Pomoc Otwarcie portu 443 w mikrotik dla Qnap

[mawalach]

Witam,

mam problem z otwarciem portu 443 dla QNAP w mikrotiku chodzi żeby otwierał się w xxx.myqnapcloud w ssl. Problem polega na tym ze po jego otwarciu nie można wejsc na strony internetowe wyskakuje że połaczenie nie jest bezpieczne. Najlepsze że wtedy działa domena xxx.myqnapcloud w ssl. Jak wyłacze przekierowanie na ten port adresu qnap to wszystko wraca do normy oprócz domeny przez którą juz nie mogę zalogować sie do qnapa po ssl.
W mikrotiku w NAT otwieram port 443 dla adresu który dostaje qnap ale to blokuje mi dostęp do stron internetowych w services wyłaczyłem port 443.
Ma ktoś jakiś pomysł jak można to rozwiązac będę wdzieczny

 

[jerry1333]

IP -> Firewall -> NAT
Jako In Interface List podajesz listę interfejsów WAN lub In Interface podajesz interfejs WAN
To Addresses to oczywiście adres IP QNAP

IP -> Firewall -> Firewall rules
Nie zapomnij dodać reguły przepuszczającej port 443 przez firewall (action=accept)

albo (action=drop)

 

[mawalach]

Witam,
dziekuje za wzkazówke lecz to nie działa jak podam In Interface WAN jak tam nic nie ma to działa strona do qnap po ssl ale nie działaja strony www

Połączono posty: 11 Marzec 2023

Witam,
dziekuje za wzkazówke lecz to nie działa jak podam In Interface WAN jak tam nic nie ma to działa strona do qnap po ssl ale nie działaja strony www jak mam ustawione WAN to strony działają ale adres qnap po ssl już nie.

 

[jerry1333]

To wg. mnie masz zwaloną konfigurację MT lub robisz coś inaczej niż podano.
Konfiguracja działa, może być wymagane przekierowanie portu 80 jeśli nie wchodzisz od razu na stronę przez https, może drzeć japę o certyfikat ale działa.

Pokaż konfigurację interfejsów (interfejsy i listy interfejsów), konfigurację firewall-a (całego wraz z zakładką NAT) oraz QNAP (konfiguracja portów które chcesz przekierować oraz QFirewall jeśli używasz) - dane wrażliwe jak publiczny adres IP możesz zamalować.

 

[mawalach]

Przesyłam konfiguracje MT i Qnap QFirewal nie jest używany

Połączono posty: 11 Marzec 2023

Przesyłam konfiguracje MT i Qnap QFirewal nie jest używany

A jeżeli chce wejsc na strone poprzez https czyli https://xxx.myqnapcloud.com:8080 to chce mnie prziekierowac xxx.myqnapcloud.com/redirect.html?count=0.12084967506574507 i na tym się zatrzymuje. Jeżeli wpisze http:// to normalnie strona sie pojawia.

 

[jerry1333]

Ok, ja nie wime po co masz masquerade dla sieci wewn.
Zrobił bym tak:

 

[mawalach]

ok zrobiłem tak jak na załaczonych obrazku lecz dalej nie mogłem wejsc poprzez adres https://xx.myqnapcloud.com na kompie podłaczonego do tej samej sieci ale sprawdziłem na telefonie i ten adres działa po https:// wydaje mi się że coś dalej mam żle w MT jak wpiszę w sieci wew. adres http://xx.myqnapcloud.com wyskakuje mi panel logowania się do MT jak wpisze po https:// to mam xx.myqnapcloud.com/redirect.html?count=0.8531070154846598 i strona nie osiągalna.

Połączono posty: 11 Marzec 2023

ok zrobiłem tak jak na załaczonych obrazku lecz dalej nie mogłem wejsc poprzez adres https://xx.myqnapcloud.com na kompie podłaczonego do tej samej sieci ale sprawdziłem na telefonie i ten adres działa po https:// wydaje mi się że coś dalej mam żle w MT jak wpiszę w sieci wew. adres http://xx.myqnapcloud.com wyskakuje mi panel logowania się do MT jak wpisze po https:// to mam xx.myqnapcloud.com/redirect.html?count=0.8531070154846598 i strona nie osiągalna.

Czyli resumując adres działa po https:// z innej sieci nie działa w wew. strony www działają nie wyskakują błędy

 

[jerry1333]

No to pisz że nie działa z sieci lan. Zwykły nat tyczy się dostępu z zewnątrz <facepalm>
Hairpin NAT -> Hairpin NAT czyli łączenie w sieci LAN po publicznym adresie IP - Mikrotikon

 

[mawalach]

ok dodałem taka regułe w NAT i dalej to samo.

Połączono posty: 11 Marzec 2023

ok dodałem taka regułe w NAT i dalej to samo.

adres powinien być nie 192.168.88.254 tylko 192.168.88.230 bo to adres qnap pomyliłem ale dalej jest to samo.

 

[Usunięty użytkownik pigers]

a gdzie port ?

i pomóż sobie - dodawaj komentarze do reguł! to nie boli.

w lini poleceń dodawanie jest szybsze jak masz przykład:

/ip firewall nat
add action=masquerade chain=srcnat comment="Debian HTTPS hairpin" dst-address=192.168.88.219 dst-port=443 out-interface=bridge protocol=tcp src-address=192.168.88.0/24

 

[Silas Mariusz]

IMHO nie polecam używać harpin NAT. Lepiej używać local DNS i robić przekierowanie przez to.

 

[mawalach]

Dalej nie chce to zadziałać zrobiłem wedle instrukcji.

 

[Usunięty użytkownik pigers]

a masz jeszcze przekierowanie dla samego 443 ? bo to jest potrzebne ?

Połączono posty: 11 Marzec 2023

i sprawdzaj w trybie prywatnym przeglądarki (just in case).

 

[mawalach]

ok już wiem gdzie był problem jak był zaznaczony WAN to nie przepuszczało zostawiłem puste i teraz jest ok dziekuje za pomoc

Połączono posty: 11 Marzec 2023

sprawdziłem w trybie prywatnym i cos jest jeczcze nie tak dalej witryna nie osiągalna po odświerzeniu normalnego trybu przegladarki dalej to samo nie osiągalna.

Połączono posty: 11 Marzec 2023

ok już wiem gdzie był problem jak był zaznaczony WAN to nie przepuszczało zostawiłem puste i teraz jest ok dziekuje za pomoc

Połączono posty: 11 Marzec 2023

sprawdziłem w trybie prywatnym i cos jest jeczcze nie tak dalej witryna nie osiągalna po odświerzeniu normalnego trybu przegladarki dalej to samo nie osiągalna.

 

[Usunięty użytkownik pigers]

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 

 4    ;;; Debian HTTPS
      chain=dstnat action=dst-nat to-addresses=192.168.88.219 to-ports=443 protocol=tcp dst-address-type=local dst-port=443 log=no log-prefix="" 

 7    ;;; Debian HTTPS hairpin
      chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.219 out-interface=bridge dst-port=443 log=no log-prefix=""

miałem ten sam błąd w przeszłości, sprawdź każdą regułe po kolei - znajdziesz winnego (robiłem to X lat temu i zwyczajnie nie pamietam).
Wyłacz hairpin i 443 , włącz tylko 443 i sprawdzaj

 

[mawalach]

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic

 4    ;;; Debian HTTPS
      chain=dstnat action=dst-nat to-addresses=192.168.88.219 to-ports=443 protocol=tcp dst-address-type=local dst-port=443 log=no log-prefix=""

 7    ;;; Debian HTTPS hairpin
      chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-address=192.168.88.219 out-interface=bridge dst-port=443 log=no log-prefix=""

miałem ten sam błąd w przeszłości, sprawdź każdą regułe po kolei - znajdziesz winnego (robiłem to X lat temu i zwyczajnie nie pamietam).
Wyłacz hairpin i 443 , włącz tylko 443 i sprawdzaj

Sprawdzałem po kolei nie zlokalizowałem błędu wystarczy że włącze port 443 to nie można wejść na strony www można tylko na domene qnap po https://

Połączono posty: 11 Marzec 2023

Sprawdzałem po kolei nie zlokalizowałem błędu wystarczy że włącze port 443 to nie można wejść na strony www można tylko na domene qnap po https://

Oczywiscie mówie o porcie 443 dla adresu qnap czyli 192.168.88.230

Połączono posty: 11 Marzec 2023

Sprawdzałem po kolei nie zlokalizowałem błędu wystarczy że włącze port 443 to nie można wejść na strony www można tylko na domene qnap po https://

Połączono posty: 11 Marzec 2023

Oczywiscie mówie o porcie 443 dla adresu qnap czyli 192.168.88.230

I problem jest tylko w sieci wew. jak podłacze się do innego routera to wszystko działa

 

[Ice]

Dzień dobry.
@mawalach polecam kupić taką fajną przepaskę na czoło, biała z czerwonym kółkiem - bo jesteś kamikaze. Przepuszczać port 443 na Q?

 

[Usunięty użytkownik pigers]

a niby czemu nie ? lepsze to od 80 i 22 !

 

[mawalach]

Dzień dobry.
@mawalach polecam kupić taką fajną przepaskę na czoło, biała z czerwonym kółkiem - bo jesteś kamikaze. Przepuszczać port 443 na Q?

To jak to mżna to zrobić inaczej żeby działało poza siecią i w sieci?

 

[Usunięty użytkownik pigers]

@Ice - skoro sie tak przyczepiłes , to się tłumacz ;P