"
habe den Fehler gefunden. Ich habe es zwar gefühlte 100mal kontrolliert, aber ich habe das NAT Reflection vergessen.
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#1
German - Deutsch / Re: Zertifikats Verlängernung auf internen Webserver funktioniert nicht
April 27, 2023, 01:49:50 PM #2
German - Deutsch / Zertifikats Verlängernung auf internen Webserver funktioniert nicht
April 25, 2023, 10:27:56 AM
Hallo liebes Forum,
ich brauche bitte wieder einmal eure Hilfe. Bei meinem ersten Versuch habe ich es geschafft, dass das Internet nicht mehr ging und alles Stillstand. Aber kurz zu meinem Problem. Ich habe wie unten dargestellt diese Infrastruktur und auf dem Server läuft ein IIS. Mit einem 3rd Partyprogram "Certify SSL", das am Server läuft wird das Zertifikat erstellt, damit der Onlineshop von extern auf die Daten am lokalen Server zugreifen kann und die Lagerstände, Preise usw. abzuholen. Das Zertifikat muss nun erneuert werden, funktioniert aber nicht mehr. Ich denke es liegt daran, dass das Certify SSL eine Namensauflösung des Shop macht (hier z.B. onlineshop.meineDomain.at). Diese bekommt dann die WAN IP und möchte auf den IIS zugreifen und das Zertifikat aktualisieren. Das geht dann leider nicht mehr und ich bekomme diese Fehlermeldung:
2023-04-25 10:18:05.566 +02:00 [INF] Validation of the required challenges did not complete successfully. Domain validation failed: onlineshop.meineDomain.at
91.112.xxx.xxx: Fetching http://onlineshop.meinedomain.at/.well-known/acme-challenge/o2McmZV29zylF29dqLTSxfjb10RGSLcGiKuJVXZlWHI: Timeout during connect (likely firewall problem) BadRequest urn:ietf:params:acme:error:connection
Wenn ich den Link von oben im Webbrowser eingebe, schaltet sich die Firewall ein:
A potential DNS Rebind attack has been detected.
Try to access the router by IP address instead of by hostname. You can disable this check if needed under System: Settings: Administration.
Leider kann ich das Zertifikat nur mit dem domainname verlängern. Jetzt war meine Idee, dass ich den Port 80 auf den Server leite, damit das durchgeht. Ich habe dann ein wenig gegooglet und in diesem Forum einen Thread gefunden, wo ich die Regeln übernommen habe:
NAT Rule
1. Firewall -> NAT -> Port forward -> Neue Rule
Source Interface: WAN
Source Proto: TCP
Soucre Address: *
Source Ports: *
Destination Address: WAN net
Destination Ports: 80
NAT IP: 192.168.1.xx
NAT Ports: 80
Firewall Rule
1. Firewall -> Rules -> WAN -> neue Rule
Protocol: IPv4 TCP
Soucre: *
Port: *
Destination: LAN net
Port: 80 HTTP
Dann stand alles. Es ging kein Internet, keine Bankomaten nichts mehr. Meine Frage Warum? Habe ich da etwas falsch gemacht? Ich habe leider Netzwerk technisch nicht so den Durchblick. Wie schaffe ich es, dass diese Programm Vertify SSL wieder zum internen IIS geleitet wird. Muss ich da eine andere Firewall Regel erstellen?
Ich hoffe, dass waren genug Informationen.
WAN / Internet
:
: A1 Telekom
:
.-----+-----.
| Modem | (A1 Modem)
'-----+-----'
|
WAN | IP 91.112.xxx.xxx
|
.-----+------.
| OPNsense
'-----+------'
|
LAN | 192.168.0.0/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
.------+--------.
| Server / IIS | IP 192.168.0.1
'-----+---------'
ich brauche bitte wieder einmal eure Hilfe. Bei meinem ersten Versuch habe ich es geschafft, dass das Internet nicht mehr ging und alles Stillstand. Aber kurz zu meinem Problem. Ich habe wie unten dargestellt diese Infrastruktur und auf dem Server läuft ein IIS. Mit einem 3rd Partyprogram "Certify SSL", das am Server läuft wird das Zertifikat erstellt, damit der Onlineshop von extern auf die Daten am lokalen Server zugreifen kann und die Lagerstände, Preise usw. abzuholen. Das Zertifikat muss nun erneuert werden, funktioniert aber nicht mehr. Ich denke es liegt daran, dass das Certify SSL eine Namensauflösung des Shop macht (hier z.B. onlineshop.meineDomain.at). Diese bekommt dann die WAN IP und möchte auf den IIS zugreifen und das Zertifikat aktualisieren. Das geht dann leider nicht mehr und ich bekomme diese Fehlermeldung:
2023-04-25 10:18:05.566 +02:00 [INF] Validation of the required challenges did not complete successfully. Domain validation failed: onlineshop.meineDomain.at
91.112.xxx.xxx: Fetching http://onlineshop.meinedomain.at/.well-known/acme-challenge/o2McmZV29zylF29dqLTSxfjb10RGSLcGiKuJVXZlWHI: Timeout during connect (likely firewall problem) BadRequest urn:ietf:params:acme:error:connection
Wenn ich den Link von oben im Webbrowser eingebe, schaltet sich die Firewall ein:
A potential DNS Rebind attack has been detected.
Try to access the router by IP address instead of by hostname. You can disable this check if needed under System: Settings: Administration.
Leider kann ich das Zertifikat nur mit dem domainname verlängern. Jetzt war meine Idee, dass ich den Port 80 auf den Server leite, damit das durchgeht. Ich habe dann ein wenig gegooglet und in diesem Forum einen Thread gefunden, wo ich die Regeln übernommen habe:
NAT Rule
1. Firewall -> NAT -> Port forward -> Neue Rule
Source Interface: WAN
Source Proto: TCP
Soucre Address: *
Source Ports: *
Destination Address: WAN net
Destination Ports: 80
NAT IP: 192.168.1.xx
NAT Ports: 80
Firewall Rule
1. Firewall -> Rules -> WAN -> neue Rule
Protocol: IPv4 TCP
Soucre: *
Port: *
Destination: LAN net
Port: 80 HTTP
Dann stand alles. Es ging kein Internet, keine Bankomaten nichts mehr. Meine Frage Warum? Habe ich da etwas falsch gemacht? Ich habe leider Netzwerk technisch nicht so den Durchblick. Wie schaffe ich es, dass diese Programm Vertify SSL wieder zum internen IIS geleitet wird. Muss ich da eine andere Firewall Regel erstellen?
Ich hoffe, dass waren genug Informationen.
WAN / Internet
:
: A1 Telekom
:
.-----+-----.
| Modem | (A1 Modem)
'-----+-----'
|
WAN | IP 91.112.xxx.xxx
|
.-----+------.
| OPNsense
'-----+------'
|
LAN | 192.168.0.0/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
.------+--------.
| Server / IIS | IP 192.168.0.1
'-----+---------'
#3
German - Deutsch / Re: 4 Standorte über IPSec verbinden
April 15, 2023, 07:29:53 PM
Hier sind Screenshots meiner Konfig von 2 Standorten. Ich kann auch noch gerne die anderen Standorte schicken, aber die sind alles gleich.
Leider hatte ich bis jetzt noch nie mehr als 2 Standorte mit IPSec S2S zu verbinden, deswegen bin ich mir auch nicht sicher, ob ich das richtig gemacht habe.
Leider hatte ich bis jetzt noch nie mehr als 2 Standorte mit IPSec S2S zu verbinden, deswegen bin ich mir auch nicht sicher, ob ich das richtig gemacht habe.
#4
German - Deutsch / 4 Standorte über IPSec verbinden
April 15, 2023, 09:02:15 AM
Hallo alle zusammen,
Ich habe ein kleines Problem, wo ich gerne ein wenig Hilfe benötige. Ich habe 4 Standorte, die alle miteinander verbunden werden müssen. also ich muss z.B. von Standort 1 auf 2,3,4 zugreifen können und von den anderen Standorten genauso auf alle anderen zugreifen.
Ich habe dafür auf jeden Standort jeweils 3 IPSec Site-to-Site Verbindungen zu den anderen Standorten aufgebaut.
Ich bin mir aber nicht sicher, ob dies der richtige Weg ist. Denn ich kann zwar von den jeweiligen Standorten auf die anderen zugreifen, habe aber das Problem, dass andauernd die IPSec Verbindungen unterbrechen. Das wirkt sich so aus, dass auf einmal ein Standort nicht mehr erreichbar ist, obwohl der IPSec "Connected" anzeigt.
Habe ich da in meiner Denkweise einen Fehler oder liegt es nur an einer Fehlerhaften Konfig? Da sich mit der Zeit die Unterbrechungen häuften, vor habe ich nur als Test, einen Dauerping in einer cmd von Standort A nach Standort C eingerichtet und seitdem habe ich keine Unterbrechungen mehr.
Ich hoffe, dass ich mein Problem erklären konnte. Kann es an der IPSec Konfiguration liegen? Das Bild ist zwar nicht meine Beste Zeichnung, aber es zeigt die derzeitige IPSec Konfig.
Ich habe ein kleines Problem, wo ich gerne ein wenig Hilfe benötige. Ich habe 4 Standorte, die alle miteinander verbunden werden müssen. also ich muss z.B. von Standort 1 auf 2,3,4 zugreifen können und von den anderen Standorten genauso auf alle anderen zugreifen.
Ich habe dafür auf jeden Standort jeweils 3 IPSec Site-to-Site Verbindungen zu den anderen Standorten aufgebaut.
Ich bin mir aber nicht sicher, ob dies der richtige Weg ist. Denn ich kann zwar von den jeweiligen Standorten auf die anderen zugreifen, habe aber das Problem, dass andauernd die IPSec Verbindungen unterbrechen. Das wirkt sich so aus, dass auf einmal ein Standort nicht mehr erreichbar ist, obwohl der IPSec "Connected" anzeigt.
Habe ich da in meiner Denkweise einen Fehler oder liegt es nur an einer Fehlerhaften Konfig? Da sich mit der Zeit die Unterbrechungen häuften, vor habe ich nur als Test, einen Dauerping in einer cmd von Standort A nach Standort C eingerichtet und seitdem habe ich keine Unterbrechungen mehr.
Ich hoffe, dass ich mein Problem erklären konnte. Kann es an der IPSec Konfiguration liegen? Das Bild ist zwar nicht meine Beste Zeichnung, aber es zeigt die derzeitige IPSec Konfig.
Pages1
