Avatar billede carparknorth Nybegynder
02. oktober 2004 - 21:19 Der er 9 kommentarer og
1 løsning

SSL på IIS 5.0 via Cisco 515E

Hejsa.

Jeg har et rimeligt simpelt spørgsmål, men har ledt nettet tyndt efter et svar, så nu må I eksperter hjælpe mig på ved.

Er det muligt at oprette en SSL-forbindelse fra Windows 2000 Server med IIS 5.0, der hoster en hjemmeside via en Cisco Pix 515E Firewall?

På forhånd tak.
Avatar billede langbein Nybegynder
02. oktober 2004 - 21:45 #1
Har bare satt opp dette i Linux men med hensyn til firewall router så er vel hele forskjellen port 80 kontra port 143 (SSL).
Avatar billede langbein Nybegynder
02. oktober 2004 - 21:51 #2
Nå går det visst surr for meg.. port 443 ikke 143
Avatar billede carparknorth Nybegynder
02. oktober 2004 - 21:54 #3
ja, sådan er det også sat op.

jeg kan godt på mit lan skrive https://www.server.dk/ssl-side. Det fungerer helt fint, men når jeg kommer uden for min firewall, så giver den mig ikke adgang. Der er lavet en access-list til det interface, der håndterer "outside"-trafikken, der bruger permit og så selvfølgelig "eq 443"
Avatar billede langbein Nybegynder
03. oktober 2004 - 13:50 #4
Det er vel sansynlig at det enten er blokkert for 443 enten i ISA serveren eller i PIX'en. Kan du komme til med en portscanner mellom pix/isa og utenfor pix'en ? Mon ikke dette skulle fortelle om det er en effektiv blokkering for 443 noe sted ?

Skulle det kunne være noe dns relatert ?? Tja, hvis det kjører en intern dns server som har andre data enn den eksterne så skulle vel også dette være en mulighet (?!)

Selve web serveren selv (ssl funksjonalitet) må vel være utelukket ettersom det kjører lokalt (?!)
Avatar billede carparknorth Nybegynder
03. oktober 2004 - 13:55 #5
hvis jeg på mit LAN net skriver http://servernavn/ssl-side så får jeg en fin meddelelse om, at jeg nu er på vej ind på en sikker side og får den kendte hængelås nede i højre hjørne af browseren.

Når man skal køre https / ssl/tsl, skal man så også åbne for 53, således at det er muligt for dns queries at komme igennem?

Jeg har forsøgt at portscanne, og jeg får ikke noget svar, ingen af stederne. Der må forelægge en effektiv blokering, som du nævner, et eller andet sted højere oppe i systemet.
Avatar billede langbein Nybegynder
03. oktober 2004 - 19:01 #6
Vedrørende DNS ..
Det kommer jo an på om hvordan dns server funksjonen er implementert.
Enten man bruker en helt ordinær port 80 forbindelse eller kryptert via ssl så er det vel den samme dns server som er i bruk. Dersom det er den interne dns server som også fungerer som ekstern dns så må man selvfølgelig ha åpning inn på UDP port 53.
Hvis man benytter en annen ekstern dns så er jo ikke dette nødvendig. Problematikken rundt DNS kan selvfølgelig være den grunn som er for at det hele ikke fungerer.

Hvis du tar sjansen på å legge ut ekte domenenavn pluss ip så er det hurtig gjort å se om DNS kjører eller om den er tilgjengelig. Du kan eventuelt sende en e-mail til arne2002 at hotmail dot com. (Formulerer litt om for å unngå spam plagen.)

Dersom du eventuelt har lagt inn tingene på web serverens root directory, da kan du gå inn på denne måten: https://<din ip adresse> Dersom dette fungerer da er problemet sikkert slått fast å være dns.
Avatar billede rubeck Nybegynder
05. oktober 2004 - 14:00 #7
Husk.... Hvis IP adressen der rammes fra internet er den samme som PIX'en outside interface så skal du huske at slå PDM'em fra via "no http server enable", da denne selv kører SSL. Ellers vil den jo bare terminere PIX'en istedet for webservern.

Det KAN være at PIX'en skal reloades.. :-(

Du har sikker gjort dette, men det var bare en tanke..

/Rubeck
Avatar billede abruhn Nybegynder
06. oktober 2004 - 21:49 #8
Hej

Du skal lave en access liste f.eks:
access-list Out2Inside permit tcp any host "PIX Outside IP ADR" eq https

her efter skal du binde access listen til yderside intefacet:
access-group Out2Inside in interface outside

Her efter skal du lave det der hedder PAT til serveren på indersiden:
static (inside,outside) tcp interface https "server ip adresse" https

Det virker!
Avatar billede carparknorth Nybegynder
07. oktober 2004 - 09:25 #9
Ja, det burde virke. Men det gør det ikke. Jeg har lavet mine Access-lists og mine static statements, men det virker stadig ikke. Der er formentlig en router længere oppe i systemet, så det er jeg i gang med at undersøge.
Avatar billede carparknorth Nybegynder
19. oktober 2004 - 14:05 #10
Jeg har endelig langt om længe fundet ud af problemet. Der var en router længere oppe i systemet, som forårsagede problemet. Jeg har dog et andet spørgsmål nu. Når jeg sætter min Windows 2000 Server med IIS 5.0 op til at håndtere en SSL linie på 443, så går det ufatteligt langsomt for den at komme med login-boksen (bruger SSL linien til et intranet). Når først den er kommet frem, man har logget på, og forbindelsen er oprettet, så går det ligeså hurtigt, som det plejer. Hvad kan det skyldes?
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester