9
Fortigate 60C: Port Forwarding mittels virtueller IP funktioniert nicht mehr
Liebe Administratoren
Vor kurzem wurde bei einem unserer Kunden die Public Domain (example.com) auf einen neuen Anbieter transferiert. Die Public Nameserver sind gleich. Es besteht ein A-Record für remote.example.com, welcher auf die statische IP des Internetanschlusses verweist. Zusätzlich bestehen CNAMEs für cloud.example.com sowie mail.example.com, welcher auf den Eintrag remote.example.com verweisen.
Auf der Firewall (Fortigate 60c) sind virtuelle IP-Adressen (0.0.0.0 -> 192.168.0.2, Port 5000 / 5001 sowie 0.0.0.0 -> 192.168.0.3, Port 80 / 443 / 25 etc.) eingerichtet, welche vor der Umstellung funktioniert haben. Die Ports sind allesamt in der Firewall geöffnet (werden auch von außen als geöffnet angezeigt). Die Methode wird bei allen virtuellen IPs als Static-NAT angezeigt (ich kann auch nichts anderes auswählen).
Im internen Netzwerk läuft ein SBS-2008 Server mit Exchange 2007, auf welchen die Ports 80, 443 und 25 weitergeleitet werden. Dies funktioniert problemlos. Allerdings werden die Ports 5000 / 5001 nicht auf das NAS (192.168.0.2) weitergeleitet, sondern landen auch auf dem Exchange Server, obwohl die Regel auf die richtige Adresse konfiguriert ist. Ich habe das mit einer neuen IIS-Website auf dem Port 5000 getestet. Die Firewall wurde mehrmals neu gestartet, was das Problem leider auch nicht lösen konnte.
Die Benutzer würden schlussendlich via cloud.example.com auf das NAS verbinden. Leider kann ich auch keine 2. statische IP Adresse beim ISP bestellen. Die Umsetzung eines Reverse Proxy's auf dem SBS ist mir ehrlich gesagt zu unsicher (der SBS reagiert generell sehr empfindlich auf Änderungen).
Habt Ihr einen Lösungsvorschlag? Für jegliche Hilfe bin ich dankbar.
Freundliche Grüsse
nextized
Vor kurzem wurde bei einem unserer Kunden die Public Domain (example.com) auf einen neuen Anbieter transferiert. Die Public Nameserver sind gleich. Es besteht ein A-Record für remote.example.com, welcher auf die statische IP des Internetanschlusses verweist. Zusätzlich bestehen CNAMEs für cloud.example.com sowie mail.example.com, welcher auf den Eintrag remote.example.com verweisen.
Auf der Firewall (Fortigate 60c) sind virtuelle IP-Adressen (0.0.0.0 -> 192.168.0.2, Port 5000 / 5001 sowie 0.0.0.0 -> 192.168.0.3, Port 80 / 443 / 25 etc.) eingerichtet, welche vor der Umstellung funktioniert haben. Die Ports sind allesamt in der Firewall geöffnet (werden auch von außen als geöffnet angezeigt). Die Methode wird bei allen virtuellen IPs als Static-NAT angezeigt (ich kann auch nichts anderes auswählen).
Im internen Netzwerk läuft ein SBS-2008 Server mit Exchange 2007, auf welchen die Ports 80, 443 und 25 weitergeleitet werden. Dies funktioniert problemlos. Allerdings werden die Ports 5000 / 5001 nicht auf das NAS (192.168.0.2) weitergeleitet, sondern landen auch auf dem Exchange Server, obwohl die Regel auf die richtige Adresse konfiguriert ist. Ich habe das mit einer neuen IIS-Website auf dem Port 5000 getestet. Die Firewall wurde mehrmals neu gestartet, was das Problem leider auch nicht lösen konnte.
Die Benutzer würden schlussendlich via cloud.example.com auf das NAS verbinden. Leider kann ich auch keine 2. statische IP Adresse beim ISP bestellen. Die Umsetzung eines Reverse Proxy's auf dem SBS ist mir ehrlich gesagt zu unsicher (der SBS reagiert generell sehr empfindlich auf Änderungen).
Habt Ihr einen Lösungsvorschlag? Für jegliche Hilfe bin ich dankbar.
Freundliche Grüsse
nextized
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 271889
Url: https://administrator.de/contentid/271889
Printed on: April 18, 2024 at 20:04 o'clock
9 Comments
Latest comment
Hi
Ich würde erstmal die Konfig sichern und die Firmware der 60C updaten. Dann nochmal testen. Wenn das Problem weiter besteht würde ich die gesicherte Konfig mit einem Texteditor öffenen und nach der IP suchen. Möglicherweise wird in der GUI etwas anderes angezeigt als in der Konfig steht.
Sollte das auch nicht helfen würde ich einen Reset durchführen und die Konfig neu einspielen. Wenn das auch nix bringt die Konfig schnell neu machen und nochmal testen.
LG Andy
Ich würde erstmal die Konfig sichern und die Firmware der 60C updaten. Dann nochmal testen. Wenn das Problem weiter besteht würde ich die gesicherte Konfig mit einem Texteditor öffenen und nach der IP suchen. Möglicherweise wird in der GUI etwas anderes angezeigt als in der Konfig steht.
Sollte das auch nicht helfen würde ich einen Reset durchführen und die Konfig neu einspielen. Wenn das auch nix bringt die Konfig schnell neu machen und nochmal testen.
LG Andy
Hallo!
Wie genau sind die Virtuellen IP's konfiguriert?
Mit 0.0.0.0 wohl nicht oder?
Wie genau sind die Virtuellen IP's konfiguriert?
Mit 0.0.0.0 wohl nicht oder?
Zitat von @earlthegrey:
Hallo!
Wie genau sind die Virtuellen IP's konfiguriert?
Mit 0.0.0.0 wohl nicht oder?
Hallo!
Wie genau sind die Virtuellen IP's konfiguriert?
Mit 0.0.0.0 wohl nicht oder?
Warum nicht 0.0.0.0 bedeutet nur egal von welcher IP die anfrage auf Port 5000 kommt leite sie an 192.168.0.2
LG
Naja, bei meinen Virtuellen IP's bin ich schon etwas präziser und trage die tatsächliche externe ip ein... hab aber auch mehr als eine.
z.b.:
External IP Address/Range: xxx.yyy.zzz.123 - xxx.yyy.zzz.123
Mapped IP Address/Range: 10.xx.xx.1 - 10.xx.xx.1
Port Forwarding: TCP
External Service Port: 25 - 25
Map to Port: 25 - 25
z.b.:
External IP Address/Range: xxx.yyy.zzz.123 - xxx.yyy.zzz.123
Mapped IP Address/Range: 10.xx.xx.1 - 10.xx.xx.1
Port Forwarding: TCP
External Service Port: 25 - 25
Map to Port: 25 - 25
0.0.0.0 als External IP Adress wurde von meinem Vorgänger konfiguriert. Ich könnte ausprobieren, ob der Eintrag mit der effektiven statischen IP funktioniert.
- Firmware-Update wäre eine gute Idee, erfordert aber Downtime, welche mir der Kunde leider kaum einräumen wird (24h Betrieb ohne Redundanz).
- Die Untersuchung der Konfiguration auf eine falsche IP in der Konfiguration werde ich kurz ausprobieren - das ist eine sehr gute Idee.
Ich melde mich in ein Paar Minuten nochmals wenn ich das getestet habe.
Cheers
nextized
- Firmware-Update wäre eine gute Idee, erfordert aber Downtime, welche mir der Kunde leider kaum einräumen wird (24h Betrieb ohne Redundanz).
- Die Untersuchung der Konfiguration auf eine falsche IP in der Konfiguration werde ich kurz ausprobieren - das ist eine sehr gute Idee.
Ich melde mich in ein Paar Minuten nochmals wenn ich das getestet habe.
Cheers
nextized
Hier die aktuelle Konfiguration aus der Backup Datei kopiert.
Sieht für mich unverdächtig aus. Das Interface WAN1 stimmt, die Weiterleitung ist eingeschaltet und die Ports stimmen auch.
edit "HTTP Nas Synology"
set extintf "wan1"
set portforward enable
set mappedip "192.168.0.2"
set extport 5000
set mappedport 5000
next
edit "HTTPS Nas Synology"
set extintf "wan1"
set portforward enable
set mappedip "192.168.0.2"
set extport 5001
set mappedport 5001
nextSieht für mich unverdächtig aus. Das Interface WAN1 stimmt, die Weiterleitung ist eingeschaltet und die Ports stimmen auch.
Trag die Externe IP mal auf Verdacht ein, wenns nicht hilft schadet es auch nicht.
Kannst du das NAS von der FG aus Pingen?
Im CLI:
exec ping 192.168.0.2
Kannst du das NAS von der FG aus Pingen?
Im CLI:
exec ping 192.168.0.2
Hallo Zusammen.
Das Problem scheint gelöst zu sein. Ich habe die externe IP-Adresse eingetragen --> getestet --> funktioniert. Anschließend den Eintrag wieder auf 0.0.0.0 geändert --> funktioniert immer noch.
Jetzt kann ich auf dem IIS Port 80 & 443 eine Seite mit dem Hostnamen cloud.example.com eröffnen und auf https://cloud.example.com:5001 weiterleiten.
Vielen Dank für eure Lösungsvorschläge. Das hat mir sehr geholfen.
Gruss
nextized
Das Problem scheint gelöst zu sein. Ich habe die externe IP-Adresse eingetragen --> getestet --> funktioniert. Anschließend den Eintrag wieder auf 0.0.0.0 geändert --> funktioniert immer noch.
Jetzt kann ich auf dem IIS Port 80 & 443 eine Seite mit dem Hostnamen cloud.example.com eröffnen und auf https://cloud.example.com:5001 weiterleiten.
Vielen Dank für eure Lösungsvorschläge. Das hat mir sehr geholfen.
Gruss
nextized
Hi
Bitte gerne !
LG Andy
Bitte gerne !
LG Andy
