Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 624 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WebAdmin lock out after DNAT ?

umberto
Hi all
I've set up the following on a ASL V4.021 in order to configure access to outlook web access (owa) (excange server):

- the exchange server has a private IP address
- the external IF has a public IP addr.
i have put a DNAT rule for HTTP and HTTPS traffic, example for the http rule:

source: any
destination: external_IF_IP_addr
protocol: http
change source to: no change
change destination to: exchange_IP_addr (private IP)

i've set up the same rule for https protocol, and now i am locked out from the FW (I did this during remote administration, i.e. I was logged in from a public IP on the external IF). I've also set up packet filter rules but they are NOT activated. now when I try to connect I get a "connection refused", I can't ping the FW because PINGing is disabled on the FW, but resolving the IP address shows that it is probably still running.

I'll try to go on-site and connect to the FW from internal_IF (LAN), that hopefully works.

question: is my assumption true? I guess that because of the HTTPS DNAT rule, when I try to make a https-connection to the external_IF_IP, I get DNAT-ed instead of seeing the WebAdmin GUI. is this possible?   


This thread was automatically locked due to age.
  • 0
    Yes, it looks like you have succeeded in routing all of the HTTPS traffic away from the ASL box, so that you can no longer access Webadmin from the external interface

    In order to avoid conflicts between the Webadmin HTTPS service and other HTTPS services, I would suggest moving the other HTTPS service to another port number. You can do that using the following method, which moves the HTTPS webmail to port 1443:

    Create a service definition:

    HTTPS-1443  using TCP port 1443

    Create a SNAT rule as follows:

    Source: Any
    Destination: External_interfacer
    Servicel: HTTPS-1443
    Change source to: no change
    Change destination to: exchange_IP_addr
    Service destination: HTTPS

    Such a rule would look like this:

    WebMail-S  Any -> External_Interface__ / HTTPS-1443  None exchange_IP_addr / HTTPS

    Another alternative is to simply disable the use of Webadmin on the External interface, leaving the external interface free to send the HTTPS (port 443) traffic elsewhere. You would then have to open a PPTP  tunnel first, and then do your HTTPS access to Webadmin inside of the tunnel in order to use Webadmin from outside of the local network.