Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 18499 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

remote access port 4444

antonvdh
Internaly I can without any problem access Astaro with :

https://mydomeinname:4444

Why is did not possible  externaly.


This thread was automatically locked due to age.
  • 0 in reply to antonvdh
    Hey all,

    i have the same issue i put my office IP and/or dns name and it is not working firefox give me a problem loading page .... 

    to summarize i put this in allowed network : internal (network) + my office dns name (which resolve correctly with good address) + my cisco vpn pool

    i'm 500 % sure of my office ip address for outgoing conncection  so my guess is to i have to allow also my external (wan) (address) to the list ? 

    or is it a security risk ? i'm asking cause i won't be able to test before days ... 

    Cheers
  • 0
    @kernel_wall:  
    i have to allow also my external (wan) (address) to the list ? 
    No, the allowed networks list has to have the source that the request is coming from.  If you want WebAdmin to be accessible from anywhere on the internet, you have to use the Any or Internet definition objects.  

    i put this in allowed network : internal (network) + my office dns name (which resolve correctly with good address) + my cisco vpn pool
    With what you've described, you would be able to access WebAdmin from your internal LAN or from a client connected using the Cisco VPN type only.

    Are you trying to test this from outside of your LAN and are you using FQDN or IP address?
  • 0 in reply to Scott_Klassen
    @kernel_wall:  No, the allowed networks list has to have the source that the request is coming from.  If you want WebAdmin to be accessible from anywhere on the internet, you have to use the Any or Internet definition objects.  

    With what you've described, you would be able to access WebAdmin from your internal LAN or from a client connected using the Cisco VPN type only.

    Are you trying to test this from outside of your LAN and are you using FQDN or IP address?


    @Scott:

    I can acess it trough my vpn but i also need it without being conencted to vpn. 

    I tried using my Public ip address and the dns name which match ith my ip address.

    Cheers
  • 0
    @kernel_wall:  Did you add either the built-in Any or Internet definition objects to the Allowed Networks list?  See attached screenshot.  If you're list has other types of objects, such as interfaces, post a screenshot.
  • 0 in reply to Scott_Klassen
    Hey Scott,

    Sorry for this huge late answer.

    i tried yesterday with any as allowed and it worked from everywhere ... but for me it is not what i need ..... how can we explain this .... allowing 1 external IP address don't work but allowing ANY works [:S]
  • 0
    Yes, allowing a single IP works.  I've done this many times to allow targetted administration from a single remote location.  

    Possibly what we are dealing with then is a misconfigured network definition object.  If you want to define the remote system by IP Address, then the definition needs to use the Host type.  If you want it to be a self resolving FQDN, then it needs to be set as the DNS Host type.  Extremely Important:  No matter what type you set, leave the Interface setting at the default > setting.

    Sending you a PM.
  • 0 in reply to Scott_Klassen
    I did everything you told me except the ANY type [:)]

    i will check the MP thx
  • 0 in reply to kernel_wall
    Some other info for you guys -- sometimes an ISP will block port 4444 --- they will deny they are, until you provide evidence to the contrary.  I had a skirmish with our primary ISP the other day, when I found that I could no longer connect to 2 different customers, on 2 different ISPs, that had their ASG's Webadmin set to port 4444 (for customers we install / setup / manage, we change that default to something else during setup).  I argued and argued ... and finally they found that a new router they had installed on their end had a "mystery" ACL list in it... and TCP port 4444 was on the list.

    They could not explain how / why it was there... I strained my tired memory to remember why we change those managed customer's ASGs to another port (I don't really believe in security via obsufucation), and then I remembered a Worm, at some point in the last decade, used that port, and ISPs when hog-wild blocking the port.  A little research revealed it was the old "BLaster" worm that used port 4444.  I guess what happened is the engineer that put this last router in had an ancient tome of an install document that recommended adding that ACL.  Anyhow, the ISP removed the ACL, and all is well again.
  • 0
    4444 is also blocked at my office, apparently because of a Cisco malware ACL (for Blaster). 

    Barry
  • 0 in reply to BarryG
    in my case it is not blocked cause if i put any it works.

    i will leave it like this and i will VPN in in order to manage it....