Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 2254 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG220 8.309 Port 443, DNAT to other internal web server

kalleyne
Good day.

We are using an old ASG220 appliance. We would like to forward port 443 to an internal server.

The documentation describes the process of moving the User Portal to another port (e.g., 1443). We tried this and also disabled the User Portal. We also disabled SSL VPN. However, the DNAT rule that we created still does not appear to work.

Please, we would like some solid suggestions on how we should proceed.

Any suggestions?

Thanks.

Keri


This thread was automatically locked due to age.
  • 0
    Hi, 

    1. please post a screenshot of your DNAT and any associated Firewall Rules.

    2. Also, please post any relevant log entries from the Firewall and IPS logs.

    3. are you using the WAF?

    4. when you say the DNAT isn't working, what happens? Time Out?

    Barry
  • 0
    In addition to Barry's requests, please check the Host definition for the internal server and confirm that it has 'Interface: >' - that it is not bound to an interface.

    Also, did you not have an additional public IP that you could have used as an Additional Address on the External interface instead of the IP of "External (Address)?"

    Cheers - Bob
  • 0 in reply to BarryG
    1. Ok, DNAT screenshot posted.

    2. Log screenshot posted

    3. Please excuse my ignorance, can you define WAF?

    4. Using an outside Linux host, I try to telnet (port 443) to the external IP address of the Astaro. No connection ever seems to happen. In addition, using GRC Shields Up shows that port 443 is stealthed.

    Thanks.

    Hi, 

    1. please post a screenshot of your DNAT and any associated Firewall Rules.

    2. Also, please post any relevant log entries from the Firewall and IPS logs.

    3. are you using the WAF?

    4. when you say the DNAT isn't working, what happens? Time Out?

    Barry
  • 0 in reply to BAlfson
    Hello.

    The original host definition was bound to the internal interface. I've changed that now to >. Please see attachment.

    It is possible for us to use an additional public IP address. How would we then use this to accomplish "port forwarding" to an internal host at port 443?

    Thanks.

    In addition to Barry's requests, please check the Host definition for the internal server and confirm that it has 'Interface: >' - that it is not bound to an interface.

    Also, did you not have an additional public IP that you could have used as an Additional Address on the External interface instead of the IP of "External (Address)?"

    Cheers - Bob
  • 0
    The request is marked as Dnat, and your config is ok! I am not sure about pinging that host from asg or firewall of that host!

    We have to make a good disscusion why host's should be leaved in "any" interface while is only one internal and no vlans etc. This will spent more time to asg to resolve that host but asg will reach that host if there is fault in config of vlans and dmz. Thinking like this, less tikens to be opened, but more time to resolve hosts
  • 0 in reply to Ol Deda
    I'm not sure that I fully understand.

    You're saying that the config is ok. But still this doesn't work. Am I missing something or is there a bug somewhere?

    Thanks.


    The request is marked as Dnat, and your config is ok! I am not sure about pinging that host from asg or firewall of that host!

    We have to make a good disscusion why host's should be leaved in "any" interface while is only one internal and no vlans etc. This will spent more time to asg to resolve that host but asg will reach that host if there is fault in config of vlans and dmz. Thinking like this, less tikens to be opened, but more time to resolve hosts
  • 0 in reply to kalleyne
    This is all working correctly now.
    It seem that in the fray of trying to solve the problem, we forgot to reset the use of port 443 on the DNAT target machine.

    Everything looks good now.

    Thanks for the help everyone.

    I'm not sure that I fully understand.

    You're saying that the config is ok. But still this doesn't work. Am I missing something or is there a bug somewhere?

    Thanks.
  • 0
    Having the "SW vm test guest" bound to the Internal interface was the reason for your routing problem.

    Normally, in a situation like this, I would have left all of the other standard port 443 settings as is.  On the 'Additional Addresses' tab, I would have created an Additional Address (for examplle) named "SW Server" with IP 72.X.Y.86/32.  In the DNAT, the 'Traffic Destination' would have been "External [SW Server] (Address)" and, since it was unchanged, I would have left 'Destination Service' empty.

    Cheers - Bob