey
earlthegrey 13.05.2015 um 10:02:49 Uhr
Goto Top
Hallo!

Wie genau sind die Virtuellen IP's konfiguriert?

Mit 0.0.0.0 wohl nicht oder?
Ausserwoeger
Ausserwoeger 13.05.2015 um 10:04:31 Uhr
Goto Top
Zitat von @earlthegrey:

Hallo!

Wie genau sind die Virtuellen IP's konfiguriert?

Mit 0.0.0.0 wohl nicht oder?

Warum nicht 0.0.0.0 bedeutet nur egal von welcher IP die anfrage auf Port 5000 kommt leite sie an 192.168.0.2

LG
earlthegrey
earlthegrey 13.05.2015 um 10:13:07 Uhr
Goto Top
Naja, bei meinen Virtuellen IP's bin ich schon etwas präziser und trage die tatsächliche externe ip ein... hab aber auch mehr als eine.

z.b.:

External IP Address/Range: xxx.yyy.zzz.123 - xxx.yyy.zzz.123
Mapped IP Address/Range: 10.xx.xx.1 - 10.xx.xx.1

Port Forwarding: TCP

External Service Port: 25 - 25
Map to Port: 25 - 25
nextized
nextized 13.05.2015 um 10:18:33 Uhr
Goto Top
0.0.0.0 als External IP Adress wurde von meinem Vorgänger konfiguriert. Ich könnte ausprobieren, ob der Eintrag mit der effektiven statischen IP funktioniert.

- Firmware-Update wäre eine gute Idee, erfordert aber Downtime, welche mir der Kunde leider kaum einräumen wird (24h Betrieb ohne Redundanz).
- Die Untersuchung der Konfiguration auf eine falsche IP in der Konfiguration werde ich kurz ausprobieren - das ist eine sehr gute Idee.

Ich melde mich in ein Paar Minuten nochmals wenn ich das getestet habe.

Cheers

nextized
nextized
nextized 13.05.2015 um 10:27:35 Uhr
Goto Top
Hier die aktuelle Konfiguration aus der Backup Datei kopiert.

edit "HTTP Nas Synology"  
        set extintf "wan1"  
        set portforward enable
        set mappedip "192.168.0.2"  
        set extport 5000
        set mappedport 5000
    next
edit "HTTPS Nas Synology"  
        set extintf "wan1"  
        set portforward enable
        set mappedip "192.168.0.2"  
        set extport 5001
        set mappedport 5001
    next

Sieht für mich unverdächtig aus. Das Interface WAN1 stimmt, die Weiterleitung ist eingeschaltet und die Ports stimmen auch.
earlthegrey
Lösung earlthegrey 13.05.2015 aktualisiert um 10:43:55 Uhr
Goto Top
Trag die Externe IP mal auf Verdacht ein, wenns nicht hilft schadet es auch nicht.

Kannst du das NAS von der FG aus Pingen?

Im CLI:

exec ping 192.168.0.2
nextized
nextized 13.05.2015 um 10:43:49 Uhr
Goto Top
Hallo Zusammen.

Das Problem scheint gelöst zu sein. Ich habe die externe IP-Adresse eingetragen --> getestet --> funktioniert. Anschließend den Eintrag wieder auf 0.0.0.0 geändert --> funktioniert immer noch.

Jetzt kann ich auf dem IIS Port 80 & 443 eine Seite mit dem Hostnamen cloud.example.com eröffnen und auf https://cloud.example.com:5001 weiterleiten.

Vielen Dank für eure Lösungsvorschläge. Das hat mir sehr geholfen.

Gruss

nextized
Ausserwoeger
Ausserwoeger 13.05.2015 um 10:49:25 Uhr
Goto Top
Hi

Bitte gerne !

LG Andy