Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Interner Webserver von extern

Mitglied: petermarc

petermarc (Level 1) - Jetzt verbinden

11.04.2017 um 12:17 Uhr, 1329 Aufrufe, 11 Kommentare

Hallo zusammen,

mein interner Webserver mit der IP 192.168.156.200:8080 soll aus dem Internet erreichbar sein. Auf meiner Firewall ist ein Symantec SSL Zertifikat installiert. Egal was ich versuche http Anfragen funktionieren wunderbar, https funktioneit gar nichts. Aufruf https://externeip

Was ich versucht habe:
- SNAT Eintrag auf der Firewall: "External-->192.168.156.200:8080"
- Firewall Policy auf der Firewall: PacketFilter: HTTPS, From: External To: SNAT (s.o.)

Geloggt wird auf der Firewall dabei der Fehler: "Deny: Unhandled external package". Habe es auch schon mit https-Proxy veruscht und mit anderen Ports als 443, ohne Erfolg. Was ich nicht verstehe ist, dass es einwandfrei funktioniert, wenn ich als PacketFilter http statt https wähle. Hat jemand eine Idee, wo der Fehler liegt? Danke für eure Hilfe.

Grüße
Peter
Mitglied: ashnod
11.04.2017, aktualisiert um 12:35 Uhr
Moin ....

also anhand deiner wenigen Angaben kann ich nur eine kleine Vermutung anstellen.

du leitest die externe Anfrage von Port 8080 in dein Netz weiter und wunderst dich das der Webserver auf 443 nicht antwortet?

Wenn ich deinen Angaben so folge sieht das wie folgt bei dir aus: http (Port443) < Eingehend > Firewall macht eine Anfrage in Port 8080 daraus > und der Webserver antwortet nicht auf 443 ... ist erstmal nicht wirklich ungewöhnlich!

VG

Ashnod
Bitte warten ..
Mitglied: petermarc
11.04.2017, aktualisiert um 12:48 Uhr
Hi Ashnod,

warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? "Unhandled external package" sagt auch eher, dass das externe Paket nicht nach intern geroutet werde kann oder? Die Antwort des Webservers wäre ein "unhandled internel package".

Wie kann ich das Problem lösen?

Grüße
peter
Bitte warten ..
Mitglied: ashnod
11.04.2017 um 12:51 Uhr
Zitat von petermarc:
warum funktioniert es bei http://externeip (standard port 80)? Sollte der Server nicht an den Ursprung der Anfrage antworten? Wie kann ich das Problem lösen?

Das kommt darauf an wie du die Weiterleitung für Port 80 behandelst, wenn die 1:1 durchgeht dann antwortet der Server natürlich auf dem Standardport.

Entweder änderst du die Weiterleitung auf die passenden Ports oder aber du konfigurierst den (unbekannten) Webserver das er auf dem Port für diese Domain und das Protokoll lauscht.

Ashnod
Bitte warten ..
Mitglied: petermarc
11.04.2017 um 13:02 Uhr
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.
Bitte warten ..
Mitglied: ashnod
11.04.2017 um 13:11 Uhr
Zitat von petermarc:
Warum muss der Webserver auf 443 lauschen? Es reicht doch, wenn er das auf 8080 tut!? 443 wird auf der Firewall zu 8080 umgesetzt.

Kannst du im Prinzip schon machen ... nur muss der Webserver so konfiguriert sein das er entsprechend die Anfragen beantwortet.

Wenn du das halbwegs konform machen möchtest dann solltest du dafür eher einen Port wie 8443 verwenden.

Die Umsetzung von 443 auf 8443 muss dann aber auch richtig in der Firewall konfiguriert sein...


Ashod
Bitte warten ..
Mitglied: 108012
11.04.2017 um 14:56 Uhr
Hallo,

einen Server von intern immer über eine private IP Adresse (z.B. 192.168.1.10/24) und auf einen Server von extern immer via
http://.......... zugreifen, wenn man nun von intern auf einen internen Server via http.//..... zugreifen möchte muss man dazu
HairPin NAT benutzen, dann funktioniert es.

Gruß
Dobby
Bitte warten ..
Mitglied: petermarc
11.04.2017 um 20:02 Uhr
Hi Dobby,

danke für deine Antwort. Mein Problem ist aber, dass ich die Umleitung auf der Firewall an den internen Server http://interneIP:8080 nicht korrekt zum laufen bekomme. Die Anfrage kommt von extern über https://externeFirewallIP:irgendeinPort und muss forwarded werden an http://interneIP:8080. Die Webserverkonfiguration sollte so bestehen bleiben. Ein einfacher SNAT auf der Firewall (Extern-->InterneIP:8080) und eine Policy mit TCP:8080 (From:External, To: SNAT) scheint nicht zu funktionieren. Ich bin ratlos
Bitte warten ..
Mitglied: 132895
11.04.2017, aktualisiert um 20:32 Uhr
Moin.
Ein einfacher SNAT auf der Firewall (Extern-->InterneIP:8080)
Das ist natürlich Humbug! Das ist kein "SourceNAT" was da gemacht werden muss sondern ein DNAT(DestinationNAT)!! Ist ja auch logisch da ja nicht die Quelladresse des Pakets an der Firewall umgeschrieben werden soll, sondern die Zieladresse auf die interne IP umgeschrieben (geNATet) werden muss. Der DNAT Prozess findet immer im PREROUTING statt und SNAT im POSTROUTING - Primitivste Firewall Grundlagen.
Die Quelladresse muss ja gleich bleiben sonst würde die Antwort auf das Paket ja nicht wieder beim Client landen! Und außerdem würde beim SNAT ja die Zieladresse nicht geändert das Paket würde also weiterhin an die Firewall gerichtet sein, also vollkommener Blödsinn hier mit SNAT hantieren zu wollen...

hauruck
Bitte warten ..
Mitglied: petermarc
11.04.2017 um 21:59 Uhr
Hi hauruck,

SNAT heißt hier Static NAT (wird so auf meiner Firewall als Begriff verwendet)
Bitte warten ..
Mitglied: 108012
12.04.2017 um 09:52 Uhr
1:1 NAT ist hier denke ich dann die richtige Antwort.

Gruß
Dobby
Bitte warten ..
Mitglied: 132895
12.04.2017, aktualisiert um 10:00 Uhr
Zitat von 108012:

1:1 NAT ist hier denke ich dann die richtige Antwort.
Für ein einfaches Portmapping eines einzelnen Ports nicht nötig.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Fernwartungssoftware intern
Frage von inno-itNetzwerkmanagement11 Kommentare

Hallo Zusammen, wir nutzen im Unternehmen aktuell zur Fernwartung der internen Rechner Lansweeper. Die Software kopiert bei Verbindungsaufbau UVNC ...

Monitoring
Netzwerkmonitoring - Netzwerktest intern
gelöst Frage von DaPeddaMonitoring13 Kommentare

Hallo zusammen, ich möchte unser internes Netz Monitoren / testen um vorhandene Qualitätsunterschiede bei VoIP auf der Spur zu ...

Ausbildung
IT-Workshop Intern
Frage von KylanXAusbildung9 Kommentare

Hey liebe Community, ich habe mich jetzt tagelang durch das Internet geforstet und nach Themen zu internen IT-Workshops gesucht ...

Exchange Server

Ex 2016 - Mails von extern an einen Verteiler kommen bei ext. Mail Kontakten nicht an. Intern ja

gelöst Frage von Power-ValveExchange Server9 Kommentare

Hi Exchange Gemeinde Ich hab ein komisches Verhalten, was vor der Migration von 2010 auf 2016 nicht da war. ...

Neue Wissensbeiträge
Humor (lol)

Wie verhindere ich, dass Websitebesucher die Werbecookies abschalten?

Information von DerWoWusste vor 1 TagHumor (lol)6 Kommentare

Ich habe gerade auf die Antwort gefunden: ich täusche einen langwierigen Änderungsprozess vor und biete nebenbei einen Cancelbutton, den ...

Sicherheit

Windows Setup erlaubt elevation of privilege plus DC Updates

Information von DerWoWusste vor 1 TagSicherheit3 Kommentare

Eine interessante neue Sicherheitslücke. Details gibt es wenig, aber die klare Empfehlung: If you are using WSUS or MEM ...

Exchange Server

Exchange Server 2016 and the End of Mainstream Support

Information von Dani vor 2 TagenExchange Server

As hopefully many of you already know Exchange Server 2016 enters the Extended Support phase of its product lifecycle ...

Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 3 TagenViren und Trojaner1 Kommentar

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Heiß diskutierte Inhalte
Windows Server
Windows Server "mit" oder "ohne" Antivirensoftware
gelöst Frage von Dr.MabuseWindows Server23 Kommentare

Antiviren-Software: Fluch oder Segen? Die Frage der Sinnhaftigkeit von Antiviren-Software ist nicht neu Die Software kostet Performance, sorgt oft ...

Windows Server
Patchday August Server 2019 - zerstört Hyper V Dienste
Frage von ichkriegediekrieseWindows Server19 Kommentare

Guten Morgen alle zusammen Gestern habe ich, wie oft die Sicherheitsupdates vom Patchday eingespielt da ja doch einige Sicherheitsupdates ...

Hardware
Azubi Projekt - Serverhardware
Frage von nachgefragtHardware19 Kommentare

Hallo Administratoren, für ein Azubi-Projekt benötige ich euren Rat, um ihr das Thema Serverhardware näher zu bringen: Server zusammenbauen ...

iOS
Facetime Nummer
gelöst Frage von ral9004iOS15 Kommentare

Hallo Ein Kollege bat mich, ihm für den Videochat meine Facetime Nummer zu mailen. Meine Facetime App läuft auf ...

Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...