Webserver niet bereikbaar over http/https poorten

Heb je andere port forwards die wel werken?
Weet je 100% zeker dat je forwards goed zijn (inclusief juiste IP adres)?
Hoe test je exact van buitenaf?
Komen er wel hits op de firewall voor betreffende poorten?

Staat er in je firewall misschien dat je webserver alleen binnen het lokale netwerk te bereiken is?

Of kan je de firewall op de webserver even uitzetten?

Voor een andere test zou je iperf op een van de poorten kunnen zetten en kunnen kijken of je verbinding kunt krijgen. (Dan kan je gedrag van de webserver uitsluiten)

Voor een poortscan zou je ook nog nmap kunnen proberen.

Moofen schreef op woensdag 17 maart 2021 @ 15:19:
Hoe kan ik dit controleren?

Ik ben helemaal niet bekend met Fortigate, maar volgens mij staat hier wel een antwoord:
https://kb.fortinet.com/k...ink.do?externalID=FD48104

Je kan de webserver wel bereiken als je verbinding maakt met het interne ip adres?

Is je VIP object aan een interface gebonden ? Als je dit niet doet kun je ook internal hairping toe staan op basis van de zelfde VIP. Als je dit wel doet moet het uiteraard wel de juiste externe interface zijn.

Je kunt ook een external en internal capture starten gelijk met een poging om te zien of , waar en hoe de communicatie loopt.

[Voor 23% gewijzigd door mash_man02 op 17-03-2021 15:55]

Moofen schreef op woensdag 17 maart 2021 @ 15:57:
[...]

Intern en extern kan ik beide bereiken, maar alleen vanuit het lokale netwerk. Via het internet kom ik bij geen van beide.

Kan je misschien (zonder externe ip’s) je policy regel en VIP screenshotten en hier posten? Klinkt mij als foute interface/ zone ergens.

Moofen schreef op woensdag 17 maart 2021 @ 16:12:
[...]

Ja hoor, ik neem de poort 80 als voorbeeld.
De VIP:
[Afbeelding]

De policy:
[Afbeelding]

Ah, zet je destination in de rule niet op de interne IP adressen maar op je VIP, tenminste zo werkt het bij mij wel.
<edit>
Informatie even weggehaald want:

Sorry, zag het icoontje niet goed op mijn telefoon, zie nu dat je dezelfde configuratie hebt. Alleen heb ik mijn NAT gekoppeld aan mijn WAN interface maar dat zou het verschil niet zijn. Het wordt tijd voor logging. Wat zegt die?

</edit>

[Voor 31% gewijzigd door Archie_T op 17-03-2021 17:49]

Inderdaad, kijken naar de logging, en ook kijken of het werkt op publiek ip?
Kun je via de fortigate inkomende http requests zien? Firewall logging?

@Moofen Kijk vanop een extern adres eens middels een Windows machientje waar Powershell op aanwezig is óf de TCP poorten op 80/443 wel echt open staan.



Voor 443 alleen het portnummer aan passen

Heeft de Fortigate wel een extern ip of staat ie achter NAT. Daarnaast vraag ik me af waarom je een interface Any hebt gebruik in de VIP, dat is niet persé nodig. Kies gewoon je WAN interface en als external ip 0.0.0.0. Tenzij je meerdere ip’s op je WAN hebt natuurlijk.

Toch gok ik op de webserver die externe requests niet toestaat, ik bedoel port mapping lijk je te snappen aangezien het voor andere services wel werkt?

Heeft de linux doos wel een gateway naar de router?

Heb net je setup uitgeprobeerd met een FortiGate VM en het werkt voor mij. Alhoewel ik niet begrijp waarom je 2x aparte VIP's hebt, een voor 80 en 443. Zijn het dezelfde publieke adressen of zijn ze ieder uniek? Als ze uniek zijn, ga je problemen krijgen als je HTTP-HTTPS redirecting doet.

De poorten definiëren met Static NAT is vrijwel overbodig. Als je ze niet definieert, worden alle poorten (1-65535) vertaald. Uiteindelijk bepalen de security policies of traffic toegelaten is of niet en niet de NAT regels. Je kan trouwens ook 1x VIP maken met een range van 80-443 of laat de range gewoon leeg.

Waar ik vrijwel zeker van ben is dat de uitgaande NAT regel antwoordt met je fysieke publieke adres en niet met de Virtual IP. Dit komt omdat je geen interface hebt gedefinieerd. Zonet gezien, dat het antwoord van het fysieke adres komt als de interface niet gedefinieerd is.

Mijn setup:
Thuisnetwerk: 192.168.0.0/24
Fortigate fysieke adres: 192.168.0.239
Fortigate VIP adres: 192.168.0.198
Mijn workstation: 192.168.0.246
Webserver (LAN): 192.168.80.10