Portweiterleitung (Port 80) nicht möglich!



  • Hallo zusammen,

    ich verzweifle aktuell an einer einfachen Portweiterleitung.  :-
    Gegeben ist eine pfSense (APU1D4 mit Release 2.3.2), welches über Unitymedia 2 WAN Adressen bekommt.
    Funktioniert auch alles klasse.

    In der Firewall sind auch schon div. Portweiterleitungen konfiguriert (z.B. Exchange, FTP, ..) und funktionieren auch.
    Ich wollte nun den Port 80 auf einen Webserver weiterleiten, jedoch klappt die Weiterleitung einfach nicht.
    Warum - mir nicht ersichtlich.

    Was habe ich in der pfSense geändert?

    • Vor kurzem wurde der HAProxy installiert und auf der 2. WAN Adresse div. Adressen für Port 80 hinterlegt.
    • Auf WAN 1 soll nun eine "einfache" Weiterleitung des Port 80 auf einen Webserver gemacht werden.

    Die NAT Config ist eingerichtet - siehe Anhang 01
    Die Firewall Rule ist auch eingerichtet - siehe Anhang 02.

    Jedoch egal was ich versuche, der Port 80 kommt von aussen nicht durch.
    Ich habe es mit insgesamt 3 internen Server (der Reihe nach) versucht, kein Server ist von aussen via Port 80 erreichbar.

    Eigentlich eine einfache Aufgabe, aber irgendwie mag es nicht.

    Zur Info:
    Die Oberfläche der pfSense ist über einen sep. Port zugänglich (Port 8443).
    Siehe Anhang 03, da ich evtl. vermutete, das es daran liegen könnte.

    Vll. hat einer von euch einen Tipp, was es sein könnte.

    Gruß Sebastian







  • Hast du einen Alias für den Port 80 erstellt? Normalerweise müsste in der NAT Regel bei Destination Port stehen "80 (HTTP)" und sollte nicht mit einem Link versehen sein.
    Eine Stolperfalle könnte noch der ausgehende Gateway sein für deine Hosts. Ist das bei den Hosts ebenfalls WAN und nicht WAN2?


  • LAYER 8 Moderator

    Also die wichtigste Hürde - die WebGUI weglegen - hast du schon geschafft :) Das ist der häufigste Showstopper dafür, dass etwas mit 80/443 Weiterleitungen nicht klappt. Gut!

    Das "Port 80" macht mich auch ein wenig stutzig. Ist das korrekt konfiguriert?
    Ansonsten die Frage: ist das WAN direkt verbunden oder hinter einem anderen Router der ggf. den Port 80 selbst abgreift? Alles schon vorgekommen.
    Sonst wäre noch ein Edit der Regel drin, dort das Logging anmachen und schauen ob der Zugriff überhaupt registriert wird im Log und dort erlaubt wird oder nicht.

    Grüße Jens



  • Hast du einen Alias für den Port 80 erstellt? Normalerweise müsste in der NAT Regel bei Destination Port stehen "80 (HTTP)" und sollte nicht mit einem Link versehen sein.
    Eine Stolperfalle könnte noch der ausgehende Gateway sein für deine Hosts. Ist das bei den Hosts ebenfalls WAN und nicht WAN2?

    Es war mehr ein Versuch (Verzweiflung?!), für Port 80 einen Alias zu setzen.
    Ich habe es auch mit der vordefinierten Regel versucht, geht leider auch nicht.
    Sollte aber technisch egal sein, beides sollte funktionieren.

    Ja, bei den Hosts bzw. bei dem bestimmten Host ist WAN(1) das Gateway.

    Ansonsten die Frage: ist das WAN direkt verbunden oder hinter einem anderen Router der ggf. den Port 80 selbst abgreift? Alles schon vorgekommen.

    Es ist vom Provider ein Kabelmodem (Cisco EPC3212) dazwischen, welches aber den kompletten Traffic an unsere Firewall weiterleitet.
    Auf das Kabelmodem habe ich keinen Zugriff und auch keine Möglichkeit der Konfiguration.

    Aber das mit dem Logging muss ich mal prüfen.

    Dank euch schon mal für den Input.

    Gruß Sebastian

    Edit: habe nun auch mal die Regel korrekt eingestellt und mal das Logging geprüft.
    Es kommt auch was an, aber von Extern wird mir keine Seite angezeigt.
    Siehe - Anhang 04 und 05.
    Kann einer ggf. aus dem State was erkennen?





  • LAYER 8 Moderator

    Ich weiß ja nicht was dein DATA04 ist, aber es sieht mir aus als würde er die Zugriffe blocken und nicht darauf antworten. Die Syn Pakete gehen zumindest durch. Scheint als würde kein Ack kommen.



  • Du hattest zwar bereits gesagt, dass du mehrere Hosts probiert hast aber könntest du auf dem DATA04 mal ein "route print" und "netstat -n" (Windows) bzw. "route -n" und "netstat -tan" (Linux) ausführen.  So das man wenigstens mal schauen kann, dass auch auf dem Gerät die Anfragen ankommen und verarbeitet werden und wie das lokale Routing aussieht. Ich kenne das Verhalten von meinem NAS, jedoch lag es immer an der Firewall auf dem Endgerät bzw. dem Routing durch mehrere NICs.



  • Hallo zusammen,

    ich wollte nur mal ein kurzes Feedback geben.

    Das Problem ist gelöst, es lag am Server.

    Eigentlich dachte ich, das "AUS" auch "AUS" bedeutet, was allerdings in meinem Falle nicht zutraf.
    Auf dem Zielserver (ein Windows Server 2012 R2) ist eigentlich die Firewall aus.
    Siehe Anhang.
    Allerdings war sie wohl doch nicht ganz aus  :o
    Am Wochenende habe ich testweise mal den Port 80 in der Windows-Firewall-Config freigegeben und siehe da, der Zugriff klappt.

    Da die Firewall eigentlich auf "AUS" steht, habe ich an dieser Stelle nicht wirklich weitergesucht.
    Nunja, egal. Wieder eine Erfahrung reicher  :D

    Gruß Sebastian



Log in to reply