Toon posts:

Webserver niet bereikbaar over http/https poorten

Pagina: 1
Acties:

Vraag

woensdag 17 maart 2021 15:07

Acties:
  • 0 Henk 'm!
  • space_lion
  • Registratie: Februari 2016
  • Laatst online: 15-05 08:19

space_lion

Topicstarter
Goedemiddag tweakers,

Ik heb een webserver draaien (debian 10.8 met apache en csf firewall, binnen hyper-v) welke ik open wil hebben staan voor publiek bezoek. In de Fortigate firewall staat het publieke IP (VIP) met portforwarding naar het interne IP, voor zowel poort 80 en poort 443. Ook staan deze poorten open in de csf firewall op de webserver.

Op het lokale netwerk kan ik de gehoste website naar voren halen, op zowel het interne als externe IP, maar van buitenaf lukt dit niet. Ik heb hier nu al flink wat uren in gestoken, gezocht op verschillende fora en dingen geprobeerd, maar helaas. Ik vraag me nu af waar ik de fout in moet zoeken... Heeft iemand ervaring hiermee of suggesties? 8)7

Ik heb de poorten gecontroleerd met https://www.yougetsignal.com/tools/open-ports/ en die geeft terug dat beide poorten gesloten zijn.

[ Voor 9% gewijzigd door space_lion op 17-03-2021 15:08 ]

Alle reacties

woensdag 17 maart 2021 15:09

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 17-05 09:58

lier

MikroTik nerd

Heb je andere port forwards die wel werken?
Weet je 100% zeker dat je forwards goed zijn (inclusief juiste IP adres)?
Hoe test je exact van buitenaf?
Komen er wel hits op de firewall voor betreffende poorten?

Eerst het probleem, dan de oplossing

woensdag 17 maart 2021 15:16

Acties:
  • 0 Henk 'm!
  • simson0606
  • Registratie: Juni 2015
  • Laatst online: 18-05 18:04

simson0606

Staat er in je firewall misschien dat je webserver alleen binnen het lokale netwerk te bereiken is?

Of kan je de firewall op de webserver even uitzetten?

Voor een andere test zou je iperf op een van de poorten kunnen zetten en kunnen kijken of je verbinding kunt krijgen. (Dan kan je gedrag van de webserver uitsluiten)

Voor een poortscan zou je ook nog nmap kunnen proberen.

woensdag 17 maart 2021 15:19

Acties:
  • 0 Henk 'm!
  • space_lion
  • Registratie: Februari 2016
  • Laatst online: 15-05 08:19

space_lion

Topicstarter
Hoi Lier,
lier schreef op woensdag 17 maart 2021 @ 15:09:
Heb je andere port forwards die wel werken?
Ja, andere portforwards werken wel. Hebben een aantal applicaties draaien waarbij dit naar behoren werkt.
Weet je 100% zeker dat je forwards goed zijn (inclusief juiste IP adres)?
Dat denk ik wel, ik heb dit middels het Fortigate cookbook ingesteld en een externe partij heb ik laten kijken welke aangaf dat dit lijkt te kloppen. Vxtern IP poort 80 -> intern IP poort 80, veel smaken hiervoor zijn er volgens mij niet.
Hoe test je exact van buitenaf?
Door het externe IP adres in de browser te bezoeken op een pc buiten het netwerk en via mobiel internet op de telefoon.
Komen er wel hits op de firewall voor betreffende poorten?
Hoe kan ik dit controleren?

woensdag 17 maart 2021 15:41

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 17-05 09:58

lier

MikroTik nerd

space_lion schreef op woensdag 17 maart 2021 @ 15:19:
Hoe kan ik dit controleren?
Ik ben helemaal niet bekend met Fortigate, maar volgens mij staat hier wel een antwoord:
https://kb.fortinet.com/k...ink.do?externalID=FD48104

Eerst het probleem, dan de oplossing

woensdag 17 maart 2021 15:48

Acties:
  • 0 Henk 'm!
  • space_lion
  • Registratie: Februari 2016
  • Laatst online: 15-05 08:19

space_lion

Topicstarter
Ik heb zojuist geprobeerd om portforward voor 8050 erin te zetten. Zodra ik dit doe werkt het intern, maar extern niet.

woensdag 17 maart 2021 15:50

Acties:
  • 0 Henk 'm!
  • space_lion
  • Registratie: Februari 2016
  • Laatst online: 15-05 08:19

space_lion

Topicstarter
simson0606 schreef op woensdag 17 maart 2021 @ 15:16:
Staat er in je firewall misschien dat je webserver alleen binnen het lokale netwerk te bereiken is?
Dat denk ik niet, voor andere draaiende webapplicaties is dit ook niet zo.
Of kan je de firewall op de webserver even uitzetten?
Dit heb ik geprobeerd met de CSF firewall op de webserver, maar dit maakte geen verschil. De Fortigate firewall kan ik niet even uitzetten.

woensdag 17 maart 2021 15:54

Acties:
  • 0 Henk 'm!
  • I_IBlackI_I
  • Registratie: Januari 2014
  • Laatst online: 20:29

I_IBlackI_I

Je kan de webserver wel bereiken als je verbinding maakt met het interne ip adres?

woensdag 17 maart 2021 15:54

Acties:
  • 0 Henk 'm!
  • mash_man02
  • Registratie: April 2014
  • Laatst online: 18-05 13:07

mash_man02

Is je VIP object aan een interface gebonden ? Als je dit niet doet kun je ook internal hairping toe staan op basis van de zelfde VIP. Als je dit wel doet moet het uiteraard wel de juiste externe interface zijn.

Je kunt ook een external en internal capture starten gelijk met een poging om te zien of , waar en hoe de communicatie loopt.

[ Voor 23% gewijzigd door mash_man02 op 17-03-2021 15:55 ]

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

woensdag 17 maart 2021 15:57

Acties:
  • 0 Henk 'm!
  • space_lion
  • Registratie: Februari 2016
  • Laatst online: 15-05 08:19

space_lion

Topicstarter
I_IBlackI_I schreef op woensdag 17 maart 2021 @ 15:54:
Je kan de webserver wel bereiken als je verbinding maakt met het interne ip adres?
Intern en extern kan ik beide bereiken, maar alleen vanuit het lokale netwerk. Via het internet kom ik bij geen van beide.

woensdag 17 maart 2021 15:59

Acties:
  • 0 Henk 'm!
  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 22:48

Archie_T

space_lion schreef op woensdag 17 maart 2021 @ 15:57:
[...]

Intern en extern kan ik beide bereiken, maar alleen vanuit het lokale netwerk. Via het internet kom ik bij geen van beide.
Kan je misschien (zonder externe ip’s) je policy regel en VIP screenshotten en hier posten? Klinkt mij als foute interface/ zone ergens.

woensdag 17 maart 2021 16:06

Acties:
  • 0 Henk 'm!
  • space_lion
  • Registratie: Februari 2016
  • Laatst online: 15-05 08:19

space_lion

Topicstarter
mash_man02 schreef op woensdag 17 maart 2021 @ 15:54:
Is je VIP object aan een interface gebonden ? Als je dit niet doet kun je ook internal hairping toe staan op basis van de zelfde VIP. Als je dit wel doet moet het uiteraard wel de juiste externe interface zijn.

Je kunt ook een external en internal capture starten gelijk met een poging om te zien of , waar en hoe de communicatie loopt.
De VIP is via een policy als volgt gekoppeld:
Incoming interface: wan (internet)
Outgoing: lan (internal)
Source: all
Destination: de VIPs
Service: HTTP en HTTPS
NAT staat uitgeschakeld in deze policy.

woensdag 17 maart 2021 16:12

Acties:
  • 0 Henk 'm!
  • space_lion
  • Registratie: Februari 2016
  • Laatst online: 15-05 08:19

space_lion

Topicstarter
Archie_T schreef op woensdag 17 maart 2021 @ 15:59:
[...]

Kan je misschien (zonder externe ip’s) je policy regel en VIP screenshotten en hier posten? Klinkt mij als foute interface/ zone ergens.
Ja hoor, ik neem de poort 80 als voorbeeld.
De VIP:
Afbeeldingslocatie: https://tweakers.net/i/PUESKpqsZoxfT4bdM6GIHhYsHxc=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/56YpN07ncri750ln5q3ZSfaH.jpg?f=user_large

De policy:
Afbeeldingslocatie: https://tweakers.net/i/SbjF4RKEfsjPL5uiY6DcL7XZY6s=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/hTrAGKaeujWfqICzABrGL3ui.png?f=user_large

woensdag 17 maart 2021 16:56

Acties:
  • 0 Henk 'm!
  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 22:48

Archie_T

space_lion schreef op woensdag 17 maart 2021 @ 16:12:
[...]

Ja hoor, ik neem de poort 80 als voorbeeld.
De VIP:
[Afbeelding]

De policy:
[Afbeelding]
Ah, zet je destination in de rule niet op de interne IP adressen maar op je VIP, tenminste zo werkt het bij mij wel.
<edit>
Informatie even weggehaald want:

Sorry, zag het icoontje niet goed op mijn telefoon, zie nu dat je dezelfde configuratie hebt. Alleen heb ik mijn NAT gekoppeld aan mijn WAN interface maar dat zou het verschil niet zijn. Het wordt tijd voor logging. Wat zegt die?

</edit>

[ Voor 31% gewijzigd door Archie_T op 17-03-2021 17:49 ]

woensdag 17 maart 2021 18:10

Acties:
  • +1 Henk 'm!
  • amx
  • Registratie: December 2007
  • Laatst online: 22-03 13:43

amx

Inderdaad, kijken naar de logging, en ook kijken of het werkt op publiek ip?
Kun je via de fortigate inkomende http requests zien? Firewall logging?

woensdag 17 maart 2021 18:30

Acties:
  • 0 Henk 'm!
  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

@space_lion Kijk vanop een extern adres eens middels een Windows machientje waar Powershell op aanwezig is óf de TCP poorten op 80/443 wel echt open staan.

code:
1

test-netconnection 'jouw externe ip' -port 80 -informationlevel detailed


Voor 443 alleen het portnummer aan passen ;)

Boldly going forward, 'cause we can't find reverse

woensdag 17 maart 2021 19:12

Acties:
  • 0 Henk 'm!
  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 09-05 16:59

Jeroen_ae92

Heeft de Fortigate wel een extern ip of staat ie achter NAT. Daarnaast vraag ik me af waarom je een interface Any hebt gebruik in de VIP, dat is niet persé nodig. Kies gewoon je WAN interface en als external ip 0.0.0.0. Tenzij je meerdere ip’s op je WAN hebt natuurlijk.

U+

woensdag 17 maart 2021 19:22

Acties:
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Nu online

laurens0619

Toch gok ik op de webserver die externe requests niet toestaat, ik bedoel port mapping lijk je te snappen aangezien het voor andere services wel werkt?

Heeft de linux doos wel een gateway naar de router?

CISSP! Drop your encryption keys!

woensdag 17 maart 2021 21:56

Acties:
  • 0 Henk 'm!
  • Faifz
  • Registratie: November 2010
  • Laatst online: 06-05 18:42

Faifz

Heb net je setup uitgeprobeerd met een FortiGate VM en het werkt voor mij. Alhoewel ik niet begrijp waarom je 2x aparte VIP's hebt, een voor 80 en 443. Zijn het dezelfde publieke adressen of zijn ze ieder uniek? Als ze uniek zijn, ga je problemen krijgen als je HTTP-HTTPS redirecting doet.

De poorten definiëren met Static NAT is vrijwel overbodig. Als je ze niet definieert, worden alle poorten (1-65535) vertaald. Uiteindelijk bepalen de security policies of traffic toegelaten is of niet en niet de NAT regels. Je kan trouwens ook 1x VIP maken met een range van 80-443 of laat de range gewoon leeg.

Waar ik vrijwel zeker van ben is dat de uitgaande NAT regel antwoordt met je fysieke publieke adres en niet met de Virtual IP. Dit komt omdat je geen interface hebt gedefinieerd. Zonet gezien, dat het antwoord van het fysieke adres komt als de interface niet gedefinieerd is.

Mijn setup:
Thuisnetwerk: 192.168.0.0/24
Fortigate fysieke adres: 192.168.0.239
Fortigate VIP adres: 192.168.0.198
Mijn workstation: 192.168.0.246
Webserver (LAN): 192.168.80.10

Afbeeldingslocatie: https://tweakers.net/i/n_gJy27f20Yf8ZqUS9a5lLB2ON4=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/IzBc4k2w3BzeEw1Fng8DcRsa.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/VA_zU7Szn7A3Us35OMlDxl2ZNV8=/800x/filters:strip_exif()/f/image/SUGcl5TJkzbSMMgb1GgrwTm2.png?f=fotoalbum_large
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq