Gelöst
Digitalisierungsbox Standard - HTTPS
vor 9 Jahren
Hallo zusammen!
Wir setzen bei einem Kunden eine Digitalisierungsbox Standard als VDSL-Router und ISDN-Gateway ein. Hinter der DigiBox ist eine Firewall geschaltet, welches das Netzwerk verwaltet. D.h., dass die DigiBox im Grund "nur" die Internet- und Telefonieeinwahl macht. Alle relevanten Netzwerkports für einen IPsec- VPN -Tunnel, ActiveSync oder Webserver werden direkt an die Firewall geroutet - funktioniert auch alles wunderbar.
Es gibt hierbei nur ein einziges Problem:
Für einen Tobit David Active Sync Zugriff verbinden sich die externen Clients (Notebook, Smartphone, Tablet) via https://feste-ip-adresse mit dem Server. Von extern funktioniert dies auch einwandfrei. Problem ist jetzt nur, dass wenn sich die Clients intern im WLAN befinden, den Server nicht finden, da der Port 443 dann direkt zur DigiBox geroutet wird. Dies ist auch nur beim Port 443 der Fall. Via Port 80 gibt es noch einen Webserver-Zugriff, der sowohl extern als auch intern im WLAN über http://feste-ip funktioniert.
Gibt es in der DigiBox-Konfiguration einen Punkt, der sich mit dieser "automatischen HTTPS-Weiterleitung" auseinandersetzt?
Vielen Dank im Voraus!
7201
13
Das könnte Ihnen auch weiterhelfen
vor 4 Jahren
in
482
0
3
368
0
3
vor 9 Jahren
Falls ihr das WAN und das interne Netz in der Digibox als "unsicher" deklariert habt, könnte eine Firewallregel für den Zugriff auf extern 443 fehlen. Was sagt denn das Logbuch der Digibox?
Wenn eure eigene Firewall das interne Netz verwaltet, könnte das Subnetz zwischen Digibox und Firewall in der Box als "Vertrauenswürdig" deklariert werden. Das spart doppelte Regelwerke.
Oder ist es so, das der interne Zugriff auf 443 fälschlicherweise statt zu Eurem Server zur Digibox geroutet wird? Dann ist die Digibox aber Unschuldig - oder? Das Routing macht doch dann Eure Firewall/ Euer Server...
11
Antwort
von
vor 9 Jahren
Das Routing ist richtig eingestellt...
Dann funktioniert es auch
Firewall-->Richtlinien n+1 vertrauenswürdige Schnittstellen --> Schraubenschlüssel
Bezüglich des Logs: Ich habe den Eindruck, das erheblich mehr Meldungen protokolliert werden, wenn ein externer Syslogserver konfiguriert wird.
Per default werden in der Box nur 50 Meldungen protokolliert. Den Wert kann man unter Globale Einstellungen --> System --> max. Anzahl der Syslogeintrage konfigurieren. Per ext. syslogserver kann der Loglevel auf debug gestellt werden. Da läuft dann einiges mehr auf.
Antwort
von
vor 9 Jahren
Wenn der Zugriff von extern funktioniert, nicht aber bei einem internen Zugriff über die externe Adresse, dann liegt es am fehlenden NAT Loopback. Nat Loopback ist standardmäßig bei der Digitalisierungsbox nicht aktiv.
Bitte macht die Einstellung für das WAN - Interface bezogen auf "vertrauenswürdig" wieder rückgängig. Denn es ist ja wohl nicht gewünscht, das im IPv6 das System wie ein offenes Scheunentor läuft. Nur interne Netze sollten als vertrauenswürdig gelten.
Antwort
von
vor 9 Jahren
Bitte macht die Einstellung für das WAN - Interface bezogen auf "vertrauenswürdig" wieder rückgängig. Denn es ist ja wohl nicht gewünscht, das im IPv6 das System wie ein offenes Scheunentor läuft. Nur interne Netze sollten als vertrauenswürdig gelten.
Bitte macht die Einstellung für das WAN - Interface bezogen auf "vertrauenswürdig" wieder rückgängig. Denn es ist ja wohl nicht gewünscht, das im IPv6 das System wie ein offenes Scheunentor läuft. Nur interne Netze sollten als vertrauenswürdig gelten.
Von WAN als vertrauenswürdig war nicht die Rede, sondern vom Subnetz zw. Box und interner FW .
Ich hatte es bisher so verstanden, das alles über interne/lokale IP's läuft, weil der Zugriff von aussen wohl via VPN (auf der eigenen FW ?) realisiert ist.
Damit wäre NAT-Loopback auch aus dem Spiel. Die Vertrauenswürdigkeit lässt sich darüber hinaus getrennt für IPv4 und v6 Schnittstellen einrichten.
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 9 Jahren
Wenn der Zugriff von extern funktioniert, nicht aber bei einem internen Zugriff über die externe Adresse, dann liegt es am fehlenden NAT Loopback. Nat Loopback ist standardmäßig bei der Digitalisierungsbox nicht aktiv.
Bitte macht die Einstellung für das WAN - Interface bezogen auf "vertrauenswürdig" wieder rückgängig. Denn es ist ja wohl nicht gewünscht, das im IPv6 das System wie ein offenes Scheunentor läuft. Nur interne Netze sollten als vertrauenswürdig gelten.
0
Uneingeloggter Nutzer
Frage
von