Toon posts:

Webserver niet bereikbaar over http/https poorten

Pagina: 1
Acties:

Vraag


  • Moofen
  • Registratie: Februari 2016
  • Laatst online: 21-03 20:23
Goedemiddag tweakers,

Ik heb een webserver draaien (debian 10.8 met apache en csf firewall, binnen hyper-v) welke ik open wil hebben staan voor publiek bezoek. In de Fortigate firewall staat het publieke IP (VIP) met portforwarding naar het interne IP, voor zowel poort 80 en poort 443. Ook staan deze poorten open in de csf firewall op de webserver.

Op het lokale netwerk kan ik de gehoste website naar voren halen, op zowel het interne als externe IP, maar van buitenaf lukt dit niet. Ik heb hier nu al flink wat uren in gestoken, gezocht op verschillende fora en dingen geprobeerd, maar helaas. Ik vraag me nu af waar ik de fout in moet zoeken... Heeft iemand ervaring hiermee of suggesties? 8)7

Ik heb de poorten gecontroleerd met https://www.yougetsignal.com/tools/open-ports/ en die geeft terug dat beide poorten gesloten zijn.

[Voor 9% gewijzigd door Moofen op 17-03-2021 15:08]

Alle reacties


  • lier
  • Registratie: Januari 2004
  • Laatst online: 26-03 13:47

lier

MikroTik nerd

Heb je andere port forwards die wel werken?
Weet je 100% zeker dat je forwards goed zijn (inclusief juiste IP adres)?
Hoe test je exact van buitenaf?
Komen er wel hits op de firewall voor betreffende poorten?

Eerst het probleem, dan de oplossing


  • simson0606
  • Registratie: Juni 2015
  • Laatst online: 24-03 16:49
Staat er in je firewall misschien dat je webserver alleen binnen het lokale netwerk te bereiken is?

Of kan je de firewall op de webserver even uitzetten?

Voor een andere test zou je iperf op een van de poorten kunnen zetten en kunnen kijken of je verbinding kunt krijgen. (Dan kan je gedrag van de webserver uitsluiten)

Voor een poortscan zou je ook nog nmap kunnen proberen.

  • Moofen
  • Registratie: Februari 2016
  • Laatst online: 21-03 20:23
Hoi Lier,
lier schreef op woensdag 17 maart 2021 @ 15:09:
Heb je andere port forwards die wel werken?
Ja, andere portforwards werken wel. Hebben een aantal applicaties draaien waarbij dit naar behoren werkt.
Weet je 100% zeker dat je forwards goed zijn (inclusief juiste IP adres)?
Dat denk ik wel, ik heb dit middels het Fortigate cookbook ingesteld en een externe partij heb ik laten kijken welke aangaf dat dit lijkt te kloppen. Vxtern IP poort 80 -> intern IP poort 80, veel smaken hiervoor zijn er volgens mij niet.
Hoe test je exact van buitenaf?
Door het externe IP adres in de browser te bezoeken op een pc buiten het netwerk en via mobiel internet op de telefoon.
Komen er wel hits op de firewall voor betreffende poorten?
Hoe kan ik dit controleren?

  • lier
  • Registratie: Januari 2004
  • Laatst online: 26-03 13:47

lier

MikroTik nerd

Ik ben helemaal niet bekend met Fortigate, maar volgens mij staat hier wel een antwoord:
https://kb.fortinet.com/k...ink.do?externalID=FD48104

Eerst het probleem, dan de oplossing


  • Moofen
  • Registratie: Februari 2016
  • Laatst online: 21-03 20:23
Ik heb zojuist geprobeerd om portforward voor 8050 erin te zetten. Zodra ik dit doe werkt het intern, maar extern niet.

  • Moofen
  • Registratie: Februari 2016
  • Laatst online: 21-03 20:23
simson0606 schreef op woensdag 17 maart 2021 @ 15:16:
Staat er in je firewall misschien dat je webserver alleen binnen het lokale netwerk te bereiken is?
Dat denk ik niet, voor andere draaiende webapplicaties is dit ook niet zo.
Of kan je de firewall op de webserver even uitzetten?
Dit heb ik geprobeerd met de CSF firewall op de webserver, maar dit maakte geen verschil. De Fortigate firewall kan ik niet even uitzetten.

  • I_IBlackI_I
  • Registratie: Januari 2014
  • Laatst online: 22:41
Je kan de webserver wel bereiken als je verbinding maakt met het interne ip adres?

  • mash_man02
  • Registratie: April 2014
  • Laatst online: 18:36
Is je VIP object aan een interface gebonden ? Als je dit niet doet kun je ook internal hairping toe staan op basis van de zelfde VIP. Als je dit wel doet moet het uiteraard wel de juiste externe interface zijn.

Je kunt ook een external en internal capture starten gelijk met een poging om te zien of , waar en hoe de communicatie loopt.

[Voor 23% gewijzigd door mash_man02 op 17-03-2021 15:55]

Asus X570-E AMD ryzen 3700x 32Gb RX 5700 XT


  • Moofen
  • Registratie: Februari 2016
  • Laatst online: 21-03 20:23
I_IBlackI_I schreef op woensdag 17 maart 2021 @ 15:54:
Je kan de webserver wel bereiken als je verbinding maakt met het interne ip adres?
Intern en extern kan ik beide bereiken, maar alleen vanuit het lokale netwerk. Via het internet kom ik bij geen van beide.

  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 22:37
Moofen schreef op woensdag 17 maart 2021 @ 15:57:
[...]

Intern en extern kan ik beide bereiken, maar alleen vanuit het lokale netwerk. Via het internet kom ik bij geen van beide.
Kan je misschien (zonder externe ip’s) je policy regel en VIP screenshotten en hier posten? Klinkt mij als foute interface/ zone ergens.

  • Moofen
  • Registratie: Februari 2016
  • Laatst online: 21-03 20:23
mash_man02 schreef op woensdag 17 maart 2021 @ 15:54:
Is je VIP object aan een interface gebonden ? Als je dit niet doet kun je ook internal hairping toe staan op basis van de zelfde VIP. Als je dit wel doet moet het uiteraard wel de juiste externe interface zijn.

Je kunt ook een external en internal capture starten gelijk met een poging om te zien of , waar en hoe de communicatie loopt.
De VIP is via een policy als volgt gekoppeld:
Incoming interface: wan (internet)
Outgoing: lan (internal)
Source: all
Destination: de VIPs
Service: HTTP en HTTPS
NAT staat uitgeschakeld in deze policy.

  • Moofen
  • Registratie: Februari 2016
  • Laatst online: 21-03 20:23
Archie_T schreef op woensdag 17 maart 2021 @ 15:59:
[...]

Kan je misschien (zonder externe ip’s) je policy regel en VIP screenshotten en hier posten? Klinkt mij als foute interface/ zone ergens.
Ja hoor, ik neem de poort 80 als voorbeeld.
De VIP:


De policy:

  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 22:37
Moofen schreef op woensdag 17 maart 2021 @ 16:12:
[...]

Ja hoor, ik neem de poort 80 als voorbeeld.
De VIP:
[Afbeelding]

De policy:
[Afbeelding]
Ah, zet je destination in de rule niet op de interne IP adressen maar op je VIP, tenminste zo werkt het bij mij wel.
<edit>
Informatie even weggehaald want:

Sorry, zag het icoontje niet goed op mijn telefoon, zie nu dat je dezelfde configuratie hebt. Alleen heb ik mijn NAT gekoppeld aan mijn WAN interface maar dat zou het verschil niet zijn. Het wordt tijd voor logging. Wat zegt die?

</edit>

[Voor 31% gewijzigd door Archie_T op 17-03-2021 17:49]


  • amx
  • Registratie: December 2007
  • Laatst online: 01-03 21:23
Inderdaad, kijken naar de logging, en ook kijken of het werkt op publiek ip?
Kun je via de fortigate inkomende http requests zien? Firewall logging?

  • Will_M
  • Registratie: Maart 2004
  • Niet online

Will_M

Intentionally Left Blank

@Moofen Kijk vanop een extern adres eens middels een Windows machientje waar Powershell op aanwezig is óf de TCP poorten op 80/443 wel echt open staan.

code:
1
test-netconnection 'jouw externe ip' -port 80 -informationlevel detailed


Voor 443 alleen het portnummer aan passen ;)

Boldly going forward, 'cause we can't find reverse


  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 24-03 15:11
Heeft de Fortigate wel een extern ip of staat ie achter NAT. Daarnaast vraag ik me af waarom je een interface Any hebt gebruik in de VIP, dat is niet persé nodig. Kies gewoon je WAN interface en als external ip 0.0.0.0. Tenzij je meerdere ip’s op je WAN hebt natuurlijk.

U+


  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 22:34
Toch gok ik op de webserver die externe requests niet toestaat, ik bedoel port mapping lijk je te snappen aangezien het voor andere services wel werkt?

Heeft de linux doos wel een gateway naar de router?

CISSP! Drop your encryption keys!


  • Faifz
  • Registratie: November 2010
  • Laatst online: 01:40
Heb net je setup uitgeprobeerd met een FortiGate VM en het werkt voor mij. Alhoewel ik niet begrijp waarom je 2x aparte VIP's hebt, een voor 80 en 443. Zijn het dezelfde publieke adressen of zijn ze ieder uniek? Als ze uniek zijn, ga je problemen krijgen als je HTTP-HTTPS redirecting doet.

De poorten definiëren met Static NAT is vrijwel overbodig. Als je ze niet definieert, worden alle poorten (1-65535) vertaald. Uiteindelijk bepalen de security policies of traffic toegelaten is of niet en niet de NAT regels. Je kan trouwens ook 1x VIP maken met een range van 80-443 of laat de range gewoon leeg.

Waar ik vrijwel zeker van ben is dat de uitgaande NAT regel antwoordt met je fysieke publieke adres en niet met de Virtual IP. Dit komt omdat je geen interface hebt gedefinieerd. Zonet gezien, dat het antwoord van het fysieke adres komt als de interface niet gedefinieerd is.

Mijn setup:
Thuisnetwerk: 192.168.0.0/24
Fortigate fysieke adres: 192.168.0.239
Fortigate VIP adres: 192.168.0.198
Mijn workstation: 192.168.0.246
Webserver (LAN): 192.168.80.10



Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee