443 (SSL) für Outlook Web Access wird nicht weitergeleitet

Dieses Thema im Forum "Bintec" wurde erstellt von saggi, 22. Februar 2010.

  1. saggi

    saggi Starter

    Registriert seit:
    19. Februar 2010
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Hallo,

    ich habe direkt nochmal ein Problem mit dem R1200 (nun neuste Firmware).

    Wir haben seit ein paar Tagen unseren Exchange Server im Haus stehen.
    Nun müssen dafür natürlich Port weitergeleitet werden.

    Port 25 für den SMTP und 443 für Outlook Web Access.

    Die Mails kommen alle wunderbar an - also 25 funktioniert - doch 443 will er einfach nicht weiterleiten. Woran kann das liegen?

    Wenn ich die Adresse von außerhalb aufrufe, bekomm ich eine Fehlermeldung von Firefox etc.

    intern funktioniert Web Access aber!


    Wir haben auch das "Problem", dass der Router nicht von außen "pingbar" ist - er antwortet also nicht. Ports kann ich aber scannen (und dort ist dann 443 auch nicht offen).


    Das Problem bestand im übrigen auch mit der alten Firmware.

    hat jemand vielleicht eine Idee???

    MfG
     
  2. metager

    metager Fachmann

    Registriert seit:
    5. April 2008
    Beiträge:
    172
    Punkte für Erfolge:
    16
    Hi saggi,

    ja, die NAT verhindert erstmal jede Kommunikation von außen - auch Pings, wenn du die nicht explizit erlaubst.
    Du hast die Firewall aus?
    Diese Portweiterleitung sieht genau so aus wie die für SMTP, leitet also den externen Port 443 TCP mit automatischer externer IP an die interne IP deines Servers mit Maske 255.255.255.255 weiter?

    Gruß,
    metager
     
  3. saggi

    saggi Starter

    Registriert seit:
    19. Februar 2010
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Hallo,

    danke für die schnelle Antwort.

    genau so ist es eingerichtet. Bei der Firewall ist der Haken auf aktiv!

    Ich habe Port 80 und 443 auf den Server - so wie 25 auch - weitergeleitet.

    Router/Config


    Das ist mal ein Screenshot von der Config.
     
  4. metager

    metager Fachmann

    Registriert seit:
    5. April 2008
    Beiträge:
    172
    Punkte für Erfolge:
    16
    Hi saggi,

    sind in der Firewall irgendwelche Regeln drin?
    Grundsätzlich geht die Portweiterleitung, wenn sie richtig drin steht. Ich hab aber schon häufig gesehen, dass der Server nicht antwortet, weil man dann ja mit einer öffentlichen IP ankommt.
    Um zu sehen, ob der Router alles richtig macht, kannst du mal "debug all" auf der Telnet Konsole mitlaufen lassen, und dann hier rein posten.

    Gruß,
    metager
     
  5. saggi

    saggi Starter

    Registriert seit:
    19. Februar 2010
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Hallo,

    also es sind keine Richtlinien für die Firewall hinterlegt. Es sind eigentlich nur die NAT-Routen konfiguriert!


    Ich weiß nun aber leider nicht, wie ich von intern mit debug all testen soll?! Es wird sich in diesem Moment niemand versucht dort einzuwählen.
     
  6. metager

    metager Fachmann

    Registriert seit:
    5. April 2008
    Beiträge:
    172
    Punkte für Erfolge:
    16
    Hi saggi,

    dann wirst du mal per telnet Portweiterleitung von außen auf den Router müssen, und das testen.
    Der nächste Schritt wäre dann am Server Netzwerkinterface zu tracen, ob da die Anfragen ankommen, und beantwortet werden.

    gruß,
    metager
     
  7. grimmy

    grimmy Experte

    Registriert seit:
    7. November 2005
    Beiträge:
    258
    Punkte für Erfolge:
    16
    HI,
    du könntest mit einem online Portscanner testen ob die ports geöffnet sind.
    Davor loggst du dich am besten am Router ein und startest den debug all befehl. Dann zeigt er die die Syslogmeldungen auf der Console (telnet/putty) an.
    Am übersichtlichsten ist:
    debug all | grep 443

    Damit siehtst du alle meldungen die 443 enthalten.
    bitte paste die Ausgaben
     
  8. saggi

    saggi Starter

    Registriert seit:
    19. Februar 2010
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Hallo,

    ok, dass werde ich nochmal so testen. Kann ich nur leider erst heute abend machen.

    Was mir allerdings allgemein auffällt ist folgendes:

    Was für einen Schwachsinn macht er da? Die Gegenstelle im Netzwerk ist ein Netzwerkdrucker!
     
  9. grimmy

    grimmy Experte

    Registriert seit:
    7. November 2005
    Beiträge:
    258
    Punkte für Erfolge:
    16
    hm... da würde ich mir jetzt keine sorgen machen.
    Ich denke der Drucker scheint WINS Anfragen abzuschicken die dann mit NAT in eine ext. IP übersetzt werden.
    http://wiki.wireshark.org/NetBIOS/NBNS
     
  10. amigalover

    amigalover Stammgast

    Registriert seit:
    25. September 2008
    Beiträge:
    73
    Punkte für Erfolge:
    6
    hola saggi,

    auf dem Screenshot sieht es so aus, als wäre der 4. Eintrag "Benutzerdefiniert (TCP)" die Ursache. Wenn da echt nix Spezielleres angegeben ist, werden wohl die ganzen TCP-Pakete nach intern auf die 192.168.13.24 mit Port 987 weitergeleitet. Die Pakete kommen sozusagen garnicht bei der Regel "HTTPS (TCP/443)" an!

    Kontrolliere die Einträge ggf. mal über die Konsole (Setup Tool), was dort im NAT hinterlegt ist. Kannst den 4. Eintrag auch einfach mal löschen und gucken obs dann funzt.

    Gruß