Virtual iP NAT Port Forwarding 443



  • Hallo zusammen,

    ich verzweifel gerade an einem Problem und hoffe aus eine Lösung von euch.

    An der WAN Schnittstelle ist eine zusätzliche Virtual IP eingerichtet.

    Ich möchte auf beiden externen IPs ein Portforwarding mit dem Port 443 einrichten. Bei einer Regel befindet sich der Host im LAN, bei der anderen in der DMZ.

    Die Forwarding Regel mit der WAN Adress funktioniert, mit der Virtual IP funktioniert nicht.

    Nutze ich ich einen anderen Port, funktioniert es kurioser weise. Bei den Port Forwarung unterscheide ich zwischen WAN Adress und Virtual IP, dass sollte auch funktionieren.

    In den Firewall Logs sehe ich noch, dass der Traffic aus der DMZ nach WAN funktioniert. Mit Stand TCP:S

    Dennoch tut sich im Webbrowser nichts.

    Die Weboberfläche der PfSense habe ich vorsorglich auf einen anderen Port gelegt und auch die redirect rule habe ich deaktiviert.

    Squid it nicht eingerichtet, snort ist deaktiviert.

    Hat hier jemand eine Idee?

    Danke und Gruß
    Xearo



  • Seltsames Problem. Was für eine Art virtuelle IP ist das?

    Wenn die Paket nicht an einer Firewall-Regel hängen bleiben müssen sie ja irgendwo rauskommen. Deshalb würde ich das Logging für alle Block-Regeln einschließlich der Default-deny-rule (Log-Settings) aktivieren und ein Packet Capture (Diagnostic Menü) an allen Interfaces machen, während du den Zugriff von außen  versuchst.

    Es kann aber natürlich auch ein Netzwerkproblem sein. Den Zugiff aufs Internet von der DMZ teste am besten auf einem Rechner direkt.



  • Am WAN Anschluss hängen zwei Subnetze

    Das zweite Subnetz habe ich als Virtual IP der WAN Schnittstelle zugeordnert.
    Das Gateway von diesem Netz habe ich als zweites Gateway der WAN Schnittstelle zugeordnet.

    Wie gesagt, ich finde es komisch das es mit anderen Ports funktioniert, nur mit 443 nicht.

    Ich prüfe mal mit der Diagnostik.

    Edit:

    Das sehe ich an der DMZ Schnittstelle

    
    13:13:26.626033 00:0d:b9:40:00:7e > 00:08:9b:c9:b9:7f, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 118, id 1277, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->165b)!)
        RECHNER_AUS_WAN.53213 > 192.168.210.1.443: Flags [s], cksum 0x95e5 (correct), seq 3589031993, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    13:13:26.626214 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
        192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [S.], cksum 0x256b (correct), seq 610013960, ack 3589031994, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 5], length 0
    13:13:26.638297 00:0d:b9:40:00:7e > 00:08:9b:c9:b9:7f, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 118, id 1278, offset 0, flags [none], proto TCP (6), length 40, bad cksum 0 (->5666)!)
        RECHNER_AUS_WAN.53213 > 192.168.210.1.443: Flags [.], cksum 0x9b43 (correct), seq 1, ack 1, win 1024, length 0
    13:13:26.638633 00:0d:b9:40:00:7e > 00:08:9b:c9:b9:7f, ethertype IPv4 (0x0800), length 246: (tos 0x0, ttl 118, id 1279, offset 0, flags [none], proto TCP (6), length 232, bad cksum 0 (->55a5)!)
        RECHNER_AUS_WAN.53213 > 192.168.210.1.443: Flags [P.], cksum 0x342c (correct), seq 1:193, ack 1, win 1024, length 192
    13:13:26.638789 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 28645, offset 0, flags [DF], proto TCP (6), length 40)
        192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [.], cksum 0x9c99 (correct), seq 1, ack 193, win 490, length 0
    13:13:26.752842 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28646, offset 0, flags [DF], proto TCP (6), length 1089)
        192.168.210.1.443 >RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049
    13:13:26.961673 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28647, offset 0, flags [DF], proto TCP (6), length 1089)
        192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049
    13:13:27.381684 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28648, offset 0, flags [DF], proto TCP (6), length 1089)
        192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049
    13:13:28.221724 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28649, offset 0, flags [DF], proto TCP (6), length 1089)
        192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049
    13:13:29.901759 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28650, offset 0, flags [DF], proto TCP (6), length 1089)
        192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049
    
    WAN- Schnittstelle:
    
    [code]
    13:21:06.160875 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 119, id 1407, offset 0, flags [DF], proto TCP (6), length 52)
        RECHNER_AUS_WAN.53252 > Virtual_IP.443: Flags [s], cksum 0xe350 (correct), seq 3093794230, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    13:21:06.161285 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->c7e2)!)
         Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [S.], cksum 0xd599 (correct), seq 2061261252, ack 3093794231, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 5], length 0
    13:21:06.173308 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 1408, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.53252 >  Virtual_IP.443: Flags [.], cksum 0x4b72 (correct), seq 1, ack 1, win 1024, length 0
    13:21:06.173945 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 246: (tos 0x0, ttl 119, id 1409, offset 0, flags [none], proto TCP (6), length 232)
        RECHNER_AUS_WAN.53252 >  Virtual_IP.443: Flags [P.], cksum 0x0b03 (correct), seq 1:193, ack 1, win 1024, length 192
    13:21:06.174299 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 63, id 27048, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->5e46)!)
         Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [.], cksum 0x4cc8 (correct), seq 1, ack 193, win 490, length 0
    13:21:06.289046 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27049, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a2c)!)
         Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049
    13:21:06.502186 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27050, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a2b)!)
         Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049
    13:21:06.942234 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27051, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a2a)!)
         Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049
    13:21:07.822263 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27052, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a29)!)
         Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049
    13:21:09.582300 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27053, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a28)!)
         Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049
    
    				[/s][/code][/s]
    


  • @LordXearo:

    Am WAN Anschluss hängen zwei Subnetze

    Das zweite Subnetz habe ich als Virtual IP der WAN Schnittstelle zugeordnert.
    Das Gateway von diesem Netz habe ich als zweites Gateway der WAN Schnittstelle zugeordnet.

    Okay, erst war es nur eine IP, nun ist es ein ganzes Netz.
    Wenn das zweite Netz nicht auf das erste geroutet wird, musst du jede einzelne IP davon als IP Alias anlegen.

    D.h., du möchtest nun das zweite Netz für die DMZ verwenden und alles was aus der DMZ rausgeht oder zumindest die Antworten soll auch über das zweite Gateway gehen?
    Wenn ja, musst du eine entsprechende Outbound NAT Regel hinzufügen, die das Pakete aus der DMZ auf die 2. VIP umsetzt. Und am DMZ-Interface eine Firewall-Regel, damit dieses Gateway benutzt wird.

    @LordXearo:

    (Gibt es sowas wie Code-Tags ? )

    Über den Textfenster, 2. Reihe Mitte. Bitte verwende das, so ist das nicht lesbar.



  • @viragomann:

    Okay, erst war es nur eine IP, nun ist es ein ganzes Netz.
    Wenn das zweite Netz nicht auf das erste geroutet wird, musst du jede einzelne IP davon als IP Alias anlegen.

    Es sind quasi zwei freie, statische IPs für den WAN zugriff. Diese liegen leider nicht im gleichen Subnet.

    @viragomann:

    D.h., du möchtest nun das zweite Netz für die DMZ verwenden und alles was aus der DMZ rausgeht oder zumindest die Antworten soll auch über das zweite Gateway gehen?

    So in etwa. Die zweite freie IP soll nur für einen Host benutzt werden, der in der DMZ liegt.  Ein paar dienste vom Host sollen aber auch intern (LAN) genutzt werden können. Deswegen wollte ich den host nicht per 1:1 NAT komplett rausstellen.

    @viragomann:

    Wenn ja, musst du eine entsprechende Outbound NAT Regel hinzufügen, die das Pakete aus der DMZ auf die 2. VIP umsetzt. Und am DMZ-Interface eine Firewall-Regel, damit dieses Gateway benutzt wird.

    Hm die Outbound NAT Regel könnte das problem sein. Da hatte ich zwar schon mit getestet, aber ohne erfolg. Es sind momentan nur die automatisch generierten NAT Regeln aktiv. Am DMZ Interface habe ich bereits die Firewall-Regel, dass traffic über das "zweite" Gateway rausgeht. Was wie gesagt auch alles funktioniert, nur halt mit port 443 nicht.

    Edit:

    So sieht es bei Port 8080 an der WAN Schnittstelle aus. Da kommt eine Verbindung zu stande.

    
    15:27:54.114992 IP (tos 0x0, ttl 119, id 3354, offset 0, flags [DF], proto TCP (6), length 52)
        RECHNER_AUS_WAN.54077 > Virtual_IP.8080: Flags [s], cksum 0x24ee (correct), seq 1738169304, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:27:54.115469 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->c7e2)!)
        Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [S.], cksum 0x6c10 (correct), seq 3475689628, ack 1738169305, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 5], length 0
    15:27:54.127589 IP (tos 0x0, ttl 119, id 3356, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54077 > Virtual_IP.8080: Flags [.], cksum 0xe4e8 (correct), seq 1, ack 1, win 256, length 0
    15:27:54.174096 IP (tos 0x0, ttl 119, id 3358, offset 0, flags [none], proto TCP (6), length 535)
        RECHNER_AUS_WAN.54077 > Virtual_IP.8080: Flags [P.], cksum 0x63b8 (correct), seq 1:496, ack 1, win 256, length 495
    15:27:54.174392 IP (tos 0x0, ttl 63, id 7329, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->ab4d)!)
        Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [.], cksum 0xe20f (correct), seq 1, ack 496, win 490, length 0
    15:27:54.178674 IP (tos 0x0, ttl 63, id 7330, offset 0, flags [DF], proto TCP (6), length 902, bad cksum 0 (->a7ee)!)
        Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [P.], cksum 0x59d9 (correct), seq 1:863, ack 496, win 490, length 862
    15:27:54.241468 IP (tos 0x0, ttl 119, id 3359, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54077 > Virtual_IP.8080: Flags [.], cksum 0xdf9e (correct), seq 496, ack 863, win 253, length 0
    15:27:54.245052 IP (tos 0x0, ttl 119, id 3360, offset 0, flags [none], proto TCP (6), length 677)
        RECHNER_AUS_WAN.34.54077 > Virtual_IP.8080: Flags [P.], cksum 0x220b (correct), seq 496:1133, ack 863, win 253, length 637
    15:27:54.278408 IP (tos 0x0, ttl 63, id 7331, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->ab4b)!)
        Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [.], cksum 0xdc0c (correct), seq 863, ack 1133, win 530, length 0
    15:27:54.279316 IP (tos 0x0, ttl 63, id 7332, offset 0, flags [DF], proto TCP (6), length 251, bad cksum 0 (->aa77)!)
        Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [P.], cksum 0x4da7 (correct), seq 863:1074, ack 1133, win 530, length 211
    15:27:54.285260 IP (tos 0x0, ttl 63, id 7333, offset 0, flags [DF], proto TCP (6), length 45, bad cksum 0 (->ab44)!)
       Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [P.], cksum 0x9712 (correct), seq 1074:1079, ack 1133, win 530, length 5
    
    Und das ist die Ausgabe, wenn ich Port 443 in 5443 ändere, was auch über https aufgerufen wird. Das funktioniert.
    
    [code]
    
    15:56:02.916337 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6803, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x4bbb (correct), seq 1700, ack 1573, win 1023, length 0
    15:56:02.918155 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 512: (tos 0x0, ttl 119, id 6804, offset 0, flags [none], proto TCP (6), length 498)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0xa35a (correct), seq 1700:2158, ack 1573, win 1023, length 458
    15:56:02.918345 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 63, id 31144, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->4e46)!)
        Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x4b80 (correct), seq 1573, ack 2158, win 624, length 0
    15:56:02.926663 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 63, id 31145, offset 0, flags [DF], proto TCP (6), length 1500, bad cksum 0 (->4891)!)
        Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x63e7 (correct), seq 1573:3033, ack 2158, win 624, length 1460
    15:56:02.926696 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1494: (tos 0x0, ttl 63, id 31146, offset 0, flags [DF], proto TCP (6), length 1480, bad cksum 0 (->48a4)!)
        Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [P.], cksum 0x7535 (correct), seq 3033:4473, ack 2158, win 624, length 1440
    15:56:02.938932 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6805, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x443c (correct), seq 2158, ack 3033, win 1024, length 0
    15:56:02.939075 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6806, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x3ea2 (correct), seq 2158, ack 4473, win 1018, length 0
    15:56:03.044580 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 528: (tos 0x0, ttl 119, id 6807, offset 0, flags [none], proto TCP (6), length 514)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0x3d6e (correct), seq 2158:2632, ack 4473, win 1018, length 474
    15:56:03.070013 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 144: (tos 0x0, ttl 119, id 6808, offset 0, flags [none], proto TCP (6), length 130)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0x3bfb (correct), seq 2632:2722, ack 4473, win 1018, length 90
    15:56:03.070207 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 63, id 31147, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->4e43)!)
        Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x3dd6 (correct), seq 4473, ack 2722, win 658, length 0
    15:56:03.165566 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 63, id 31148, offset 0, flags [DF], proto TCP (6), length 1500, bad cksum 0 (->488e)!)
        Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0xa8b6 (correct), seq 4473:5933, ack 2722, win 658, length 1460
    15:56:03.165600 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 63, id 31149, offset 0, flags [DF], proto TCP (6), length 1500, bad cksum 0 (->488d)!)
        Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x9260 (correct), seq 5933:7393, ack 2722, win 658, length 1460
    15:56:03.165623 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 322: (tos 0x0, ttl 63, id 31150, offset 0, flags [DF], proto TCP (6), length 308, bad cksum 0 (->4d34)!)
       Virtual_IP.5443 >RECHNER_AUS_WAN.54441: Flags [P.], cksum 0x7e44 (correct), seq 7393:7661, ack 2722, win 658, length 268
    15:56:03.171886 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 91: (tos 0x0, ttl 63, id 31151, offset 0, flags [DF], proto TCP (6), length 77, bad cksum 0 (->4e1a)!)
        Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [P.], cksum 0x9868 (correct), seq 7661:7698, ack 2722, win 658, length 37
    15:56:03.177706 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6809, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x36b4 (correct), seq 2722, ack 5933, win 1024, length 0
    15:56:03.177900 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6810, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x2ff4 (correct), seq 2722, ack 7661, win 1024, length 0
    15:56:03.183695 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6811, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x2fd0 (correct), seq 2722, ack 7698, win 1023, length 0
    15:56:03.198998 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 528: (tos 0x0, ttl 119, id 6812, offset 0, flags [none], proto TCP (6), length 514)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0x16eb (correct), seq 2722:3196, ack 7698, win 1023, length 474
    15:56:03.213318 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 144: (tos 0x0, ttl 119, id 6813, offset 0, flags [none], proto TCP (6), length 130)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0xc99d (correct), seq 3196:3286, ack 7698, win 1023, length 90
    15:56:03.213632 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 63, id 31152, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->4e3e)!)
        Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x2ee8 (correct), seq 7698, ack 3286, win 691, length 0
    15:56:03.272539 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 890: (tos 0x0, ttl 63, id 31153, offset 0, flags [DF], proto TCP (6), length 876, bad cksum 0 (->4af9)!)
       Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [P.], cksum 0xebee (correct), seq 7698:8534, ack 3286, win 691, length 836
    15:56:03.278779 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 91: (tos 0x0, ttl 63, id 31154, offset 0, flags [DF], proto TCP (6), length 77, bad cksum 0 (->4e17)!)
       Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [P.], cksum 0x8440 (correct), seq 8534:8571, ack 3286, win 691, length 37
    15:56:03.284695 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6814, offset 0, flags [none], proto TCP (6), length 40)
       RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x2a5b (correct), seq 3286, ack 8534, win 1020, length 0
    15:56:03.290685 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6815, offset 0, flags [none], proto TCP (6), length 40)
        RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x2a36 (correct), seq 3286, ack 8571, win 1020, length 0
    
    [/code]
    [/s]
    


  • Keiner mehr eine Idee?

    Ich seh nur den unterschied, dass bei "flags" DF eingetragen ist bei Port 443 und über Port 5443 steht "none" dort.


  • LAYER 8 Moderator

    Evtl. grätscht dir die WebUI der pfSense trotzdem dazwischen? Hast du mal geschaut, ob die nicht nur auf einem anderen Port läuft, aber auch die Port-Weiterleitung auf den anderen Port abgeschaltet ist? Ansonsten kann es sein, dass das noch falsch weitergeleitet wird?



  • HM Versteh ich nicht ganz. Also die WebGui läuft jetzt auf 444. Die erreiche ich über OpenVPN.  Unter "Diagnostik -> Sockets" seh ich auch nirgends 443

    
    USER 	COMMAND 	PID 	FD 	PROTO 	LOCAL 	FOREIGN
    root 	php-fpm 	55254 	11 	udp4 	*:* 	*:*
    root 	lighttpd 	76748 	11 	tcp4 	*:444 	*:*
    
    


  • Okay…. jetzt bin ich verwirrt. Vom Handy funktioniert es. Komisch, auf der ersten IP hängt ein Exchange auch an 443, den und andere Webseiten erreiche ich. Muss ich mal schauen ob ich rauskriege woran das liegt.

    Edit: Am Netzwerk liegt es nicht. Ich schätze es liegt daran, dass es kein FQDN ist (bisher) und das einfach kommentarlos vom Webbrowser geblockt wurde.



  • D.h., du gehst mit der IP auf Port 443??!

    Wenn du mit einem Browser auf 443 (https) gehst, möchte dieser standardmäßig als erstes das Zertifikat vom Server sehen, ehe er irgendwas anzeigt. Dieses Zertifikat muss zum Hostnamen bzw. zur Hostadresse in der Adresszeile passen. Ich nehme an, dass dein Zertifikat auf einen Namen ausgestellt ist.
    Passt das Zertifikat nicht, wird üblicherweise ein Zertifikatsfehler angezeigt. Ggf. kann man den Browser dazu überreden, die Seite dennoch zu laden.
    Allerdings sehen das Problem neue Browser immer enger und möglicherweise macht das deiner nicht mehr, oder zumindest nicht in der aktuellen Sicherheitseinstellung.



  • Firefox und Internet Explorer haben rein gar nichts angezeigt. Es lag am Zertifikat.

    Zertifikatsfehler bekomme ich jetzt natürlich immer noch, da es nur ein selbst signiertes ist. Das ausgelieferte zertifikat hatte diese form im CN "Bla Bla Blub". Ohne punkte oder anderem Bezug zum hostnamen.


Log in to reply