Spørgsmål

https blokeret


Jeg har en webserver kørende der kører https (port 443) men når jeg skyder udefra kommer requests aldrig forbi følgende:

6

ae3-0.jylnqe10.dk.ip.tdc.net (No reply for 5 hops. Assuming we reached firewall.)

 

Jeg har en D6 router fra yousee og de aner ikke noget når jeg ringer.

Jeg har både forsøgt mig med at sætte serveren i DMZ og med portforwarding - ved sidstnævnte kan jeg både få ssh og andre protokoller videresendt, men altså ikke 443.

Jeg har forsøgt mig med permanent redirect på apache serveren fra 80 → 8443 men så skal jeg have et ekstra certifikat for at få det til at virke og det vil jeg helst undgå.

Kan det virkelig passe at YouSee (TDC) bare sådan kan blokere indgående https?

Nogen der har løst dette?


20 Kommentarer

Hej,

 

jeg her lige præcis samme problemstilling. 
 

Andre porte er fine. 80 er fin. 8443 til 8443 med ssl i Apache fungere. Men så snart det hedder 443 så kommer intet i gennem. 
 

Support siger intet er blokeret, men det virker jo perfekt med alle andre porte. 
 

Kan det være routeren?

Mere info:

 

Setup:
Router viderestiller trafik til en fast ip hvor apache2 kører.


Siden bliver vist i browseren når:

  • Jeg sidder på samme netværk som routeren - både med IP og DNS navn
  • Jeg ændrer https porten i Apache til 8443 - også udefra 
  • Jeg tilgår webserveren via 80 (http)

Andre porte er også forwarded fra router til den faste ip, VNC/mysql etc. der virker fint


Men 443 bliver afvist gang på gang. Lige så snart det er præcis den port, så går intet i gennem udefra. 

Yousee: Kan i bekræfte at i ikke blokerer for 443? Det er svært at se ud fra overstående, hvad problemet ellers skulle skyldes

Omdømme 7
Badge +7

Der kan her på forummet ikke forventes svar på spørgsmål fra You See, forummet er brugerstyret. Det er brugere der svarer/hjælper andre brugere med spørgsmål. Det er ikke alle brugere der er inde i alt hvad der spørges om, men tilsammen kan der hjælpes med rigtig meget.

Hej Radiomanden,

 

OK, helt fair :-)

Hvis supporten hos Yousee ikke har et særligt stort kendskab til dette, hvor kan man så gå hen/hvem kan kontaktes? 

Dbh.

Omdømme 7
Badge +7

Der er brugere her på forummet som er inde i meget af den slags, så når de ser opslaget vil de prøvet at hjælpe.

D6 Routeren er forholdsvis ny, og der er nogle basale ting der ikke er muligt på den, om dit problem så lige er indbefattet i det.?

@Mortengryning prøv at køre traceroute <hostnavn> udefra og list output her. Brug evt. https://ping.eu/traceroute/

Hej @mad_skag,

 

Jeg er ikke sikker på at traceroute giver så meget. Jeg kan godt tilgå min side over http - også udefra - men traceroute melder stadig at den ikke kan nås.


Det ændrer dog ikke ved, at https (443) bliver ved med at være lukket, og kun den specifikke port. Hvis jeg ændrer apache til at bruge 8443 til https port, og skriver http://sideurl:8443, så virker alt som det skal, og den benytter certifikater/chrome melder at siden er sikker.


Enten er det routeren, eller også er det tdc der blokerer..​​​​​​​

Omdømme 7
Badge +7

Yousee blokerer nogle porte permanent. Port 443 er ikke en af dem. Port 25 er blokeret i routeren og kan åbnes, hvis man vil sætte en mail server op. 

Min første tanke er, at routeren selv har en service kørende på den port (som kun udbyderen kan koble sig på), og derfor laver det nummer der (en bug). Jeg kan dog ikke efterprøve det, og jeg har heller ikke set det dokumenteret.

Omdømme 5
Badge +1

Jeg tænker i skal have en fast wan ip adresse, altså en offentlig ip adresse..

Forummanden: har selv tænkt samme tanke. Eneste måde at teste er vel bridge mode/prøve med anden router. Admin mode kører https. 
 

Peter: jeg kan ikke se hvad forskel det skulle gøre. Port 80 virker fint. 
 


 

 

Omdømme 5
Badge +1

 

Peter: jeg kan ikke se hvad forskel det skulle gøre. Port 80 virker fint. 
 

Skal man have en web server kørende, er det nødvendigt med en fast offentlig IP adresse.

De fleste hos YouSee får tildelt en privat dynamisk IP adresse og det er som der står.. en form for en privat vej.

Med en offentlig IP adresse, ja så er der adgang for alle på vejen.. det kræver det at køre en web server korrekt..

Jeg har selv fast offentlig IP adresse med to netværksservere kørende..

Prisen er vist omkring 50.- dkk pr. md.

Yousee giver alle deres coax-kunder en offentlig ip (jeg har ikke hørt om andet). Om den er “fast” eller ej, betyder ikke noget i denne sammenhæng (at kunne tilgå en server udefra).

Peter: Tak for forklaringen, men jeg er helt med :-)

Jeg benytter en dns service der automatisk opdaterer dns ud fra den tildelte offentlige ip. Det er gratis og virker. Det er et cronjob der kører hvert 2 min. 

Jeg kan sagtens nå serveren udefra med http/port 80 og får fint vist min side. Jeg kan også nå den via fx. 8443, som korrekt anvender tilknyttede ssl certificater.

En snedig løsning ville være forward af port 443 til fx 8443. Men alt 443 bliver blokeret, ligegyldigt hvor det bliver sendt hen.

Jeg har ikke fundet en smart måde at binde standard https til anden port end 443, uden at angive port i url. Dns rekords er jo uden port, og jeg kan ikke proxy noget der ikke kommer ind

 

 


 

 

Omdømme 5
Badge +1

Yousee giver alle deres coax-kunder en offentlig ip (jeg har ikke hørt om andet). Om den er “fast” eller ej, betyder ikke noget i denne sammenhæng (at kunne tilgå en server udefra).

Med hensyn til en fast offentlig ip på coax, det tror jeg absolut ikke på.. det er ikke rigtigt.

Omdømme 5
Badge +1

Peter: Tak for forklaringen, men jeg er helt med :-)

Jeg benytter en dns service der automatisk opdaterer dns ud fra den tildelte offentlige ip. Det er gratis og virker. Det er et cronjob der kører hvert 2 min. 

Jeg kan sagtens nå serveren udefra med http/port 80 og får fint vist min side. Jeg kan også nå den via fx. 8443, som korrekt anvender tilknyttede ssl certificater.

En snedig løsning ville være forward af port 443 til fx 8443. Men alt 443 bliver blokeret, ligegyldigt hvor det bliver sendt hen.

Jeg har ikke fundet en smart måde at binde standard https til anden port end 443, uden at angive port i url. Dns rekords er jo uden port, og jeg kan ikke proxy noget der ikke kommer ind

 

 


 

 

Læs dette

Med hensyn til en fast offentlig ip på coax, det tror jeg absolut ikke på.. det er ikke rigtigt.

Jeg har haft en offentlig ip i alle de år, jeg har været på coax (en del år).

Det produkt, som Yousee kalder fast ip, er en reserveret ip i deres DHCP-server. Det er den eneste forskel på fast og ikke-fast ip. Begge typer ip er “offentlig”, og kan dermed tilgås udefra.

Så der er ingen yousee fiber kunder der kan hoste https? Nogen der har løst dette?

 

Al 443 trafik kommer ikke frem til at kunne portforwardes internt. Yousee support har ikke svar.

 

Ja, jeg har fast offentlig ip - det lader ikke til at være problemet.

 

Tænkte det kunne være fordi routeren selv hoster på port 443, men umiddelbart er admin interfacet hostet på port 80. Måske et wan-vendt interface?

Det er nu lykkedes mig at få 443 videre internt ved at slå routerens firewall fra og sætte portforward 443 → 443 internt.

Ikke optimalt, men i det mindste er der hul igennem..

Omdømme 5
Badge +1

Det er nu lykkedes mig at få 443 videre internt ved at slå routerens firewall fra og sætte portforward 443 → 443 internt.

Ikke optimalt, men i det mindste er der hul igennem..

Der er vel så en stor chance for at det er routeren der er synderen…

Har du overvejet at sætte din egen router på linien istedet for, det er relativ nemt at afprøve.

Kræver selvfølgelig du har en ekstra router liggende, eller kan låne en for afprøvning.

Besvar