kowa1981
Goto Top

Sonicwall tz 180 Portweiterleitung

Hallo zusammen,

ich versuche seit zwei Tagen vergebens einen Port an einer Sonicwall tz 180 weiterzuleiten.

Folgendes Problem:

Um auf owa aus dem web zugreifen zu können musste ich port 25 und noch andere weiterleiten.
Um auf iis zugreifen zu können brauchte ich port 80 und noch andere.

ich habs erst versucht irgendwie manuell einzurichten aber alle versuche waren vergebens.

dann habe ich den wizzard benutzt und eine weiterleitung für einen mail und einen webserver eingerichtet.
das klappte auf anhieb.

mit diesem wizzard kann man aber auch noch auf "others" klicken und dort einen port selbst eintragen.
ich möchte zb. noch port 5555 zum server weiterleiten.
der wizzard macht die einträge in der nat und den access rules aber der port ist trotzdem nicht weitergeleitet.

ich versteh es nicht weil wenn ich port 25,80,443 usw mit einem portchecker teste ist alles ok nur wenn ich port 5555 teste gehts nicht.


jetzt hab ich noch versucht manuell das alles nochmal einzurichten aber das klappt genauso wenig.


im netz habe ich paar infos aufsammeln können wie ich vorgehen soll aber das klappt nicht.
in der os firewall habe den port auch freigegeben.


sorry das ich euch mit sowas nerve aber ich komm echt nicht weiter...
das war bei dem speedport w900v und dem linksys wrt54gl irgendwie deutlich einfacher...

Content-ID: 152705

Url: https://administrator.de/contentid/152705

Ausgedruckt am: 26.11.2024 um 03:11 Uhr

StefanKittel
StefanKittel 10.10.2010 um 10:46:51 Uhr
Goto Top
Moin

Zitat von @kowa1981:
mit diesem wizzard kann man aber auch noch auf "others" klicken und dort einen port selbst eintragen.
ich möchte zb. noch port 5555 zum server weiterleiten.
der wizzard macht die einträge in der nat und den access rules aber der port ist trotzdem nicht weitergeleitet.
Du bist aber sicher, dass dieser Port vom Server auch angenommen wird?
Wenn es TCP ist, kannst Du das mit Telnet IP Port ganz einfach testen.
Bedenke auch, dass Du Ports nicht umleiten kannst. 27458 -> 192.168.0.10:3389

sorry das ich euch mit sowas nerve aber ich komm echt nicht weiter...
das war bei dem speedport w900v und dem linksys wrt54gl irgendwie deutlich einfacher...
Du beschwerst Dich gerade, dass Deiner Neuer Porsche aufwendiger zu Fahren ist als Dein Golf face-smile
aqui
aqui 10.10.2010 um 11:06:31 Uhr
Goto Top
Vermutlich hast du keinen aktiven Dienst hinter dem Port 5555 (Welchen eigentlich TCP oder UDP ??) an der im PFW angegebenen IP Adresse. Dann kann natürlich auch nix antworten, logisch !
Nebenei ist es nicht ratsam IANA zugewiesen Ports zu nutzen. Besser man nimmt dafür die von der IANA für private Anwendungen vorgesehene Ports im Bereich 49152 bis 65535 um Konflikte zu vermeiden !
http://en.wikipedia.org/wiki/Ephemeral_port
Mit "Telnet" kann man es übrigens nicht testen, denn der Telnet Daemon hört nur auf TCP 23 und mit einem Client dem man zwar mit :5555 den Port mitgeben kann gehts nicht, denn es ist eben nur ein Client der NICHT auf eine Port "hört".
Was man machen kann ist z.B. den Port des Remote Desktop Dienstes von TCP 3389 auf TCP 5555 ändern:
http://support.microsoft.com/kb/306759/de
Damit wäre dann ein Port Scanning auf TCP 5555 machbar da sich dahinter nun ein Dienst befindet.
Ebenso ginge das mit Port Translation auf dem o.a. Router von eingehend TCP 5555 auf lokale TCP 3389.

@Stefan: Mit Port Translation kann man schon Ports umleiten. So gut wie alle Router der etwas besseren Kategorie supporten das problemlos in ihren Port Weiterleitungs Einstellungen !!
In dem von dir dann oben zitierten Beispiel muss man dann nur den RDP Client starten und <ziel_ip_adresse>:27458 eingeben und landet dann auf den RDP Schirm des internen Rechners 192.168.0.10 !
Ein simples Standardszenario für Port Translation ! Macht auch Sinn um nicht gleich jedem Skript Kiddie im Internet zu zeigen das dieser Port erreichbar ist.
Ports über 48152 werden von den gängigen Port Scannern im Internet meist nicht mehr gescannt ! So kann man dann Löcher die man in die NAT Firewall gebohrt hat wenigstens etwas verschleiern !
Sicherer sind aber nur VPNs !
kowa1981
kowa1981 10.10.2010 um 11:18:30 Uhr
Goto Top
@Stefan
jup der port ist tcp und wird vom server verwendet.
wie mach ich das mit telnet?
cmd und dann telnet ip port? funktioniert nicht weil der dienst nicht gefunden wird oder muss ich den noch extra installieren?

und ich beschwer mich nicht. war nur ne feststellung das es mit der sonicwall nicht so einfach ist wie mit den mainstream routern.


@aqui

es geht nicht um den port 5555. das hatte ich nur so als bsp. geschrieben. den port den ich weiterleiten möchte ist in dem von dir angegeben bereich.
wollte es nur nicht so öffentlich im forum schreiben. aber besten dank für den hinweis.

aber den tip mit dem port über 48152 wählen nehm ich mal mit weil mein port drunter lag. das wusste ich nämlich nicht.


naja aber irgendwie komm ich trotzdem nicht weiter.
ich werd mal die box neu flashen. vielleicht stimmt da irgendwas nicht.
ich hab das enhanced os in der neusten version drauf.
aber irgendwie verhält sich die box komisch.


zb. hab ich auch das problem das wenn ich von meinem server oder einem client (pc oder handy) im netzwerk versuche übers internet auf die box zu zugreifen bekomme ich keine verbindung.
wenn ich aber zu meinen eltern fahre und es von dort aus versuche klappts auf anhieb.
intern gehts auch nur mit der ip der sonicwall. kann doch nicht normal sein.
aqui
aqui 10.10.2010 um 11:44:31 Uhr
Goto Top
Was meinst du genau mit "...auf die box zu zugreifen" ??? Ist "die Box" ein Gerät hinter der NAT Firewall der Sonicwall oder ist das die Sonicwall selber ??
Bedenke das die Ziel IP Adresse immer die aktuelle DSL IP deiner Sinicwall ist um Geräte im lokalen Netz per PFW zu erreichen !
Diese ändert sich aber dynmaisch durch PPPoE. Du solltest hier also besser immer mit DynDNS arbeiten was du vermutlich auch machst...hoffentlich ?!
Ansonsten kann es normal sein das eine IP nach ein paar Stunden nicht mehr funktioniert !
Nochwas: Außer deinem PFW ist auch deine Shift Taste defekt !!
kowa1981
kowa1981 10.10.2010 um 12:47:10 Uhr
Goto Top
Mit Box meinte ich natürlich die Sonicwall. face-wink
Ich hab immer die Primary Wan Ip angegeben. Die wird ja automatisch auf die aktuelle DSL-IP aktualisiert.
Dyndns ist eingetragen und funktioniert selbstverständlich auch.

Shift-Taste geht wieder, PFW leider immer noch nicht face-wink
Ich werd gleich die FW neu flashen und alles neu einrichten.
Vielleicht hilfts ja. Ansonsten bin ich ratlos...
laster
laster 10.10.2010 um 13:25:23 Uhr
Goto Top
Hallo,

TZ180 mit ExtendedOS?
Nutze den Wizzard, das geht immer gut (es wrden NAT-Regeln und Regeln für die Interface angelegt).
Für OWA nutze bitte 443 (und nicht Port 25).
Habe damit noch nie ein Problem gehabt. Wenn Du genau weisst was Du willst, dann gibt es einen klaren Weg zum Ziel face-smile

vG
LS
kowa1981
kowa1981 10.10.2010 um 13:45:37 Uhr
Goto Top
Hallo laster,

ich hab die TZ180 mit EnhancedOS 4.2.1.0-20e
Das war die neuste die neuste Version die ich über Sonicwall bekommen konnte.

Ich hatte ja geschrieben das ich den Wizzard genutzt hab um OWA und WEBSERVER freizugeben.
Das hat ja auch geklappt nur den zusätzlichen Port konnte ich nicht über den Wizzard freigeben.


Inzwischen habe ich mir die FW nochmal runtergeladen und neu geflasht(natürlich mit default settings).
Seit dem funktioniert jetzt die Weiterleitung. Auch mit dem besagten Port.

Scheinbar war ist beim letzten Flashen was schief gelaufen.
Jetzt passts. Mal schauen wie sich die Sonicwall jetzt verhält.

Port 443 ist leider schon belegt. Wäre es sinnvoll den OWA Port auf 445 zu verlegen? 444 hab ich nämlich auch schon belägt.

Sorry für meine Unwissenheit aber wo muss ich den Port für OWA ändern?
In der Sonicwall ist klar aber ich mein Im Exchange.
laster
laster 10.10.2010 um 15:49:12 Uhr
Goto Top
Hallo kowa1981,

den Port für OWA legst Du im IIS auf dem Exchange fest.

Ansonsten freut es mich, dass alles soweit klappt.
Wir betreuen ca. 25 SonicWALL's und sind mit den Produkten sehr zufrieden.

vG
LS
aqui
aqui 10.10.2010 um 16:28:55 Uhr
Goto Top
Port 445 schiesst dir dein MS Netzwerk ab denn das nutzt MS für CIFS Shares !
 #                          
https           443/tcp    http protocol over TLS/SSL
https           443/udp    http protocol over TLS/SSL
#                          Kipp E.B. Hickman <kipp&mcom.com>
https           443/sctp   HTTPS
#                          IETF TSVWG
#                          Randall Stewart <rrs&lakerest.net>
#                          [RFC4960]
snpp            444/tcp    Simple Network Paging Protocol
snpp            444/udp    Simple Network Paging Protocol
#                          [RFC1568]
microsoft-ds    445/tcp    Microsoft-DS
microsoft-ds    445/udp    Microsoft-DS
#                          Pradeep Bahl <pradeepb&microsoft.com>
Vergiss doch bitte ganz schnell alle Port bis 1024 die sind international fest zugewiesen und damit bekommst du erhebliche Probleme !!
Vorher also die Portliste checken und die privaten Ports nutzen !!!
http://www.iana.org/assignments/port-numbers
kowa1981
kowa1981 10.10.2010 um 16:33:27 Uhr
Goto Top
Ok danke dann werd ich dort mal schauen.

Die Sonicwall macht ja einen guten Eindruck.
Aber da muss man sich auch erst einmal zurecht finden.
Das Nötigste hab ich soweit schon einrichten können aber zb. den Webzugriff krieg ich nicht geregelt.
Ich hab nur https-managment zugelassen und auf den Port 444 gelegt aber ich krieg von aussen keinen Loginscreen.
Ich muss mich da erst mal rein arbeiten. Zb. Begriffe wie SSH, GMS oder SNMP Management sagen mir rein garnichts.

Ich gebe folgendes ein um von aussen auf die Sonicwall zu zugreifen:
https://meine-dyndns-adresse:444 aber ich komm nicht drauf. Fehler ist "Seite nicht gefunden"
Wenn ich nur https://meine-dyndns-adresse eingebe, komm ich zu dem IIS Screen
Aber mit https://meine-dyndns-adresse/owa komme ich zu OWA und kann mich Einloggen. Das geht wohl.


BESTEN DANK NOCHMALS AN ALLE!!!
Die nächsten Probleme kommen bestimmt face-wink


EDIT:
@aqui
Besten dank für die Liste dann nehm ich einen Port etwas über 50000 allerdings kann ich damit immer noch nicht auf die sonicwall zugreifen.
laster
laster 10.10.2010 um 18:00:50 Uhr
Goto Top
Hallo kowa1981,

Du must am WAN-Interface den Haken für HTTPS-Management setzen.

vG
LS
kowa1981
kowa1981 10.10.2010 um 18:35:45 Uhr
Goto Top
Du meinst bestimmt folgendes:
Network-Interface-Wanconfigure und dann bei Managment und Userlogin die Haken bei https setzen ?
Da hab ich die Haken gesetzt.
Dann ist bei mir noch ein Haken automatisch gesetzt worden bei Add rule to enable redirect from HTTP to HTTPS.
Das verstehe ich nicht so ganz. Bedeutet das eine Regel aktiviert wurde damit man von HTTP auf HTTPS zugreifen kann?
Was macht das dann für einen Sinn. Man kann doch HTTP einzelnd auswählen?

Und den Port bestimme ich doch unter
System-Administration-Web Management und dann den Port bei HTTPS PORT eintragen oder liege ich da falsch?

Das Komische ist aber das wenn ich auf apply klicke mir folgende Fehlermeldung unten angezeigt wird:
Status: Error: : Data out of bounds (min = 1, max = 300).

Wenn ich mich Auslogge und wieder Einlogge ist aber der Wert immer noch Richtig gesetzt.
Vielleicht Stimmt da irgendwas noch nicht.

Unter Download URL und Advanced Management brauch ich doch nichts anzuhaken oder?

Und sonst brauch ich doch nirgends was ändern oder?
Wenn ich das richtig verstehe dann sind unter interface-LAN u.a. die Einstellung für den Zugriff aus dem LAN.über HHTP oder HTTPS.

Und bei NAT Routing und Acces Rules brauch ich doch nichts eintragen. Würde doch eigentlich keinen Sinn ergeben.
laster
laster 11.10.2010 um 12:33:28 Uhr
Goto Top
Hallo kowa1981,

System > Administration : Administrator Name Passwort: ein sehr komplexes Passwort ...
System > Administration : Web Management Settings: HTTPS Port: 444 (z.B., damit 443 für SSL verwendet werden kann)
Network > Interfaces: WAN > Confirure : General : Management [x] HTTPS und [x] Add rule to enable redirect from HTTP to HTTPS

Mit diesen Einstellungen erstellt die Firewall automatisch die NAT-Policies und Access-Rules.

Unter Firewall > Access Rules > (WAN > WAN) sind dann auch die "HTTPS Management" Regeln eingetragen (Coment: auto-added mamagement rule).

vG
LS
kowa1981
kowa1981 11.10.2010 um 17:02:58 Uhr
Goto Top
Vielen Dank für die schnelle und ausführliche Antwort.

Genauso hatte ich es und genauso habe ich es wiedeholt(allerdings mit einem anderen Port testweise mit 50000).
Ich hab auch unter WAN to WAN den HTTPS Management Eintrag.
Unter NAT Polices ist der Eintrag auch vorhanden.
Trotzdem klappt es nicht.

Nochmal kurz.
Wenn ich auf die Sonicwall zugreifen möchte brauche ich doch nur folgendes eingeben.

https://meine-dyndnsadresse:50000
Dann sollte es gehen oder lieg ich da falsch?
laster
laster 11.10.2010 um 17:13:31 Uhr
Goto Top
Hallo kowa1981,

https://meine-dyndnsadresse:50000
Dann sollte es gehen oder lieg ich da falsch?

Du liegst nicht falsch, kann Dir aber nicht sagen, wo das Problem liegt.

LS
kowa1981
kowa1981 11.10.2010 um 18:37:18 Uhr
Goto Top
Eine kurze Frage noch.
Kann es sein das es was mit den Zertifikatseinstellungen zutun hat?

Ich meine diese Punkte unter Administration:
Certificate Selection: self
Certificate Common Name: 192.168.168.168 ( ist das nur der Name des Zertifikats oder muss dort die Tatsächliche IP der Sonicwall rein?


Und gibt es irgendwo eine Anleitung zu der TZ180?
Ich lese immer wieder von einem Administrator Guide.
Auf der Mysonicwall Seite finde ich da leider nichts zu.
Bei der Sonicwall ist ja nur so ein Quickstart Guide in der Verpackung gewesen.

Vielen vielen Dank nochmals...