UDM Pro und Webserver in VLAN

Hallo zusammen,

ich habe auf meiner UDM Pro mehrere Netzwerke eingerichtet. Neben dem Default-Netzwerk (192.168.2.x) existieren weitere Netzwerke/VLANs nach dem Schema 192.168.VLAN-ID.x

So habe ich z.B. ein VLAN60 eingrichtet, um dort Server bzw. Rechner/VMs die irgendwelche Dienste anbieten zu gruppieren.

Die VLANs sind nach den Firewall-Anleitungen die man hier finden kann voneinander separiert. Aus dem Default-Netzwerk darf auf alle VLANs zugegriffen werden. Außerdem gibt es noch ein paar Regeln die Ausnahmen für den Zugriff zwischen den VLANs definieren.

Nun zu meinem eigentlichen Problem:

Ich setze im Server-VLAN (VLAN60) einen Webserver auf und mache diesen über Port-Forwarding (80, 443 -> IP Webserver) erreichbar. Der Webserver ist über HTTP erreichbar. Der Versuch sich ein LE-Zertifikat ausstellen zu lassen scheitert.

Wenn ich den Server im Default-Netzwerk aufsetze funktioniert alles wie gewünscht. An dieser Stelle bin ich ratlos und weiß nicht, wo ich nach dem Fehler suchen soll/kann.

Hat jemand eine Idee bzw. Vermutung und schubst mich bitte in die entsprechende Richtung?

Danke vorab.

Zitat von noexpand

Ich vermute, dass deine Firewall die Ports 80 oder 443 im Default-Netz anders behandelt als im 60er Netz.

Das vermute ich auch. Nur - warum?

Zitat von maxim.webster

Scheitert nur die Beantratung eines LE-Zertifikates oder ist der Server via https gar nicht erreichbar?

Ich hab den gleichen Setup (hab mein VLAN vollmundig als "DMZ" bezeichnet), bin gerne bereit zu helfen.

Vielleicht zum besseren Verständnis: installiert ist ISPConfig

Den Server kann ich erreichen über http://192.168.60.99 nicht aber über https://192.168.60.99 - Die Nichterreichbarkeit über Port 443 kann ich mir ja noch erklären: Ist ja auch noch kein SSL-Zertifikat angefordert worden bzw. installiert.

Die WebGUI von ISPConfig lässt sich über https://192.168.60.99:8080 erreichen (hier funktioniert der Zugriff über Port 443 da ein Self-Signed Zertifikat vorhanden ist.

In der UDM Pro habe ich unter Port-Forwarding eine Firewall-Regel welche die Ports 80 und 443 auf die IP 192.168.60.99 leiten soll.

Ebenfalls ist das Netzwerk Server mit der VLAN ID 60 in der UDM Pro angelegt.

Bei meinem DNS-Anbieter Cloudflare existiert ein Eintrag für meinen Server und ich kann diesen auch per Ping erreichen.

Ich kann mir nicht erklären, warum im Default-Netz alles funktioniert wie es soll und im VLANXX nicht.

Zitat von noexpand

Ich muss präziser Formulieren, tut mir leid. Was ich eigentlich sagen wollte ist: ich vermute, dass der Unterschied in deinen Firewall-Regeln begründet liegt. Kannst du die hier mal posten?

Welche brauchst Du hier genau? Kann man diese aus der UDM Pro irgendwie exportieren so dass es für den "Profi" besser lesbar wird (bevor ich alles hier reintippe und am Ende alles falsch ist)?

Zitat von maxim.webster

Also

• http://192.168.60.99:80/ geht
• https://192.168.60.99:443/ geht nicht
• https://192.168.60.99:8080/ geht

Das kann nicht sein, oder Du hast es unglücklich formuliert. Ob vorne http oder https steht hat auf zwei Dinge Einfluss:

• die Anforderung von Transportverschlüsselung TLS/SSL
• den Standard-Port der Anfrage (80 für HTTP, 443 für HTTPS)

Der Port der Anfrage lt. Zitat 8080 und es wird TLS/SSL angefordert. Port 443 ist aus dem Spiel.

Hast Du auf dem Webserver denn mal geschaut, ob irgendhaupt ewas auf Port 443 lauscht? Mach mal auf dem Server sudo netstat -tulpen | grep -E ':443|:80' und poste das Ergebnis (sofern vorhanden).

Alles anzeigen

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      0          426576     258536/nginx: maste
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      0          426574     258536/nginx: maste
tcp        0      0 0.0.0.0:8081            0.0.0.0:*               LISTEN      0          426572     258536/nginx: maste
tcp6       0      0 :::80                   :::*                    LISTEN      0          426577     258536/nginx: maste
tcp6       0      0 :::8080                 :::*                    LISTEN      0          426575     258536/nginx: maste
tcp6       0      0 :::8081                 :::*                    LISTEN      0          426573     258536/nginx: maste

Zitat von razor

Ich würde erstmal alle in der Übersicht empfehlen, um die Reihenfolge der Regeln zu sehen.

Dann können wir besser fragen - mMn.

Zitat von razor

142 Regeln auf WAN IN (Internet)? WOW!

Die wären auch noch schön - wenn OK. Am liebsten in ein paar Blöcken, sodass man den Inhalt auch lesen kann - oder liegt das an mir?

Sorry. Ich dachte, den Anhang bringt er dann größer. 2ter Versuch:

Zitat von maxim.webster

Da lauscht nix auf Port 443, dein Problem ist nicht die Firewall.

Hhmmm... aber müsste nicht bei der Anforderung eines LE-Zertifikats alles über Port 80 abgewickelt werden? Und das schein ja nicht zu funktionieren.

Zitat von maxim.webster

Hier müsstest Du mal etwas ausführlicher werden, bitte. Welche Software wird eingesetzt (Certbod, Caddy) und welche Fehler gibt es.

Einstellbar. Üblicherweise ist es HTTP/80, aber es kann auch HTTPS/443 sein und hängt vom Challenge Type an.

Also

• WAN:80 -> 192.168.60.99:80
• WAN:443 -> 192.168.60.99:8080

WAN:443 auf 192.168.60.99:443 kann ja nicht funktioneren, weil nix auf 192.168.60.99:443 lauscht.

Der Port 8080 ist nach außen nicht freigeben und dient nur dem Aufruf der administrativen WebGUI von ISPConfig.

In der Firewall sind unter Port-Forwarding die Ports 80 und 443 (auch wenn da im Moment noch nix lauscht) auf die IP 192.168.60.99 gelenkt.

Zitat von maxim.webster

Okay, es ist also Absicht, dass https://192.168.60.99/ (noch) nicht funktioniert, Deine unten stehende Aussage hatte mich in die falsche Richtung denken lassen.

Also braucht es jetzt Infos, warum die Zertifikatsbeantragung scheitert und ich bin mir sicher, es existieren Logfiles des ACME-Clients...

[Mi 1. Jun 11:34:37 CEST 2022] ispconfig99.newsxc.net:Verify error:178.202.44.83: Invalid response from http://ispconfig99.newsxc.net/.well-known/acme-challenge/cs5fNK9mVkjZ4XYlrYJQcBrbWheszJyFts_ZClyo1Zw: 404

Hallo zusammen,

erst einmal ein großes Zwischen-Dankeschön für die großartige Hilfestellung hier im Forum. Vielen Dank für eure Zeit und Zeilen!

So wie es aussieht, schein mein Problem nichts mit den Firewall- bzw. Netzwerkeinstellungen in der UDM Pro zu tun zu haben.

Auch wenn es merkwürdig bleibt, dass alles funktioniert wenn ich den Webserver im Default-LAN betreibe. Ich lasse das nochmal weiter im Kopf kreisen.

Ich werden nun versuchen, ISPConfig erneut from Scratch im VLAN60 zu installieren und mein Augenmerk auf die Konfiguration des Nginx legen. Der steht im Verdacht von mir falsch aufgesetzt zu sein.

Ich werde berichten.