Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Interner Webserver von extern

Mitglied: petermarc

petermarc (Level 1) - Jetzt verbinden

11.04.2017 um 12:17 Uhr, 1031 Aufrufe, 11 Kommentare

Hallo zusammen,

mein interner Webserver mit der IP 192.168.156.200:8080 soll aus dem Internet erreichbar sein. Auf meiner Firewall ist ein Symantec SSL Zertifikat installiert. Egal was ich versuche http Anfragen funktionieren wunderbar, https funktioneit gar nichts. Aufruf https://externeip

Was ich versucht habe:
- SNAT Eintrag auf der Firewall: "External-->192.168.156.200:8080"
- Firewall Policy auf der Firewall: PacketFilter: HTTPS, From: External To: SNAT (s.o.)

Geloggt wird auf der Firewall dabei der Fehler: "Deny: Unhandled external package". Habe es auch schon mit https-Proxy veruscht und mit anderen Ports als 443, ohne Erfolg. Was ich nicht verstehe ist, dass es einwandfrei funktioniert, wenn ich als PacketFilter http statt https wähle. Hat jemand eine Idee, wo der Fehler liegt? Danke für eure Hilfe.

Grüße
Peter
Mitglied: ashnod
11.04.2017, aktualisiert um 12:35 Uhr
Moin ....

also anhand deiner wenigen Angaben kann ich nur eine kleine Vermutung anstellen.

du leitest die externe Anfrage von Port 8080 in dein Netz weiter und wunderst dich das der Webserver auf 443 nicht antwortet?

Wenn ich deinen Angaben so folge sieht das wie folgt bei dir aus: http (Port443) < Eingehend > Firewall macht eine Anfrage in Port 8080 daraus > und der Webserver antwortet nicht auf 443 ... ist erstmal nicht wirklich ungewöhnlich!

VG

Ashnod
Bitte warten ..
Mitglied: petermarc
11.04.2017, aktualisiert um 12:48 Uhr
Hi Ashnod,

warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? "Unhandled external package" sagt auch eher, dass das externe Paket nicht nach intern geroutet werde kann oder? Die Antwort des Webservers wäre ein "unhandled internel package".

Wie kann ich das Problem lösen?

Grüße
peter
Bitte warten ..
Mitglied: ashnod
11.04.2017 um 12:51 Uhr
Zitat von petermarc:
warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? Wie kann ich das Problem lösen?

Das kommt darauf an wie du die Weiterleitung für Port 80 behandelst, wenn die 1:1 durchgeht dann antwortet der Server natürlich auf dem Standardport.

Entweder änderst du die Weiterleitung auf die passenden Ports oder aber du konfigurierst den (unbekannten) Webserver das er auf dem Port für diese Domain und das Protokoll lauscht.

Ashnod
Bitte warten ..
Mitglied: petermarc
11.04.2017 um 13:02 Uhr
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.
Bitte warten ..
Mitglied: ashnod
11.04.2017 um 13:11 Uhr
Zitat von petermarc:
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.

Kannst du im Prinzip schon machen ... nur muss der Webserver so konfiguriert sein das er entsprechend die Anfragen beantwortet.

Wenn du das halbwegs konform machen möchtest dann solltest du dafür eher einen Port wie 8443 verwenden.

Die Umsetzung von 443 auf 8443 muss dann aber auch richtig in der Firewall konfiguriert sein...


Ashod
Bitte warten ..
Mitglied: 108012
11.04.2017 um 14:56 Uhr
Hallo,

einen Server von intern immer über eine private IP Adresse (z.B. 192.168.1.10/24) und auf einen Server von extern immer via
http://.......... zugreifen, wenn man nun von intern auf einen internen Server via http.//..... zugreifen möchte muss man dazu
HairPin NAT benutzen, dann funktioniert es.

Gruß
Dobby
Bitte warten ..
Mitglied: petermarc
11.04.2017 um 20:02 Uhr
Hi Dobby,

danke für deine Antwort. Mein Problem ist aber, dass ich die Umleitung auf der Firewall an den internen Server http://interneIP:8080 nicht korrekt zum laufen bekomme. Die Anfrage kommt von extern über https://externeFirewallIP:irgendeinPort und muss forwarded werden an http://interneIP:8080. Die Webserverkonfiguration sollte so bestehen bleiben. Ein einfacher SNAT auf der Firewall (Extern-->InterneIP:8080) und eine Policy mit TCP:8080 (From:External, To: SNAT) scheint nicht zu funktionieren. Ich bin ratlos
Bitte warten ..
Mitglied: 132895
11.04.2017, aktualisiert um 20:32 Uhr
Moin.
Ein einfacher SNAT auf der Firewall (Extern-->InterneIP:8080)
Das ist natürlich Humbug! Das ist kein "SourceNAT" was da gemacht werden muss sondern ein DNAT(DestinationNAT)!! Ist ja auch logisch da ja nicht die Quelladresse des Pakets an der Firewall umgeschrieben werden soll, sondern die Zieladresse auf die interne IP umgeschrieben (geNATet) werden muss. Der DNAT Prozess findet immer im PREROUTING statt und SNAT im POSTROUTING - Primitivste Firewall Grundlagen.
Die Quelladresse muss ja gleich bleiben sonst würde die Antwort auf das Paket ja nicht wieder beim Client landen! Und außerdem würde beim SNAT ja die Zieladresse nicht geändert das Paket würde also weiterhin an die Firewall gerichtet sein, also vollkommener Blödsinn hier mit SNAT hantieren zu wollen...

hauruck
Bitte warten ..
Mitglied: petermarc
11.04.2017 um 21:59 Uhr
Hi hauruck,

SNAT heißt hier Static NAT (wird so auf meiner Firewall als Begriff verwendet)
Bitte warten ..
Mitglied: 108012
12.04.2017 um 09:52 Uhr
1:1 NAT ist hier denke ich dann die richtige Antwort.

Gruß
Dobby
Bitte warten ..
Mitglied: 132895
12.04.2017, aktualisiert um 10:00 Uhr
Zitat von 108012:

1:1 NAT ist hier denke ich dann die richtige Antwort.
Für ein einfaches Portmapping eines einzelnen Ports nicht nötig.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Fernwartungssoftware intern
Frage von inno-itNetzwerkmanagement11 Kommentare

Hallo Zusammen, wir nutzen im Unternehmen aktuell zur Fernwartung der internen Rechner Lansweeper. Die Software kopiert bei Verbindungsaufbau UVNC ...

Monitoring
Netzwerkmonitoring - Netzwerktest intern
gelöst Frage von DaPeddaMonitoring13 Kommentare

Hallo zusammen, ich möchte unser internes Netz Monitoren / testen um vorhandene Qualitätsunterschiede bei VoIP auf der Spur zu ...

Ausbildung
IT-Workshop Intern
Frage von KylanXAusbildung9 Kommentare

Hey liebe Community, ich habe mich jetzt tagelang durch das Internet geforstet und nach Themen zu internen IT-Workshops gesucht ...

Humor (lol)

Administrator Intern, gekonntes Antimarketing

Frage von certifiedit.netHumor (lol)19 Kommentare

Guten Morgen liebe Programmierer! na, wen spricht diese Aufmachung auch so an? :-) LG

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 1 TagHumor (lol)7 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 2 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 2 TagenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 3 TagenGrafik2 Kommentare

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
10G Netzwerk konfigurieren für maximalen Datendurchsatz
gelöst Frage von hukimanLAN, WAN, Wireless37 Kommentare

Guten Morgen, in unserem Betrieb wurde das Netzwerk auf 10G (Kupfer) umgerüstet. Grund dafür sind große Laserscandaten die sehr ...

Netzwerke
Subnetzmaske mit Hilfe der IP-Adresse berechnen
gelöst Frage von Jennifer21Netzwerke21 Kommentare

Hi zusammen, kann mir bitte jemand helfen bei dieser Aufgabe. Ich muss die die Subnetzsmaske berechnen von den IP-Adressen: ...

Exchange Server
Exchange 2016 550 5.7.60 SMTP Client does not have permissions to send
Frage von kermit-elmoExchange Server17 Kommentare

Hallo, ich möchte für bestimmte Mitarbeiter einen IMAP Zugang zum Firmen internen Exchange 2016 bereitstellen. Ein paar verwenden Linux ...

Batch & Shell
Batch "dir B" nebeneinander statt untereinander mit , getrennt
gelöst Frage von plentmBatch & Shell16 Kommentare

Hallo zusammen, Mein erst Post und dann doch wahrscheinlich was einfaches. Leider reichen meine Kenntnisse dafür nicht aus, daher ...