SSL på IIS 5.0 via Cisco 515E

Har bare satt opp dette i Linux men med hensyn til firewall router så er vel hele forskjellen port 80 kontra port 143 (SSL).

Nå går det visst surr for meg.. port 443 ikke 143

ja, sådan er det også sat op.

jeg kan godt på mit lan skrive https://www.server.dk/ssl-side. Det fungerer helt fint, men når jeg kommer uden for min firewall, så giver den mig ikke adgang. Der er lavet en access-list til det interface, der håndterer "outside"-trafikken, der bruger permit og så selvfølgelig "eq 443"

Det er vel sansynlig at det enten er blokkert for 443 enten i ISA serveren eller i PIX'en. Kan du komme til med en portscanner mellom pix/isa og utenfor pix'en ? Mon ikke dette skulle fortelle om det er en effektiv blokkering for 443 noe sted ?

Skulle det kunne være noe dns relatert ?? Tja, hvis det kjører en intern dns server som har andre data enn den eksterne så skulle vel også dette være en mulighet (?!)

Selve web serveren selv (ssl funksjonalitet) må vel være utelukket ettersom det kjører lokalt (?!)

hvis jeg på mit LAN net skriver http://servernavn/ssl-side så får jeg en fin meddelelse om, at jeg nu er på vej ind på en sikker side og får den kendte hængelås nede i højre hjørne af browseren.

Når man skal køre https / ssl/tsl, skal man så også åbne for 53, således at det er muligt for dns queries at komme igennem?

Jeg har forsøgt at portscanne, og jeg får ikke noget svar, ingen af stederne. Der må forelægge en effektiv blokering, som du nævner, et eller andet sted højere oppe i systemet.

Vedrørende DNS ..
Det kommer jo an på om hvordan dns server funksjonen er implementert.
Enten man bruker en helt ordinær port 80 forbindelse eller kryptert via ssl så er det vel den samme dns server som er i bruk. Dersom det er den interne dns server som også fungerer som ekstern dns så må man selvfølgelig ha åpning inn på UDP port 53.
Hvis man benytter en annen ekstern dns så er jo ikke dette nødvendig. Problematikken rundt DNS kan selvfølgelig være den grunn som er for at det hele ikke fungerer.

Hvis du tar sjansen på å legge ut ekte domenenavn pluss ip så er det hurtig gjort å se om DNS kjører eller om den er tilgjengelig. Du kan eventuelt sende en e-mail til arne2002 at hotmail dot com. (Formulerer litt om for å unngå spam plagen.)

Dersom du eventuelt har lagt inn tingene på web serverens root directory, da kan du gå inn på denne måten: https://<din ip adresse> Dersom dette fungerer da er problemet sikkert slått fast å være dns.

Husk.... Hvis IP adressen der rammes fra internet er den samme som PIX'en outside interface så skal du huske at slå PDM'em fra via "no http server enable", da denne selv kører SSL. Ellers vil den jo bare terminere PIX'en istedet for webservern.

Det KAN være at PIX'en skal reloades.. :-(

Du har sikker gjort dette, men det var bare en tanke..

/Rubeck

Hej

Du skal lave en access liste f.eks:
access-list Out2Inside permit tcp any host "PIX Outside IP ADR" eq https

her efter skal du binde access listen til yderside intefacet:
access-group Out2Inside in interface outside

Her efter skal du lave det der hedder PAT til serveren på indersiden:
static (inside,outside) tcp interface https "server ip adresse" https

Det virker!

Ja, det burde virke. Men det gør det ikke. Jeg har lavet mine Access-lists og mine static statements, men det virker stadig ikke. Der er formentlig en router længere oppe i systemet, så det er jeg i gang med at undersøge.

Jeg har endelig langt om længe fundet ud af problemet. Der var en router længere oppe i systemet, som forårsagede problemet. Jeg har dog et andet spørgsmål nu. Når jeg sætter min Windows 2000 Server med IIS 5.0 op til at håndtere en SSL linie på 443, så går det ufatteligt langsomt for den at komme med login-boksen (bruger SSL linien til et intranet). Når først den er kommet frem, man har logget på, og forbindelsen er oprettet, så går det ligeså hurtigt, som det plejer. Hvad kan det skyldes?