Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 7191 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access WebAdmin remotely

nloding
Perhaps this is a dumb question, or perhaps I've overlooked something in the documentation, but here's what I want to do and can't figure out how (if it's even possible):

I want to access the WebAdmin interface from the WAN.

I don't need a VPN connection to my LAN, or any access to my LAN ... just from the outside world to the WebAdmin interface.

Is that possible?  If so, how?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to ClausP
    Claus, it sounds like nloding wants to have a VPN connection that only tunnels to the EXT interface.

    Nloding,
    You could set up a tunnel, with the only PF rule allowing access to (any) one of the ASL interfaces.

    Barry
  • 0 in reply to BarryG
    I think Claus has it ... I'll try tonight and see what happens.
  • 0 in reply to nloding
    Well, that didn't do it.  I have for Allowed Networks: ANY.

    What I want to be able to do is ... say I'm at a coffee shop.  I want to go to my browser, type https://MY.WAN.IP.ADD:4444/ or whatever and hit the WebAdmin interface.  Don't need access to the LAN ... just the WebAdmin interface.
  • 0 in reply to nloding
    I would not open my Astaro Interface to the outside world! Use a vpn and then connect from the inside for security sake...
  • 0 in reply to nloding
    nloding, that should have worked.

    Is it possible that the location you were at wasn't allowing traffic on port 4444?

    Barry
  • 0 in reply to BarryG
    Just to make certain nloding. The Astaro is your perimeter device, right? You don't have any sort of other firewall between it and your WAN?
     
    I believe that the Astaro SSL VPN is based on the OPENVPN project. There's a portable version of the client at http://sourceforge.net/projects/ovpnp/ . If the Astaro VPN config files will work with it, this may be the solution you want so you can get to your webadmin interface from public computers (shudder) by running it from a USB key.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    It's possible that 4444 was blocked, but I don't think so.  Is there a way to change that port?

    Also, yes, it is a perimeter device ... Cable modem > eth0 on Astaro box ... eth1 > 16-port switch for LAN.
  • 0 in reply to nloding
    Yep, the WebAdmin port is easy to change.  Management>WebAdmin Settings>General Tab>WebAdmin TCP Port.  
     
    OK, the reason that I asked is that alot of DSL providers (not sure about cable) give their customers a combo modem/router/cheap firewall box.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    I tried accessing it from several more ISPs, and it failed.  I will change the port and try again.  Is there anything that needs to be set except:

    Management/WebAdmin Settings/Access Control/Allowed Networks > ANY
  • 0 in reply to nloding
    Shouldn't be. Maybe it just needs to be more specific than any. I've noticed some odd things with default packet filter rules and any.
     
    Are you even seeing a connection attempt in any of the logs when you try to connect to WebAdmin externally? I've got log access traffic checked, but am not certain in which log file this info gets stored. Maybe download some of the logs just after you've tried a connection, then grep through them looking for the IP you tried connecting from. If you use windows, there's a nice free version called baregrep. www.baremetalsoft.com/baregrep . 
     
    As a test, create a new host definition with your home IP Address. I realize that you probably have a dynamic address, but it shouldn't change too often. Then add that host to the allowed networks for WebAdmin. This worked for me the other day when I needed to allow astaro support remote access to my system (although I also had to open up ports 443 and 4444 when the source was astaro supports IP and the destination was the astaro box in my perimeter firewall).
     
    Another possible thought. Is the machine your trying to connect from a Vista box? If so, Vista has an advanced firewall option that blocks outgoing connection attempts. If this is what's going on, you may need to create a rule to allow port 4444 outbound.
     
    Edit: I RTFM. If you check the box for logging webadmin access traffic, it puts the data into the packetfilter log. [:)]  Now the live log is a bit different from the downloadable one.  In the live log it will actually be listed as WebAdmin access.  In the "historical" log, it will look like the following:
     
    [SIZE=2]2007:07:12-17:24:16 (none) ulogd[2484]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="60006" initf="br0" dstmac="00:00:00:00:00:00" srcmac="00:00:00:00:00:00" srcip="111.111.111.111" dstip="111.111.111.111" proto="6" length="64" tos="0x00" prec="0x00" ttl="113" srcport="21524" dstport="4444" tcpflags="SYN"
     
    MAC and IP address have been obfuscated to protect the guilty.  Notice the dstport="4444".  If you can't remember your dynamic home IP, this would be an OK search parameter to find attempted WebAdmin accesses.  For action mine says accept, which is good.  If yours say denied, then it means there is something in your Astaro config holding things up.  If you don't have anything inbound for port 4444, it means that your connection attempt is being blocked before it even gets to Astaro. 
     
    Good luck.
    [/SIZE]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Cookie Information Banner