תחומים - פורום חרדי מקצועי

@yossiz שוב. השאלה אם זה יפתור את התקלה. הSSL חייב לרוץ על פורט 443?

@clickone ועוד, ניתן לבדוק באמת פורטים על מה הם תפוסים?

@clickone אמר בתעודת אבטחה לשרת עם nginx על מערכת Windows+ התקנה.:

@shmuel0990 אולי ה433 תפוס ע"י פרוסס אחר במחשב?

השאלה אם זה חשוב. כנראה שזה הבעיה. אבל השאלה אם זה יוצר את כל התקלה.

@yossiz תשמע. ירדתי מזה ובסוף עשיתי את כל הרסיבר פרוקסי על האפצי.
כעת, השתמשתי עם openSSL ליצור תעודת אבטחה, פתחתי virualhost עם הפורט של הSSL שלי (4433) ולא נותן לי להתחבר.
זה לא כותב איזה שגיאה, אלא בכלל כותב "האתר סרב להיתחבר" זה יכול להיות בעיה בדומיין שלי??

עבדתי בול לפי המדריך הזה:
https://florianbrinkmann.com/en/https-virtual-hosts-xampp-4215/

אני לא יודע מה הבעיה.
יכול להיות שזה ששינתי את הפורט של הSSL ל4433... אבל עשיתי את זה כי הapache לא עלה בלי השינוי הזה...
תודה רבה אשמח לעזרה.

@clickone חחח. אוקי. תודה רבה. לביינתים נראה לי אני ירד מהעניין של התעודת אבטחה.

^^^כותרת^^^

@clickone אמר בהפניית תת דומיין לפורט מסויים בIP.:

@shmuel0990
אתה פונה אליו בפורט 80?
מה הIP הפנימי והפורט שאתה רוצה להתחיל איתו.

שאני כותב את הIP אלי אני מגיע לאפצ'י. כמו שאני עושה על המחשב "localhost".

אני אמור לקנות/לקבל IP וירטואלים ... כאילו מה?...
סליחה על הבורות.

@yossiz ו @chagold תודה לשניכם אבל אני לא ממש מבין בזה ואם אפשר טיפה יותר הסבר על הרסיבר הזה..

יש לי דומיין שלי ואני רוצה לדעת אם אני יכול להפנות תת דומיין שלי לכתובת IP מסויימת אבל ישירות לפורט בתוכה...
כלומר, שאני יקיש כתובת "camera.mydomin.com" זה יגיע ל31.168.2.98:6666 ולא בצורת הפניה, אבל שזה יהיה מופנה פנימית מול התת דומיין.
אשמח לעזרה.
בתודה מראש

@avramk כתב בבעייה בהפניית NAT:

@שמואל4 אני לא מבין מה שאתה אומר אם אין NAT אז איך הוא אמור לדעת לאן להגיע ולאיזה מכשיר ברשת להמשיך ? אני בודק כעת

פורטיגייט יודע בדיוק לאן הוא צריך להגיע, הוא יודע לאן אתה רוצה להגיע לפי הvirtual server.
הבעיה היא בתנועה החוזרת.

למעשה, המכשיר, ינסה להחזיר את התנועה לכתובת החיצונית.
במידע שהמכשיר לא מתנתב את כל התנועה שלו לפורטיגייט - אלא למקום אחר, אז התנועה חזרה לא תגיע.

ניתן לפתור את זה ב2 דרכים:

• הגדרת ניתוב סטטי ספציפי במכשיר של הכתובת שנכנסת לכיוון פורטיגייט.
• הפעלת NAT בPOLICY, ואז התנועה תגיע למכשיר מהsubnet של פורטיגייט, ומיניה וביה התנועה תחזור לפורטיגייט.

למעשה: אם אתה לא יודע בדיוק שצריך להפעיל NAT בתנועה נכנסת, לכאורה אתה לא צריך להפעיל את זה.

@avramk כתב בבעייה בהפניית NAT:

@שמואל4 אבל מה שקורה זה שאני מתחבר פנימה עם כתובת IP שהיא לא של הinterface הראשי, אז זה אמור לעבוד ?

כן.
בכלל, כל הרעיון של NAT ב policy הוא ״מתקדם״, הפניית פורטים רגילה בכל ראוטר - לא עושה את זה.
יש מעלות כמו שאמרתי ל NAT ב policy נכנס, אבל שצריך.

דוגמא:

והכלל מוגדר:

@avramk אתה לא צריך,
הרעיון בNAT בכלל של חומת אש של FG (בכלל נכנס, יוצא זה משהוא אחר) שאם השרת אין לו ניתוב מתאים כדי להחזיר את התנועה, יהיה חוסר תקשורת.

ולמעיישה: אם הDG של השרת אליו הלקוח מגיע הוא הפורטיגייט, אתה לכאורה יכול לבטל את הNAT ב policy הנכנס, וזה יעבוד כמו שצריך והשרת יראה את הכתובת האמיתית של הלקוח.

מה שכתבת עם פול כתובות, זה לגבי NAT החוצה, איך זה יראה לעולם.

@avramk זה קורה בגלל שמופעל NAT ב policy שמאפשר את התנועה.
אתה יכול לבטל את זה, צריך להבין את ההשלכות ומה הסיבה שהפעילו את האפשרות.

@avramk אוקיי,

בדקתי את זה, ולדעתי מה שחסר לך זה דבר אחד, שהוא האמת בעייתי קצת ואני לא יודע איך ניתן לפתור אותו באמת.

• כלל הניתוב שלך לנטפרי לא כולל כתובת של default gateway, ולכן אין לתנועה איפה להמשיך.

מה אני מצפה שיהיה:

• אפשרות להגדיר בכלל הניתוב לנתב לממשק רשת תוך איחזור אוטומאטי של כתובת ה default gateway מהpppoe, וזה לא קיים.

איך בכל אופן זה עובד? בצורה הבאה:

ממשקי רשת:

(שתי ספקים תחת ראוטר אחד bridge),
בגירסא החדשה אין אפשרות להגדיר סוג ממשק PPPOE כמו בתמונה שלך, והגדרה של ממשק כVLAN היא לא אותו דבר, צריך ליצור את הממשק בCLI

config system pppoe-interface
    edit netfree
    set device wan1
end

ואחרי זה ניתן להמשיך בממשק:

אחרי שהכל מחובר, צריך כמובן לאפשר בחומת אש את המעבר לכיוון הממשק, והחלק החשוב, להגדיר את כלל הניתוב הבא:

כמו שכתוב, מה שחשוב, שהכתובת של DG תיהיה זהה לכתובת מההממשק.

אם יש למישהוא רעיון אחר לעשות את זה - אשמח לשמוע, אבל לא שאני רואה אפשרות שהוא יאחזר לבד את הDG של הממשק.

@avramk כתב בתקלה בהפניית מכשירים לרשת פתוחה בfirewall של fortinet:

@שמואל4 לפי מה שאני רואה, וגם לי יש מקום שאני עובד ככה. הWAN הראשי מוגדר על 0.0.0.0 שהוא כביכול לא מחייג אלא הוא ה'תשתית' ומתחתיו יוצרים חיוג PPOE שיוצא דרך התשתית

אבל אין דבר כזה, תשתית אחת לא יכולה לחייג פעמיים.
משהוא שם לא מובן לי בכל הצורה שזה עובד, איך מוגדר ה tannel interface , מה יש בו בצד הפיזי, ואיך אתה מקבל שתי כתובות.
interface שהוא tannel interface לא יכול להיות PPPoE.

@avramk כתב בהפניית A לדומיין למכשיר ספציפי ברשת NAT:

ההסבר שלך נהדר, ואכן מעניין לבדוק האם יש אופצייה של ניתוב כזה בfw

לא אמור להיות.
הפניית פורטים וכל התחום הזה לא קשור לHOST בכלל, אם תמצא כלי כלי, זה יהיה זהה לשרת, אולי יקל קצת, אבל לדעתי לא כדאי.

תפנה הכל לnginx אחד ושם תעשה הכל.

@avramk כתב בהפניית A לדומיין למכשיר ספציפי ברשת NAT:

@dovid נגיד שיש ראוטר עם הפניית פורטים ל 44443 ושרת IIS עם הפנייה ל 10443 ועוד שרת עם 443 אז כל עוד אני לא שם את הפורט אחרי הכתובת זה יגיע לי לשרת של ה443. ואני מדבר במקרה שאני שם את הכתובת של הFW בכלל... (כתובות FQN כמובן)

אני מכוון שאתה מבין מה שכתבת, אם תנסה בתור מישהוא חיצוני שקורא את מה שכתבת - כי אני לא.

מה הקשר בין רשומת A שמגיעה מעולם הDNS לאימות, שלא קיים שם, בין חומת אש, לבין הפניית פורטים.

תסביר את המקרה באופן מדוייק, מה קורה עכשיו ומה הגדרת, מה אתה רוצה שיקרה.

@אהרן כתב בראוטר תומך עד 100 מ"ב, יעבוד גם בחיבור 200?:

@שמואל4
יש לי את הראוטר הזה.

לא אוהב ראוטרים עם דלת אחורית של ספקים.
אבל שוב, צריך להכיר, לא ראיתי שכתוב בקובץ ששלחת מידע טכני על המודם.

@אהרן תמיכה ב200 מגה דורשת תמיכה בVDSL 35b.
אם יש לך ראוטר לא תומך בזה פשוט החיוג לא יתחיל - ואין מה לעשות בנידון.

ראוטר תומך למשל: https://ksp.co.il/mob/item/150215

אגב,
אם אתה נמצא על 15 מגה יש מצב שבכלל הראוטר שלך לא תומך ב VDSL אלא רק בADSL ואז גם 100 מגה לא יעבוד לך.