Hej,
Jag har en fråga om portforwarding och VPN-anslutning.
Jag har kopplat min Windows-server 2019 till min externa Fortigate-brandvägg via VPN.
Jag försöker från Fortigate-brandväggen att portforwarda 443 för min server som är ansluten via VPN, så att jag kan komma åt web-iis-servern via den publika IP som tilldelats VPN-anslutningen.
Här är mina VPN-inställningar:
Du måste ge en tydligare förklaring. Du pratar om Fortigates, portforwarding, VPN, Merakis, Cloudflare DNS och så vidare. Jag förstår inte vad du faktiskt försöker göra. Kan du omformulera det?
Det är lite förvirrande och jag är väldigt trött, men här är mina tankar.
Utifrån min förståelse:
Om så är fallet, bör du:
Jag tror att problemet är att du försöker portforwarda 443, men det är också din VPN-lyssningsport.
För att göra det mer säkert kan du skapa ett /32-Adressobjekt och använda det som adressintervall på VPN-portalen du tilldelat servern, så kan den inte tilldelas en annan IP och bryta portforwarden.
Okej, det är lite bättre. Det är allt väldigt möjligt och normalt, men vad menade du om en annan Meraki-brandvägg i nätverket?
Det skulle verkligen hjälpa om du kunde visa en nätverksdiagram.
Att förstå var Windows-servern är i relation till allt annat skulle vara otroligt hjälpsamt. Jag har läst minst hälften av inläggen hittills och kan inte lista ut var servern är, varför den behöver ansluta via VPN och vad dess relation är till Meraki.
Förutsatt att din IIS-server är placerad bakom Meraki och är ansluten med SSL-VPN för att göra portforwarding via SSL-VPN. Jag antar att du har en publikt IP-adress tillgänglig på din plats där servern och Meraki finns? Varför inte titta på en WAP eller Nginx-omvänd proxy istället för att göra en portforward till en SSL-VPN-ansluten enhet?
Min erfarenhet av SSL-VPN i kombination med FortiClient är att anslutningen inte alltid är så stabil som du hoppas, men detta kan vara i min specifika situation.
Färdig, mitt misstag, ingen-sömn plus strikt deadline gjorde att jag blev förvirrad.
Windows-servern är en on-premises-server där internetleverantören har installerat en Cisco Meraki-brandvägg (Cisco Meraki MX67) “Jag tror inte minns exakt”. Problemet är att i den setupen är port 443 redan tilldelad till en annan server som också kör IIS. Så mitt nästa bästa var att ansluta till min externa Fortigate-brandvägg där min vdump har fler offentliga IP:ar, där jag kunde tilldela en och låta Cloudflare använda DNS för att koppla den till min offentliga domän via den offentliga IP:n.
Problemet är med VPN-setupen till Fortigate-brandväggen. Jag undrade om det var möjligt, eller om det fanns ett bättre sätt. Servern får den offentliga IP:n och jag kan surfa på nätet, men IIS är inte tillgängligt utifrån.
Fortigate VPN-lyssningsport kommer vanligtvis att vara den IP-adress du tilldelar till WAN. Om du använder en annan offentlig IP bör den passera igenom.
Om Fortigate är bakom Meraki måste du se till att Meraki vidarebefordrar all offentlig trafik till Fortigate. Om det gör det, skapa bara en virtual IP med en anpassad port och gör portforward. Till exempel, all trafik till https://MyPublicIP:8443 vidarebefordras till din webbserver på port 443.
Jag har uppdaterat tråden med VPN-inställningarna.
BEN-vnet är ansluten till WAN. IP-adressen jag tilldelar från WAN är till IP4V från VPN.
Detta fungerar inte som jag förväntade mig.
Tekniskt sett fungerar det inte eftersom Meraki är på kontoret kopplat till en annan IP, där servern är bakom den. Fortigate är en helt separat setup som är hostad någon annanstans.
Det är därför jag försökte med VPN till Fortigate, men det verkar inte fungera när jag portforwardar servern via VPN.
När du säger att den är bakom, menar du samma nätverk? Eller att servern är bakom Meraki? (ansluten till samma LAN)
Okej, först och främst, har du en VPN mellan din Fortigate och Meraki? Det måste finnas en VPN mellan de två.
För det andra, du behöver inte portforwarding alls med någon VPN. Du behöver bara konfigurera din SSLVPN för att också dirigera trafik över VPN till din server.
Jag känner att du är förvirrad om vad en VPN gör, särskilt en SSLVPN.
Ingen, det finns ingen VPN-anslutning mellan Meraki och Fortigate. Endast mellan servern och Fortigate.
Så om jag kopplar samman Meraki och Fortigate, kan jag då routa servern att använda en IP från Fortigates WAN och låta Cloudflare DNS:a den?
Ja. Men för att tydliggöra, vill du att servern blir tillgänglig publikt på port 443? Eller vill du bara kunna komma åt den privat? Vad är målet?
Vänta, hur är det en koppling mellan servern och Fortigate?
Jag vill att servern ska vara tillgänglig offentligt på port 443.
Servern är ansluten till Fortigate via VPN.
Först och främst, du har visat konfiguration för en SSLVPN och inte en IPSec VPN. I detta scenario skulle du aldrig använda SSLVPN. SSLVPN är för privat fjärråtkomst för användare/maskiner. Du skulle använda en IPSec VPN.
För det andra, jag förstår inte hur servern VPN:ar till Fortigate om den är placerad bakom Meraki på en helt annan plats. Är servern ansluten med en IPSec VPN till Fortigate? För vilket syfte? Dina brandväggsregler visar ingen anslutning till någon VPN, så jag är osäker på hur Fortigate ansluter till denna server.
För det tredje, om det är som du säger, skulle den publika anslutningen till denna server vara mycket långsam. Trafik skulle komma in i Fortigate, passera genom en IPSec VPN till servern och tillbaka again.
Tack för förtydligandet, jag förstår inte ens setup nu.
Vad skulle vara förslaget för att få server “B” online på port 443 som är placerad bakom en Meraki-brandvägg som också har en server “A” som använder 443? Kan jag använda min Fortigate-brandvägg?
Om server A och B båda är bakom Meraki med en enda IP, finns det inte mycket du kan göra. Du kan begära fler IP från din ISP eller få en ytterligare anslutning till Meraki.
För att använda Fortigate, behöver du en IPSec VPN-tunnel mellan FG och MX, skapa all routing och sedan skapa en portforward som pekar på servern och som går igenom IPSec-tunneln och tillbaka. Men observera att för att detta ska fungera måste din FG vara online, MX vara online och IPSec-tunneln vara uppe och rullande. Om någon av dessa är nere, är anslutningen till servern nere.
Tack för hjälpen; jag kommer att prova andra alternativ medan jag väntar på svar från ISP med ytterligare IP.
