Virtual iP NAT Port Forwarding 443
-
Seltsames Problem. Was für eine Art virtuelle IP ist das?
Wenn die Paket nicht an einer Firewall-Regel hängen bleiben müssen sie ja irgendwo rauskommen. Deshalb würde ich das Logging für alle Block-Regeln einschließlich der Default-deny-rule (Log-Settings) aktivieren und ein Packet Capture (Diagnostic Menü) an allen Interfaces machen, während du den Zugriff von außen versuchst.
Es kann aber natürlich auch ein Netzwerkproblem sein. Den Zugiff aufs Internet von der DMZ teste am besten auf einem Rechner direkt.
-
Am WAN Anschluss hängen zwei Subnetze
Das zweite Subnetz habe ich als Virtual IP der WAN Schnittstelle zugeordnert.
Das Gateway von diesem Netz habe ich als zweites Gateway der WAN Schnittstelle zugeordnet.Wie gesagt, ich finde es komisch das es mit anderen Ports funktioniert, nur mit 443 nicht.
Ich prüfe mal mit der Diagnostik.
Edit:
Das sehe ich an der DMZ Schnittstelle
13:13:26.626033 00:0d:b9:40:00:7e > 00:08:9b:c9:b9:7f, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 118, id 1277, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->165b)!) RECHNER_AUS_WAN.53213 > 192.168.210.1.443: Flags [s], cksum 0x95e5 (correct), seq 3589031993, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 13:13:26.626214 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52) 192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [S.], cksum 0x256b (correct), seq 610013960, ack 3589031994, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 5], length 0 13:13:26.638297 00:0d:b9:40:00:7e > 00:08:9b:c9:b9:7f, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 118, id 1278, offset 0, flags [none], proto TCP (6), length 40, bad cksum 0 (->5666)!) RECHNER_AUS_WAN.53213 > 192.168.210.1.443: Flags [.], cksum 0x9b43 (correct), seq 1, ack 1, win 1024, length 0 13:13:26.638633 00:0d:b9:40:00:7e > 00:08:9b:c9:b9:7f, ethertype IPv4 (0x0800), length 246: (tos 0x0, ttl 118, id 1279, offset 0, flags [none], proto TCP (6), length 232, bad cksum 0 (->55a5)!) RECHNER_AUS_WAN.53213 > 192.168.210.1.443: Flags [P.], cksum 0x342c (correct), seq 1:193, ack 1, win 1024, length 192 13:13:26.638789 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 28645, offset 0, flags [DF], proto TCP (6), length 40) 192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [.], cksum 0x9c99 (correct), seq 1, ack 193, win 490, length 0 13:13:26.752842 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28646, offset 0, flags [DF], proto TCP (6), length 1089) 192.168.210.1.443 >RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049 13:13:26.961673 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28647, offset 0, flags [DF], proto TCP (6), length 1089) 192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049 13:13:27.381684 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28648, offset 0, flags [DF], proto TCP (6), length 1089) 192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049 13:13:28.221724 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28649, offset 0, flags [DF], proto TCP (6), length 1089) 192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049 13:13:29.901759 00:08:9b:c9:b9:7f > 00:0d:b9:40:00:7e, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 64, id 28650, offset 0, flags [DF], proto TCP (6), length 1089) 192.168.210.1.443 > RECHNER_AUS_WAN.53213: Flags [P.], cksum 0x4689 (correct), seq 1:1050, ack 193, win 490, length 1049 WAN- Schnittstelle: [code] 13:21:06.160875 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 119, id 1407, offset 0, flags [DF], proto TCP (6), length 52) RECHNER_AUS_WAN.53252 > Virtual_IP.443: Flags [s], cksum 0xe350 (correct), seq 3093794230, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 13:21:06.161285 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->c7e2)!) Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [S.], cksum 0xd599 (correct), seq 2061261252, ack 3093794231, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 5], length 0 13:21:06.173308 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 1408, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.53252 > Virtual_IP.443: Flags [.], cksum 0x4b72 (correct), seq 1, ack 1, win 1024, length 0 13:21:06.173945 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 246: (tos 0x0, ttl 119, id 1409, offset 0, flags [none], proto TCP (6), length 232) RECHNER_AUS_WAN.53252 > Virtual_IP.443: Flags [P.], cksum 0x0b03 (correct), seq 1:193, ack 1, win 1024, length 192 13:21:06.174299 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 63, id 27048, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->5e46)!) Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [.], cksum 0x4cc8 (correct), seq 1, ack 193, win 490, length 0 13:21:06.289046 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27049, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a2c)!) Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049 13:21:06.502186 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27050, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a2b)!) Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049 13:21:06.942234 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27051, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a2a)!) Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049 13:21:07.822263 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27052, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a29)!) Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049 13:21:09.582300 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1103: (tos 0x0, ttl 63, id 27053, offset 0, flags [DF], proto TCP (6), length 1089, bad cksum 0 (->5a28)!) Virtual_IP.443 > RECHNER_AUS_WAN.53252: Flags [P.], cksum 0x01cc (correct), seq 1:1050, ack 193, win 490, length 1049 [/s][/code][/s]
-
Am WAN Anschluss hängen zwei Subnetze
Das zweite Subnetz habe ich als Virtual IP der WAN Schnittstelle zugeordnert.
Das Gateway von diesem Netz habe ich als zweites Gateway der WAN Schnittstelle zugeordnet.Okay, erst war es nur eine IP, nun ist es ein ganzes Netz.
Wenn das zweite Netz nicht auf das erste geroutet wird, musst du jede einzelne IP davon als IP Alias anlegen.D.h., du möchtest nun das zweite Netz für die DMZ verwenden und alles was aus der DMZ rausgeht oder zumindest die Antworten soll auch über das zweite Gateway gehen?
Wenn ja, musst du eine entsprechende Outbound NAT Regel hinzufügen, die das Pakete aus der DMZ auf die 2. VIP umsetzt. Und am DMZ-Interface eine Firewall-Regel, damit dieses Gateway benutzt wird.(Gibt es sowas wie Code-Tags ? )
Über den Textfenster, 2. Reihe Mitte. Bitte verwende das, so ist das nicht lesbar.
-
Okay, erst war es nur eine IP, nun ist es ein ganzes Netz.
Wenn das zweite Netz nicht auf das erste geroutet wird, musst du jede einzelne IP davon als IP Alias anlegen.Es sind quasi zwei freie, statische IPs für den WAN zugriff. Diese liegen leider nicht im gleichen Subnet.
D.h., du möchtest nun das zweite Netz für die DMZ verwenden und alles was aus der DMZ rausgeht oder zumindest die Antworten soll auch über das zweite Gateway gehen?
So in etwa. Die zweite freie IP soll nur für einen Host benutzt werden, der in der DMZ liegt. Ein paar dienste vom Host sollen aber auch intern (LAN) genutzt werden können. Deswegen wollte ich den host nicht per 1:1 NAT komplett rausstellen.
Wenn ja, musst du eine entsprechende Outbound NAT Regel hinzufügen, die das Pakete aus der DMZ auf die 2. VIP umsetzt. Und am DMZ-Interface eine Firewall-Regel, damit dieses Gateway benutzt wird.
Hm die Outbound NAT Regel könnte das problem sein. Da hatte ich zwar schon mit getestet, aber ohne erfolg. Es sind momentan nur die automatisch generierten NAT Regeln aktiv. Am DMZ Interface habe ich bereits die Firewall-Regel, dass traffic über das "zweite" Gateway rausgeht. Was wie gesagt auch alles funktioniert, nur halt mit port 443 nicht.
Edit:
So sieht es bei Port 8080 an der WAN Schnittstelle aus. Da kommt eine Verbindung zu stande.
15:27:54.114992 IP (tos 0x0, ttl 119, id 3354, offset 0, flags [DF], proto TCP (6), length 52) RECHNER_AUS_WAN.54077 > Virtual_IP.8080: Flags [s], cksum 0x24ee (correct), seq 1738169304, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 15:27:54.115469 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->c7e2)!) Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [S.], cksum 0x6c10 (correct), seq 3475689628, ack 1738169305, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 5], length 0 15:27:54.127589 IP (tos 0x0, ttl 119, id 3356, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54077 > Virtual_IP.8080: Flags [.], cksum 0xe4e8 (correct), seq 1, ack 1, win 256, length 0 15:27:54.174096 IP (tos 0x0, ttl 119, id 3358, offset 0, flags [none], proto TCP (6), length 535) RECHNER_AUS_WAN.54077 > Virtual_IP.8080: Flags [P.], cksum 0x63b8 (correct), seq 1:496, ack 1, win 256, length 495 15:27:54.174392 IP (tos 0x0, ttl 63, id 7329, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->ab4d)!) Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [.], cksum 0xe20f (correct), seq 1, ack 496, win 490, length 0 15:27:54.178674 IP (tos 0x0, ttl 63, id 7330, offset 0, flags [DF], proto TCP (6), length 902, bad cksum 0 (->a7ee)!) Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [P.], cksum 0x59d9 (correct), seq 1:863, ack 496, win 490, length 862 15:27:54.241468 IP (tos 0x0, ttl 119, id 3359, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54077 > Virtual_IP.8080: Flags [.], cksum 0xdf9e (correct), seq 496, ack 863, win 253, length 0 15:27:54.245052 IP (tos 0x0, ttl 119, id 3360, offset 0, flags [none], proto TCP (6), length 677) RECHNER_AUS_WAN.34.54077 > Virtual_IP.8080: Flags [P.], cksum 0x220b (correct), seq 496:1133, ack 863, win 253, length 637 15:27:54.278408 IP (tos 0x0, ttl 63, id 7331, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->ab4b)!) Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [.], cksum 0xdc0c (correct), seq 863, ack 1133, win 530, length 0 15:27:54.279316 IP (tos 0x0, ttl 63, id 7332, offset 0, flags [DF], proto TCP (6), length 251, bad cksum 0 (->aa77)!) Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [P.], cksum 0x4da7 (correct), seq 863:1074, ack 1133, win 530, length 211 15:27:54.285260 IP (tos 0x0, ttl 63, id 7333, offset 0, flags [DF], proto TCP (6), length 45, bad cksum 0 (->ab44)!) Virtual_IP.8080 > RECHNER_AUS_WAN.54077: Flags [P.], cksum 0x9712 (correct), seq 1074:1079, ack 1133, win 530, length 5 Und das ist die Ausgabe, wenn ich Port 443 in 5443 ändere, was auch über https aufgerufen wird. Das funktioniert. [code] 15:56:02.916337 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6803, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x4bbb (correct), seq 1700, ack 1573, win 1023, length 0 15:56:02.918155 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 512: (tos 0x0, ttl 119, id 6804, offset 0, flags [none], proto TCP (6), length 498) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0xa35a (correct), seq 1700:2158, ack 1573, win 1023, length 458 15:56:02.918345 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 63, id 31144, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->4e46)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x4b80 (correct), seq 1573, ack 2158, win 624, length 0 15:56:02.926663 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 63, id 31145, offset 0, flags [DF], proto TCP (6), length 1500, bad cksum 0 (->4891)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x63e7 (correct), seq 1573:3033, ack 2158, win 624, length 1460 15:56:02.926696 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1494: (tos 0x0, ttl 63, id 31146, offset 0, flags [DF], proto TCP (6), length 1480, bad cksum 0 (->48a4)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [P.], cksum 0x7535 (correct), seq 3033:4473, ack 2158, win 624, length 1440 15:56:02.938932 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6805, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x443c (correct), seq 2158, ack 3033, win 1024, length 0 15:56:02.939075 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6806, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x3ea2 (correct), seq 2158, ack 4473, win 1018, length 0 15:56:03.044580 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 528: (tos 0x0, ttl 119, id 6807, offset 0, flags [none], proto TCP (6), length 514) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0x3d6e (correct), seq 2158:2632, ack 4473, win 1018, length 474 15:56:03.070013 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 144: (tos 0x0, ttl 119, id 6808, offset 0, flags [none], proto TCP (6), length 130) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0x3bfb (correct), seq 2632:2722, ack 4473, win 1018, length 90 15:56:03.070207 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 63, id 31147, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->4e43)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x3dd6 (correct), seq 4473, ack 2722, win 658, length 0 15:56:03.165566 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 63, id 31148, offset 0, flags [DF], proto TCP (6), length 1500, bad cksum 0 (->488e)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0xa8b6 (correct), seq 4473:5933, ack 2722, win 658, length 1460 15:56:03.165600 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 1514: (tos 0x0, ttl 63, id 31149, offset 0, flags [DF], proto TCP (6), length 1500, bad cksum 0 (->488d)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x9260 (correct), seq 5933:7393, ack 2722, win 658, length 1460 15:56:03.165623 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 322: (tos 0x0, ttl 63, id 31150, offset 0, flags [DF], proto TCP (6), length 308, bad cksum 0 (->4d34)!) Virtual_IP.5443 >RECHNER_AUS_WAN.54441: Flags [P.], cksum 0x7e44 (correct), seq 7393:7661, ack 2722, win 658, length 268 15:56:03.171886 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 91: (tos 0x0, ttl 63, id 31151, offset 0, flags [DF], proto TCP (6), length 77, bad cksum 0 (->4e1a)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [P.], cksum 0x9868 (correct), seq 7661:7698, ack 2722, win 658, length 37 15:56:03.177706 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6809, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x36b4 (correct), seq 2722, ack 5933, win 1024, length 0 15:56:03.177900 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6810, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x2ff4 (correct), seq 2722, ack 7661, win 1024, length 0 15:56:03.183695 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6811, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x2fd0 (correct), seq 2722, ack 7698, win 1023, length 0 15:56:03.198998 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 528: (tos 0x0, ttl 119, id 6812, offset 0, flags [none], proto TCP (6), length 514) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0x16eb (correct), seq 2722:3196, ack 7698, win 1023, length 474 15:56:03.213318 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 144: (tos 0x0, ttl 119, id 6813, offset 0, flags [none], proto TCP (6), length 130) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [P.], cksum 0xc99d (correct), seq 3196:3286, ack 7698, win 1023, length 90 15:56:03.213632 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 63, id 31152, offset 0, flags [DF], proto TCP (6), length 40, bad cksum 0 (->4e3e)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [.], cksum 0x2ee8 (correct), seq 7698, ack 3286, win 691, length 0 15:56:03.272539 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 890: (tos 0x0, ttl 63, id 31153, offset 0, flags [DF], proto TCP (6), length 876, bad cksum 0 (->4af9)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [P.], cksum 0xebee (correct), seq 7698:8534, ack 3286, win 691, length 836 15:56:03.278779 00:0d:b9:40:00:7c > a4:60:32:00:80:c0, ethertype IPv4 (0x0800), length 91: (tos 0x0, ttl 63, id 31154, offset 0, flags [DF], proto TCP (6), length 77, bad cksum 0 (->4e17)!) Virtual_IP.5443 > RECHNER_AUS_WAN.54441: Flags [P.], cksum 0x8440 (correct), seq 8534:8571, ack 3286, win 691, length 37 15:56:03.284695 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6814, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x2a5b (correct), seq 3286, ack 8534, win 1020, length 0 15:56:03.290685 a4:60:32:00:80:c0 > 00:0d:b9:40:00:7c, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 119, id 6815, offset 0, flags [none], proto TCP (6), length 40) RECHNER_AUS_WAN.54441 > Virtual_IP.5443: Flags [.], cksum 0x2a36 (correct), seq 3286, ack 8571, win 1020, length 0 [/code] [/s]
-
Keiner mehr eine Idee?
Ich seh nur den unterschied, dass bei "flags" DF eingetragen ist bei Port 443 und über Port 5443 steht "none" dort.
-
Evtl. grätscht dir die WebUI der pfSense trotzdem dazwischen? Hast du mal geschaut, ob die nicht nur auf einem anderen Port läuft, aber auch die Port-Weiterleitung auf den anderen Port abgeschaltet ist? Ansonsten kann es sein, dass das noch falsch weitergeleitet wird?
-
HM Versteh ich nicht ganz. Also die WebGui läuft jetzt auf 444. Die erreiche ich über OpenVPN. Unter "Diagnostik -> Sockets" seh ich auch nirgends 443
USER COMMAND PID FD PROTO LOCAL FOREIGN root php-fpm 55254 11 udp4 *:* *:* root lighttpd 76748 11 tcp4 *:444 *:*
-
Okay…. jetzt bin ich verwirrt. Vom Handy funktioniert es. Komisch, auf der ersten IP hängt ein Exchange auch an 443, den und andere Webseiten erreiche ich. Muss ich mal schauen ob ich rauskriege woran das liegt.
Edit: Am Netzwerk liegt es nicht. Ich schätze es liegt daran, dass es kein FQDN ist (bisher) und das einfach kommentarlos vom Webbrowser geblockt wurde.
-
D.h., du gehst mit der IP auf Port 443??!
Wenn du mit einem Browser auf 443 (https) gehst, möchte dieser standardmäßig als erstes das Zertifikat vom Server sehen, ehe er irgendwas anzeigt. Dieses Zertifikat muss zum Hostnamen bzw. zur Hostadresse in der Adresszeile passen. Ich nehme an, dass dein Zertifikat auf einen Namen ausgestellt ist.
Passt das Zertifikat nicht, wird üblicherweise ein Zertifikatsfehler angezeigt. Ggf. kann man den Browser dazu überreden, die Seite dennoch zu laden.
Allerdings sehen das Problem neue Browser immer enger und möglicherweise macht das deiner nicht mehr, oder zumindest nicht in der aktuellen Sicherheitseinstellung. -
Firefox und Internet Explorer haben rein gar nichts angezeigt. Es lag am Zertifikat.
Zertifikatsfehler bekomme ich jetzt natürlich immer noch, da es nur ein selbst signiertes ist. Das ausgelieferte zertifikat hatte diese form im CN "Bla Bla Blub". Ohne punkte oder anderem Bezug zum hostnamen.