Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 5458 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access internal webserver via HTTPS

dknyinva
Hi,

I have a webserver sitting inside my LAN and I can't seem to connect from another PC or from the Internet.  My setup

Router --- ext ASG / int ASG --- switch --- LAN

The ASG is setup as transparent bridge and working fine.  What I can't/can do so far

1. from the PC hosting the webserver, I can bring up https://mywebserver.org
2. from another PC, I can't access neither using https://mywebserver.org or https://IPaddressofwebserver
3. Had a friend test by accessing https://mywebserver.org and couldn't

NOTE: I'm using DNS service from no-ip.org

I also have a port forward open on my router to go to the PC hosting the webserver

My ASG DNAT/PF setup

Src (Any) --- Service (HTTPS) --- Dst (IP of my router because ASG setup as transparent)
Src (Any) --- Service (HTTPS) --- Dst (IP of my webserver)

Could someone please tell me if I'm doing this right or I'm missing something?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    It's not clear from your post.  DNAT should be:

    Source IP: 'Any'
    Destination IP: 'External (Address)'
    Service: 'HTTPS'
    Destination Translation: [Internal IP of webserver]
    Service translation: [this must be left empty!]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    It's not clear from your post.  DNAT should be:

    Source IP: 'Any'
    Destination IP: 'External (Address)'
    Service: 'HTTPS'
    Destination Translation: [Internal IP of webserver]
    Service translation: [this must be left empty!]

    Cheers - Bob

    Thanks for replying.  I cannot set the dst IP to external addr. because it's setup as bridge. My only choice is internal IP addr. of the ASG (i.e. br0 interface - 192.168.50.100) or internal network (192.168.50.0/24).  I had it in reverse dst trans blk and serv trans as HTTPS.  I tried your suggestion above and reversed it and still unable to connect.

    I also changed the port forward on my router to the ASG br0 interface instead of the IP of PC hosting webserver.

    I search and found a thread that is similar setup, but only diff. is I'm using transparent bridge setup, so ext and int. is now br0.

    http://www.astaro.org/astaro-security-gateway/firewalling-routing-nat-masquerading-qos/22559-web-server-behind-firewall.html

    I've attached a PF live log and its showing packet drop.

    Thanks
  • 0 in reply to dknyinva
    Sorry, I didn't read your first post closely enough.

    Have you tried getting rid of the DNAT rule in the Astaro and restoring the port forward in your router to point directly to the webserver?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sorry, I didn't read your first post closely enough.

    Have you tried getting rid of the DNAT rule in the Astaro and restoring the port forward in your router to point directly to the webserver?

    Cheers - Bob

    Got rid of DNAT and restored port forwarding to the IP addr. of the webserver and still no access.  Although this time nothing shows up on the PF live log ref. packet drop.

    I do have a masq rule setup internal network (192.168.50.0/24) to internal interface

    Thanks again
Reply
  • 0 in reply to BAlfson
    Sorry, I didn't read your first post closely enough.

    Have you tried getting rid of the DNAT rule in the Astaro and restoring the port forward in your router to point directly to the webserver?

    Cheers - Bob

    Got rid of DNAT and restored port forwarding to the IP addr. of the webserver and still no access.  Although this time nothing shows up on the PF live log ref. packet drop.

    I do have a masq rule setup internal network (192.168.50.0/24) to internal interface

    Thanks again
Children
  • 0 in reply to dknyinva
    Check the log box for your packet filter rules that relate to this traffic:

    - (you mentioned above) Src (Any) --- Service (HTTPS) --- Dst (IP of my webserver)
    and
    - (I'm guessing)  Src (IP of webserver) --> Websurfing --> Dst (Any)

    What do you see - is the traffic reaching your webserver?  Is it responding?

    I glanced back at some of your posts from three weeks ago.  Do you have the HTTP proxy in transparent or standard mode?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Check the log box for your packet filter rules that relate to this traffic:

    - (you mentioned above) Src (Any) --- Service (HTTPS) --- Dst (IP of my webserver)
    and
    - (I'm guessing)  Src (IP of webserver) --> Websurfing --> Dst (Any)

    What do you see - is the traffic reaching your webserver?  Is it responding?

    I glanced back at some of your posts from three weeks ago.  Do you have the HTTP proxy in transparent or standard mode?

    Looking at the PF live log.  All traffic coming in from the Internet to the webserver are getting drop by default.  I have Orb running on the same IP and those addresses are getting drop by default.  I don't see any HTTPS traffic at all (using my iphone to emulate connect from outside connecting https://mywebserver). 

    I have the HTTP proxy in transparent mode.  I resolved this because of cabling issue.  I had a cable connecting from the switch to the router (this is why it was looping) and forgot to unplug it.  Once it was disconnect, HTTP proxy working perfectly in transparent mode. Content filter works great[:)]

    I've attached my PF rules for you to see.

    Thanks again
  • 0 in reply to dknyinva
    I'm wondering if my setup is doing double NAT.  The ASG setup as a transparent bridge (br0) and my router are both doing NAT and PF.  Someone here mentioned a possible solution https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/38730  "..With double NAT you could configure your first router to port forward everything to the Astaro.
    ...".  On my router I'm port forwarding all the services to the ASG, so hoping all I need to do is somehow forward to the internal PC hosting those services.....but not sure how to do it.

    Thanks
  • 0 in reply to dknyinva
    UPDATE - I was able to get at least something working.  On the same machine hosting my HTTPS webserver, I also have my media server accessing by http://mymediaserver[:P]ort.  After playing around with PF/DNAT on the ASG overnight, I was able to access my media server from my iphone (no wifi) by browsing to http://mymediaserver[:P]ort.  My PF/DNAT for my media server

    DNAT
    Traffic src: Any
    Traffic srv: definition with port#
    Traffic dst: Internal network
    Nat Mode: DNAT
    Destination: media server IP - 192.168.50.15
    Destination src: Blank
    Automatic filter rule: check

    PF
    Src: Any
    Srv: definition with port#
    Dst: My gateway IP - 192.168.50.254

    With the above setup

    I can access from the Internet
    I can access using IP addr. from LAN (http://192.168.50.15[:P]ort)
    I can't access using dns name from LAN (http://mymediaserver[:P]ort)

    Trying the same PF/DNAT for my webserver using HTTPS...no go

    Hoping someone could look at this and tell me why I can get HTTP traffic to my internal network, but can't get HTTPS traffic.

    Thanks for reading
Cookie Information Banner