Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1284 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

cannot connect extern -> webserver in dmz (https)

Juergenw
Hi,
I have two problems (asl 5.022):

1. Problem: connect extern -> dmz-webserver:
I'm unable to connect to my webserver in the dmz from extern (neither public-ip nor dyndns) using https.
The configuration is:
3 NICs
intern: 192.168.2.0/24 (eth0: 192.168.2.1)
dmz: 192.168.3.0/24 (eth1: 192.168.3.1)
extern: dynamic via ISP
webserver in dmz: 192.168.3.2 (wie-www), gw: 192.168.3.1
pc in internal: 192.168.2.1 (wie-win), gw: 192.168.2.1

so each machine in the two subnets points to the firewall nics.

Two entries in Network>>NAT Masquerading:
A. from internal network -> extern (working):
dslmasq   Internal (Network) -> All / All   MASQ__extern   None
B. from extern -> dmz (problem):
dmzdnat  
rule-type: DNAT/SNAT
packages to match: source-address: any, destination-address: extern (address), service: https, 
change source to: Adress ::no change::
change destination: address: wie-www, service-destination: ::no change::

and a packet-filter rule:
source, service, action, destination
Any, HTTPS, allow, wie-www 

when logging in to dyndns it tells the correct ip-address of my public-up. I changed the port of webadmin from https to another unused port, so it cannot be in conflict to the https-port of the dmz-webserver.

2. Problem: ssh-connect from intern -> wie-www (dmz)
configured rule ssh allow intern -> wie-www
but cannot connect. tried it with ping from firewall:
firewall (192.168.3.1)  wie-www (dmz) (192.168.3.2) working
firewall (192.168.2.1)  pc (internal) (192.168.2.2) working
pc (internal)  wie-www (dmz) not working

this problem is a routing problem from 192.168.2.0 -> 192.168.3.0 and back. But I don't know how to setup using asl-tools and not using route add ....

Thank you very much for help.
Regards, Juergen


This thread was automatically locked due to age.
Parents
  • 0
     [ QUOTE ]
    tried it with ping from firewall:
    firewall (192.168.3.1)  wie-www (dmz) (192.168.3.2) working
    firewall (192.168.2.1)  pc (internal) (192.168.2.2) working
    pc (internal)  wie-www (dmz) not working

    this problem is a routing problem from 192.168.2.0 -> 192.168.3.0 and back. But I don't know how to setup using asl-tools and not using route add ....  

    [/ QUOTE ] 

    You should not have a routing problem. Because both networks are directly attached to ASL NICs the routing will be created automatic.
    Check also \Network\Routing\View raw Kernel Routing Table
    Your ping problem seems to be solved with \PacketFilter\ICMP there you can set the settings for your need. After testing don't forget to switch them back ;-)

    Your HTTPS problem:
    Everything you did seems O.K, so it should work. Normally you don't need to change WebAdmin port.
    But who is allowed to access WebAdmin ? Did you left the default setting ANY ?
    Then change it and allow only your Internal_Network.
    This is more safe and you avoid port conflicts also.

    Your SSH problem:
    Did you check packet filter log ?
    Enable logging to your SSH rule so you can see if traffic flows or not.

    Karsten
Reply
  • 0
     [ QUOTE ]
    tried it with ping from firewall:
    firewall (192.168.3.1)  wie-www (dmz) (192.168.3.2) working
    firewall (192.168.2.1)  pc (internal) (192.168.2.2) working
    pc (internal)  wie-www (dmz) not working

    this problem is a routing problem from 192.168.2.0 -> 192.168.3.0 and back. But I don't know how to setup using asl-tools and not using route add ....  

    [/ QUOTE ] 

    You should not have a routing problem. Because both networks are directly attached to ASL NICs the routing will be created automatic.
    Check also \Network\Routing\View raw Kernel Routing Table
    Your ping problem seems to be solved with \PacketFilter\ICMP there you can set the settings for your need. After testing don't forget to switch them back ;-)

    Your HTTPS problem:
    Everything you did seems O.K, so it should work. Normally you don't need to change WebAdmin port.
    But who is allowed to access WebAdmin ? Did you left the default setting ANY ?
    Then change it and allow only your Internal_Network.
    This is more safe and you avoid port conflicts also.

    Your SSH problem:
    Did you check packet filter log ?
    Enable logging to your SSH rule so you can see if traffic flows or not.

    Karsten
Children
  • 0 in reply to KKnecht
    thank you for reply, Karsten. 

    Two big OUPS !

    1. https extern/intern -> wie-www (dmz)
     Shame on me for the webserver-access-problem. After snooping on the le0 of wie-www I figuered out, that there is a routing problem. It was not in asl but in /etc/defaultrouter of wie-www to my old router ;-) So now I'm able to connect direct from internal and external -> dmz using https. perfect!

    2. ssh internal -> wie-www (dmz)
    After I found the first problem it was a good idea to verify all again and finally I found also the old ip-address of wie-www in my hosts of the windows-system. And when connecting via putty I entered, as you can imagine, the hostname ;-)

    So, after two days of stupid searching I solved both problems in 10 minutes by using my brain. Thanks for your tips.

    best regards,
    Jürgen