Firewall-Problem

May 4, 2021
91
2
13
43
Hallo,

Ich scheine ein Firewall-Problem zu haben. Ich habe die Anwendung Passbolt (https://www.passbolt.com/) in einer VM laufen. Diese hat zwei IPs, eine IPv4 und eine IPv6. Freigegeben habe ich die beiden Web-Ports 80 und 443 mit dem Web-Makro. Zusätzlich gibt es noch eine Security-Group mit diversen Regelungen für meine feste IP etc. Nun erneuert aber Passbolt die IP nicht mehr und ich habe darauf vom Passbolt-Support folgende Antwort bekommen.

Certbot uses the http-01 challenge to get the certificate and it appears it has failed on your server.
It appears you have both IPv4 and IPv6 configured for your passbolt.anon.net domain. In this case, certbot will always choose the IPv6 address to renew the certificate. There is no fallback to IPv4 address. We tried to reach 80/TCP port on your IPv6 address but it seems the port is closed:

Machst das Web-Makro die Ports 80 und 443 sowohl auf IPv4 als auch auf IPv6-Ebene auf? Bei SSH klappt die Verbindung über IPv6, das sehe ich beim Last Login. Auch das ist nur über das SSH-Makro ohne weitere Optionen freigeschaltet. Woran könnte die selektive Nicht-Erreichbarkeit (ping -6 geht auch) der Passbolt-VM liegen?

Viele Grüße
Stefan
 
Hallo Stefan,

die Markos sind IPv6 od. IPv4 egal da sie bei Web nur die TCP Ports 80 + 443 freigeben. Hast du eine Möglichkeit die Ports von einem anderen Rechner zu testen?

Woher bekommt der Container seine IPs, sind diese öffentlich erreichbar?
 
Hallo Stefan,

die Markos sind IPv6 od. IPv4 egal da sie bei Web nur die TCP Ports 80 + 443 freigeben. Hast du eine Möglichkeit die Ports von einem anderen Rechner zu testen?

Woher bekommt der Container seine IPs, sind diese öffentlich erreichbar?

Hallo

die IPs der VMs lege ich zusammen mit dem Hostnamen mit einem Bash-Script nach dem Clonen meiner Basisinstallation fest. Eingetragen werden diese vorher händisch bei unserem DNS-Provider, es sind also statische IPs, nichts dynamisches. Ich habe noch ein kleines Subnet, das ich eigentlich für Kali verwendet habe, da installiere ich morgen mal schnell eine VM und und schaue dann mal was ein paar Portscans sagen. Die IPs des Containers sind beide öffentlich erreichbar und sollen es auch sein, damit die User im Homeoffice ohne feste IP darauf zugreifen können. SSH klappt wie gesagt ohne Probleme.


Viele Grüße
Stefan
 
Neben einem portscan würde ich einfach probieren eine telnet <host> <port> zu öffnen.


Wenn es funktioniert sollte es so aussehen:
Code:
$ telnet www.proxmox.com 80
Trying 212.224.123.69...
Connected to www.proxmox.com.
Escape character is '^]'.

Sind die Firewall Einstellungen bei der enstprechend VM gemacht worden oder auf Node/Datacenter level?
 
Hallo zusammen

ich habe jetzt als Erstes - um das neue Zertifikat zu bekommen - die IP6 aus dem DNS und der /etc/network/interfaces - Ich nutze Debian- in der VM entfernt. Danach funktionierte der Renewal-Prozess wie vom Hersteller versprochen. Ich will aber weiterhin, daß Passbolt über IP6 erreichbar ist. Daher habe ich für eine VM ein kleines Subnetz einrichten lassen, so daß ich unser Netzwerk von außen scannen kann.

Was die Firewall angeht: Ich habe Grundeinstellungen, die in einer Security Group gespeichert sind, und mache dann eventuell noch nötige Ports auf VM-Ebene auf. Es Ist also beides, VM und Datacenter. Für das Öffnen von Port 80 und 443 nehme ich das Web-Makro auf VM Ebene.

Was folgt sind die Ergebnisse zweier nmap-Runs von außerhalb unseres eigenen Subnetztes.

nmap -6 passbolt.anon (gekürzt)
22/tcp open ssh
80/tcp open http

nmap -4 passbolt.anon
22/tcp open ssh
80/tcp open http
443/tcp open https

Auch mit telnet oder netcat kann ich keine Verbindung zu Port 443 aufbauen, Port 80 klappt wunderbar und ich bekomme mit einem GET die 301-Weiterleitung zu https.

Wenn ich eine andere VM mit nmap -6 scanne, auf der auf Port 80 und Port 443 nginx läuft, bekomme ich jedes Mal dieses Ergebnis:

nmap -6 wiki.anon
22/tcp open ssh
443/tcp open https

Ich bin mit meine Weisheit am Ende. Kannst du dir das erklären @shrdlicka ?

Viele Grüße
Stefan
 
Ich würde mal versuchen herauszufinden, ob bei den VMs ankommen und deren Netzwerk Interface überwachen für Port 80 bzw 443

Code:
tcpdump -i <interface> port 443 -n

Vielleicht kommen ja Pakete an, aber nicht zurück. Der tcpdump Befehl sollte funktionieren ... ;)
 
Also ich habe tcpdump -i ens18 port 443 -n | grep 2001:4dd0:3079:anon (meine IPv6 laut FritzBox. Sollte sogar statisch sein) laufen lassen.
Wenn ich nmap -6 passbolt.anon laufen lasse kann ich mit kurzer Verzögerung Netzwerkaktivität sehen. Port 443 ist allerdings bei allen Versuchen "closed." Dem widerspricht, daß ich Passbolt mit https öffnen kann und dann definitiv Traffic von meiner IP aus sehen kann, die auch auf Port 443 ankommt (sieht man in tcpdump) und wieder zurückkommt, sonst könnte ich Passbolt schließlich nicht benutzen. Wie interpretierst du diese ambivalente Faktenlage?
 
Nur um sicherzugehen das ich es richtig verstanden habe

  • nmap läuft außerhalb des netzwerks und sagt: "443 closed"
  • tcpdump belauscht Port 443 und sieht Packets von der externen IP (von nmap)
  • ich hab hier nur ein Beispiel in IPv4. Siehst du auch eingehende u. ausgehende Pakete wenn nmap versucht den Port zu testen?
Code:
15:43:36.209780 IP 192.168.18.21.8006 > 192.168.16.32.41386: Flags [P.], seq 9217:10328, ack 9087, win 501, options [nop,nop,TS val 410812050 ecr 2720903959], length 1111
15:43:36.209841 IP 192.168.16.32.41386 > 192.168.18.21.8006: Flags [.], ack 10328, win 501, options [nop,nop,TS val 2720903961 ecr 410812050], length 0
15:43:36.413255 IP 192.168.16.32.41386 > 192.168.18.21.8006: Flags [P.], seq 9087:10008, ack 10328, win 501, options [nop,nop,TS val 2720904164 ecr 410812050], length 921
15:43:36.415143 IP 192.168.18.21.8006 > 192.168.16.32.41386: Flags [P.], seq 10328:11798, ack 10008, win 501, options [nop,nop,TS val 410812256 ecr 2720904164], length 1470
15:43:36.415217 IP 192.168.16.32.41386 > 192.168.18.21.8006: Flags [.], ack 11798, win 501, options [nop,nop,TS val 2720904166 ecr 410812256], length 0

Was mich etwas verwirrt jetzt, es funktioniert auf Port 443 aber nmap sagt der Port ist zu? Was wäre jetzt noch das Problem?
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!