leidiges Thema: Port 80/443 Weiterleitung UDMPro

Es gibt 34 Antworten in diesem Thema, welches 13.412 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

    Hallo zusammen,


    gibt es eine funktionieren Lösung, wie ich der UDMPRo beibringen kann, die Ports 80 / 443 an intere Systeme weiterzuleiten ?


    Portweiterleitung eingerichtet

    externer Port: 80

    WAN1

    intern Port: 80

    internet IP: 10.....


    funktioniert nicht - timeout, Seite nicht erreichbar.

    ( hinter der IP hängt ein nginx-Proxymanager, der einwandfrei funktioniert und erreichbar ist )


    Ändere ich den Port extern auf z.b. 8080 und teste damit, funktioniert es.

    Das selbe mit 443, 443 geht nicht, ändere ich extern auf z.b. 4443 funktioniert es.

    Andere Portweiterleitung wie z.b. Wireguard funktionieren auch wunderbar.


    Tolle Kommentare im Netz, wie "bei mir funktioniert es" helfen da nicht wirklich weiter und die Supportseiten von Unifi sind auch teilweise offline.


    Hat jemand bei sich das ganze am laufen und kann mal sagen was er konfiguriert hat.

    Die Firewall-Regeln dafür werden ja automatisch angelegt und sind nicht einsehbar.

    Servus,


    also ich habe es bei mir auf der UDM Pro "Alte" GUI eingestellt siehe Bild.

    Ziel Adresse ist bei mir ein "Traefik" Reverse Proxy der alles an verschieden Ziele weiterleitet.

    LAN Firewall Regeln habe ich nur 2. Alle meine VLANs "OK" & Rest "Block".


    Ich denke es geht bei Dir auch, ist halt die Frage was das Ziel damit macht.

    Was hast da laufen, Traefik, NGINX, etc... oder direkt den "Service"?


    Zitat von grandor

    also ich habe es bei mir auf der UDM Pro "Alte" GUI eingestellt siehe Bild.


    Ich denke es geht bei Dir auch, ist halt die Frage was das Ziel damit macht.

    Was hast da laufen, Traefik, NGINX, etc... oder direkt den "Service"?

    jau, genau hab ich die auch angelegt.


    Bei mir läuft der nginx proxymanager in Docker - vergleichbar wie Traefik.

    Der Server ist auf Port 80 auch erreichbar über die interne IP, 443 eben noch nicht, weil genau dafür benötigte ich die Portweiterleitung um

    Let's encrypt Certificate einzubinden.


    Wie gesagt, ändere ich den externen Port auf z.b 8080 -> 80 funktioniert es darüber auch einwandfrie - nur 80 + 443 machen Ärger.



    EDIT: ich hab mal etwas rumexperimentiert und dabei TRACE gezogen:


    Die Request auf Port 80 und 443 von aussen kommen auf der UDMPro / WAN1 an, laufen dort aber gehen die Wand, gehen erst garnicht zum internen Netzwerk-Interface raus.

    Das selbe mit 8080 und 4443 mit entsprechender Weiterleitung laufen sauber durch zum nginx und werden beantwortet.


    Ich werde mal die Leute von Unifi damit nerven, die sollen mir mal erklären, was der Mist soll.

    Einmal editiert, zuletzt von Tuxtom007 ()

    Hi,


    Sorry, ist a weng viel - geb alles. Ist aber schwer ohne selber in der CLI zu sein. Geh im Kopf grad alles durch was mir einfällt.


    Also DDNS 8080 nach 80 geht und z.B. 8443 zu 443 auch.

    Hatte kurz an IPv6 Problem gedacht, aber es geht ja mit anderen Ports.

    Hast du eine Fritzbox? Hat die evtl. den Fernzugriff auf 443 eingestellt?

    Es klingt fast so als würde der 443er schon verwendet werden.


    Portscan im internen Netz mal machen.


    Du hast ein DDNS Provider, da hast ein DDNS Namen angelegt. "myname.ddns.com"

    Ich habe aber noch zusätzlich "CNAME" Records angelegt die auf mein DDNS Namen verweisen.

    Heißt für jeden Service einen, die brauche ich später in der Traefik/Nginx Konfig damit der weiß worauf er reagieren soll.

    bit.ddns.com z.B. Bitwarden

    next.ddns.com z.B. Nextcloud

    team.ddns.com - z.B. Teamspeak

    Checkliste:

    - interne IP 80 - ja/nein

    - interne IP 443 - ja/nein

    - DDNS 80 - nein

    - DDNS 443 - nein

    - DDNS 8080 - ja

    - DDNS 8443 - ja

    Firewall Linux:

    - ufw status (Ubuntu/Debain)


    Docker Netzwerk check - sehen die sich überhaupt

    - Linux Docker - 2x Netz

    - UDM VLAN LAN 192.168.x.x/xx

    - Extern Bridge Netz 172.18.0.0/24 für Container

    Container

    - Traefik/Nginx 172.18.0.0/24 und Docker IP:Port xxxx

    - z.B. Bitwarden 172.18.0.0/24 und Docker IP:Port xxxx

    - etc...


    Nginx config check:

    /etc/nginx/sites-available/default

    Passt da alles in der config - richtige CNAME eingetragen?


    Ich muss ehrlich gestehen dass ich wirklich kein Netzwerkspezialist bin und ich nur mit Hilfe vom Forum hier mich überhaupt getraut hatte auf Unifi zu wechseln.

    Daher schon Vorab um Entschuldigung falls ich jetzt blödsinn schreibe.

    Da steht bei dir WAN1 hast du eingerichtet.


    Ich habe bei mir auf Port 9 (=WAN1) der UDM-Pro meine Connectbox hängen welche im Bridgemodus läuft.

    ABER die ganzen Portweiterleitung sind bei mir nicht in WAN1 sondern in den Gateway Settings eingetragen.

    Da ich nur mit der neuen GUI arbeite (ich hatte das Glück/Pech zu einem Zeitpunkt in die Unifi Welt einzutauchen als die neue GIU kam, dh ich kann über die alte GUI gar nicht jammern da ich diese nie kennengelernt habe) hier sind bei mir in der neuen GUI die Weiterleitungen eingetragen,

    Network > Settings > Advanced Features > Advaned Gateway Settings > Port Forwarding



    Wenn dir das Weiterhilft und wie erwähnt sri falls das nicht zu Proxy/nginx passt.

    Aber mit diesen Einstellungen in meiner UDM-Pro werden meine benötigten LE Zertifikate autom alle 90 Tage vollautomatisch erneuert.

    Wenn du es probieren möchtest.

    Zitat von Kurt-oe1kyw

    Ich habe bei mir auf Port 9 (=WAN1) der UDM-Pro meine Connectbox hängen welche im Bridgemodus läuft.

    ABER die ganzen Portweiterleitung sind bei mir nicht in WAN1 sondern in den Gateway Settings eingetragen.

    Da ich nur mit der neuen GUI arbeite (ich hatte das Glück/Pech zu einem Zeitpunkt in die Unifi Welt einzutauchen als die neue GIU kam, dh ich kann über die alte GUI gar nicht jammern da ich diese nie kennengelernt habe) hier sind bei mir in der neuen GUI die Weiterleitungen eingetragen,

    Network > Settings > Advanced Features > Advaned Gateway Settings > Port Forwarding

    Das ist die selbe Seite, wie bei der alten Ansicht unter Firewall-Regeln.


    Zitat von grandor

    Hi,

    ...

    Ich habe zwar ne FritzBox, die läuft aber im BridgeModus, somit funktioniert der externe Zugrif darauf nicht.


    > Du hast ein DDNS Provider, da hast ein DDNS Namen angelegt. "myname.ddns.com"

    DDNS funktioniert, ich nutze Wireguard bereits darüber und das funkltioniert auch auf einen internen Server hinter der UDMPro

    Portweiterleitung ist dafür auch eingerichtet.


    > Ich habe aber noch zusätzlich "CNAME" Records angelegt die auf mein DDNS Namen verweisen.

    > Heißt für jeden Service einen, die brauche ich später in der Traefik/Nginx Konfig damit der weiß worauf er reagieren soll.

    soweit bin ich noch garnicht.



    Checkliste:

    - interne IP 80 - ja

    - interne IP 443 - ja

    - DDNS 80 - nein - geht nicht

    - DDNS 443 - nein - geht nicht

    - DDNS 8080 - ja

    - DDNS 8443 - ja

    Firewall Linux:

    - ufw status (Ubuntu/Debain) - nutze ich nicht



    > Nginx config check:

    > /etc/nginx/sites-available/default

    > Passt da alles in der config - richtige CNAME eingetragen? - ich nutze den nginx-proxymanager im Docker, da wird alles per WebGUI konfiguriert


    Ich sehe ja Request auf der UDMPro von der externen IP ( mein Handy ) reinkommen, nur die zerschellen dort irgentwo und gehen nicht an das LAN-Interface raus.

    Bei Änderung auf Port 8080/4443 gehen die sauber durch zum nginx und ich bekomme die Testseite von dem angezeigt.




    EDIT: hab gerade ein Ticket bei Unifi dafür aufgemacht, schliesslich kostet das Teil genug Geld, da sollen die auch mal Support liefern, wenn der Schrott nicht vernüftig funktioniert.

    Da es unzählige Beiträge dafür im Internet gibt, bin ich nicht der einzige, der das Problem hat.

    Einmal editiert, zuletzt von Tuxtom007 ()

    Zitat von Tuxtom007

    Die Request auf Port 80 und 443 von aussen kommen auf der UDMPro / WAN1 an, laufen dort aber gehen die Wand, gehen erst garnicht zum internen Netzwerk-Interface raus.

    Beste Aussage von allen damit kann man Arbeiten.

    Durch querlesen weis ich das die PORTS wohl LOCAL terminiert werden.

    Was immer das im Detail heißt lass uns versuchen das Rauszufinden.


    Allgemeine Vermutung:

    80 & 443 werden local behalten weil da ggf. das Gast Portal

    drauf läuft. Wenn deine PortForward Einträge nicht greifen

    heißt das im Prinzip das vorher schon für die GUI unsichtbare

    eintrage die Ports behandeln, oder die COnfig für die ports garnicht

    erst übernommen wird.


    Hoffe fragen FW regeln hast du / hast du nicht ? bzw werden angelegt ?

    evt. stuif berucht WAN LOCAL een freigäbe für Port 80/443 zu tätigen ?

    (was aber eigentlich falsch währe)


    Gut das alle nur mir linux und Wasser kochen und quasi immer noch alles

    über NETFilter läuft.


    Bitte:

    SSH auf aus due UDM ggf. in die shell wechseln.


    "iptables -t nat -L -n“


    Das sollte einen vollen Überblick geben was wohin weitergeleitet wird,

    Interessant ist das die „PREROUTING“ chain. bzw. da stehen oft nur

    Referenzen für die eigentlichen ketten drinnen. (gibt einfach alles)


    evt auch ein „iptables -L -n“ fürdie normalen Filterketten.


    evt. werden wie auf der USG auch Gruppen gebildet (port oder Netz Gruppen)

    Da listet ein "ipset list“ alles auf (viele Gruppen existieren sind aber leer, auf die Members achten)

    Der Unfi-Support ist schon großartig - solle die Regeln löschen, auf die neue UI wechseln und die dann nochmal anlegen.

    Wie zu erwarten, funktioniert so auch nicht :smiling_face:


    Ich gehe fest davon aus, das die UDMPro sich die beiden Ports krallt, wofür auch immer, die GUI läuft ja auf 8443.

    FW-Regeln für das Forwarding werden automatisch angelegt, ich hoffe die sind richtig, ich kann nicht reinsehen.

    Testweise habe ich aber mal selber an erste Stelle eine entsprechende Regel angelegt, ändert auch nichts.


    iptables - die regeln sind drin ( aktuell nur Port 80 angelegt, der UDP ist Wireguard und der funktioniert über selben DynDNS-Eintrag vom selbem Smartphone im D1-Netz.




    Zu den Gruppen: ja die werden auch angelegt, viele sind leer, viele sind Members drin, das sieht ok aus auf den schnellen, ersten blick

    Läuft die GUI nicht bei Unifi OS auf 443 und nicht mehr 8443? Ich habs so ähnlich laufen, allerdings mit der USG 4 Pro und da klappt das mit der Portfreigabe einwandfrei.

    Dein IPTABLES beinhaltet nur die User Ketten nicht die Dewulf ketten in der NAT Tabelle.

    ist also unvollständig.

    Zitat von Tuxtom007

    Ich gehe fest davon aus, das die UDMPro sich die beiden Ports krallt

    Eignes Portal, Gast Portal, what ever.

    Aber es müsse dann in der PostRouting was sein das explizit dafür sorgt das 80&443 auch local landen

    also ein acceppt or what ever und da bevor DEINE Forward regeln greift..

    In der „UBIOS_PREROUTING_USER_HOOK„ steht wohl deine regeln port 80 auf die 10.0.10.34:80


    Ich würde vermuten (mus ja) das die in der Eingangchain Chain PREROUTING aufgerufen wird

    aber genau da noch davor auch ein Behandlung für die Ports ist die dafür sorgt das deine Regeln

    schon nicht mehr greift...

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von gierig mit diesem Beitrag zusammengefügt.

    Zitat von jkasten

    Läuft die GUI nicht bei Unifi OS auf 443 und nicht mehr 8443? Ich habs so ähnlich laufen, allerdings mit der USG 4 Pro und da klappt das mit der Portfreigabe einwandfrei.

    Stimmt, du hast Recht, hab gerade auch mal nachschauen müssen, musste nämlich den Port in meinem Smarthome-Software löschen, damit die sich wieder verbindet.

    Dann müsste ich aber auf der WebGUI der UDMPro landen, bekomme aber einen Timeout


    Code
    Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNSFILTER  all  --  0.0.0.0/0            0.0.0.0/0
UBIOS_PREROUTING_JUMP  all  --  0.0.0.0/0            0.0.0.0/0

    Das ist durch aus möglich.


    Ich hatte gerade noch einen anderen bösen Verdächtigen - UPnP, meine NAS krallt sich auch die Port.

    Auf der UDM hab ich UPnP deaktiviert, brauche ich dort nicht.

    Aber hat nichts geändert.

    Ahh Salami Taktik, Infos kommen Scheibchen weise...


    es gibt also eine DNSFILTER und eine UBIOS_PREROUTING_JUMP chain die hier noch nicht gezeigt wurden.

    Mein tipp währe dann die UBIOS_PREROUTING_JUMP chain.


    Aber was hindert dich den einfach alles zu zeigen ? Geheime interne ip ? Nakige IP ?

    Aber egal... statt da weiter zu suchen und genau de Blöde regeln zu löschen...

    Lass deine Port 80 Regeln drinnen (da sie auch schon die Normale FW genauer in der forward chain aufmacht um das

    Ziel auch zu erreichen also hoffentlich) und tippe er


    iptables -t nat -I PREROUTING 1 -i ethX -p tcp --dport 80 -j DNAT --to 10.0.10.34:80


    ethX bitte dich dein WAN interface ersetzen, damit die regeln auch nur von extern greift.

    ggf das "-i ethX“ weglassen...


    Aber ja: es könnte auch sein das in derPOST routing Abteilung da Sachen umgebogen werden.

    Das ist dann aber die nächste Salami :smiling_face:


    Allgemein.. gibt es eine Regel kann sie auch gelöscht werden.....

    Zitat von gierig

    iptables -t nat -I PREROUTING 1 -i ethX -p tcp --dport 80 -j DNAT --to 10.0.10.34:80

    Auf die Idee bin ich auch gestern schon gekommen.

    Das funktioniert auch, aber das kann nicht Sinn und Zweck der Übung sein, das man bei banalen Dingen mit der Shell eingreifen muss, um Unzulänglichkeiten der Software auszubaden.


    Daher will ich von Unifi dafür eine Lösung haben oder mind. eine gute Erklärung, warum das nicht über die WebUI funktioniert - die verkaufen das Teil ja so.

    Kurze Frage dazu. Ich habe den Port 443 direkt zu meiner Nextcloud weitergeleitet. Wenn ich außerhalb meines LANs bin funktioniert der Zugriff auch. Sobald ich aber im LAN bin und die externe Domain Anspreche komme ich nicht zur meiner Nextcloud. Gebe ich die Interne IP an gehts natürlich. Muss man in der UDM Pro eine spezielle Regel hier noch aktivieren?

    Zitat von figo-deluxe

    Kurze Frage dazu. Ich habe den Port 443 direkt zu meiner Nextcloud weitergeleitet. Wenn ich außerhalb meines LANs bin funktioniert der Zugriff auch. Sobald ich aber im LAN bin und die externe Domain Anspreche komme ich nicht zur meiner Nextcloud. Gebe ich die Interne IP an gehts natürlich. Muss man in der UDM Pro eine spezielle Regel hier noch aktivieren?

    Greifst du über eine DynDNS-Adresse darauf zu ?


    Wenn ich meine DynDNS-Adresse von intern aufrufe - lande ich auf der Anmeldeseite der UDMPro - das ist nämlich das Problem, warum bei mir das Port-Forwarding nicht funktioniert


    Mal sehen was nun das Tier 2 Supportteam , welche mein Ticket bearbeitet, an Erkenntnissen aus den Daten zieht, die ich denen geschickt habe.

    Der First-Level hat schnel aufgegeben.

    Zitat von iTweek

    Erlaubt dein anbieter überhaupt port 80 u 433

    Warum sollte der das nicht tun.


    Das Problem liegt eindeutig bei der UDMPro - ich bekomms ja mit einem iptabels-Eingriff zum laufen aber das ist nicht die Lösung, wenn jede zweite Standart-Konfig nicht per WebUI zu machen sind, sondenr nur per Kommadozeile.

    Das ist aber ein guter Beweiss, das die Software der UDMPro absoluter Schrott ist - wie ich immer sage, die kann vieles, aber davon nichts richtig.

    Hallo,


    so richtig ist mir die Bedeutung des "Pro" hintendran auch nicht klar.

    Da geht Einiges (noch?) nicht, was teilweise der UCKP in Verbindung mit dem USG problemlos schafft.


    Wenn Du z.B. eine Fritzbox davor hast und doppeltes NAT fährst, solltest Du da Port 80 auf einen anderen Port in der UDM Pro freigeben und da dann den Port wieder "zurückbiegen" können.

    • Offizieller Beitrag
    Zitat von Tuxtom007

    Warum sollte der das nicht tun.


    Das Problem liegt eindeutig bei der UDMPro - ich bekomms ja mit einem iptabels-Eingriff zum laufen aber das ist nicht die Lösung, wenn jede zweite Standart-Konfig nicht per WebUI zu machen sind, sondenr nur per Kommadozeile.

    Das ist aber ein guter Beweiss, das die Software der UDMPro absoluter Schrott ist - wie ich immer sage, die kann vieles, aber davon nichts richtig.

    Deswegen bin ich auch von udm pro wieder weg gegangen. Hat nie richtig funktioniert. Bin ja auch wieder auf usg umgestiegen zum zweiten mal

    Zitat von Peterfido

    so richtig ist mir die Bedeutung des "Pro" hintendran auch nicht klar.

    Da geht Einiges (noch?) nicht, was teilweise der UCKP in Verbindung mit dem USG problemlos schafft.


    Wenn Du z.B. eine Fritzbox davor hast und doppeltes NAT fährst, solltest Du da Port 80 auf einen anderen Port in der UDM Pro freigeben und da dann den Port wieder "zurückbiegen" können.

    Ist doch ganz klar, das PRO steht für PROblematisch.


    Fritzbox läuft im BridgeModus, daher kein doppeles NAT vorhanden.

    Die Request kommen ja auf der UDM / WAN-seitig rein, nur werde 80 & 443 nicht weiteregeleitet, vermuttlich da intern noch das UDM-eingees Webinterface drauf liegt. Jeder andere Port funktioniert ja problemlos.

    Hab dne Unifi-Leute ja sogar TCPdumps davon geschickt, aber verstanden haben die die wohl nicht.

    Mit einer zusätzliche iptables-Regel auf der Kommadline lässt sich das auch zum laufen bringen, aber das ist dann wieder so eine Bastellösung, die ich keine zumuten will.


    Port 443 ist mir noch egal, aber 80 brauche ich für Let-encrypt Certificate, da lässt sich nichts umbiegen - der wird dann eh nur fürs Update der Certificate geöffnet und sonst bleibt der dicht - Zugriff mache ich über VPN ( was ja auch mit der UDMPro ein Witz ist, hab mich da auch für WireGuard auf einer VM entschieden, 20min lief das Teil )


    Zitat von iTweek

    Deswegen bin ich auch von udm pro wieder weg gegangen. Hat nie richtig funktioniert. Bin ja auch wieder auf usg umgestiegen zum zweiten mal

    Bei mir wird es PfSense oder OPNSense werden - leider ist die Lieferbarkeit von passenden, lüfterlosen Mini-PC's da gerade recht eingeschräänkt.