Ziggo Community

DanielB1990

Goedemiddag allen!

Vanuit Twitter kom ik hier terecht, na wat zoek werk kan ik nog niet helemaal een oplossing / zelfde soort situatie vinden.

Waar ik dus mee zit is dat ik mijn Connect Box in bridge-modus heb staan voor mijn Netgear Nighthawk(R) X4S R7800.

Vanuit daar forward ik poort 80 ( HTTP ) succesvol door naar mijn 'server', maar poort 443 ( HTTPS ) komt er op die zelfde manier niet door.
Andere poorten gaan wel goed, dus Ziggo doet mijn inziens specifiek iets met 443 waardoor het niet door komt.

Onderstaand 2 cURL verzoeken met resultaat, domeinnaam en ip adres even gemaskeerd.

curl -vvv -Ik "http://thuis.domein.ext"
* Rebuilt URL to: http://thuis.domein.ext/
* Trying 94.213.151.X...
* Connected to thuis.domein.ext (94.213.151.X) port 80 (#0)
> HEAD / HTTP/1.1
> Host: thuis.domein.ext
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 404 Not Found
HTTP/1.1 404 Not Found
< Content-Type: text/plain; charset=utf-8
Content-Type: text/plain; charset=utf-8
< X-Content-Type-Options: nosniff
X-Content-Type-Options: nosniff
< Date: Mon, 23 Dec 2019 15:14:25 GMT
Date: Mon, 23 Dec 2019 15:14:25 GMT
< Content-Length: 19
Content-Length: 19
<
* Connection #0 to host thuis.domein.ext left intact

curl -vvv -Ik "https://thuis.domein.ext"
* Rebuilt URL to: https://thuis.domein.ext/
* Trying 94.213.151.X...
* connect to 94.213.151.X port 443 failed: Connection timed out
* Failed to connect to thuis.domein.ext port 443: Connection timed out
* Closing connection 0
curl: (7) Failed to connect to thuis.domein.ext port 443: Connection timed out

//Edit:
Firewall op de server is uiteraard ook actief, maar aangepast.
Voor wie benieuwd is naar wat Cockpit is: https://cockpit-project.org

root@cockpit:~# ifconfig enp7s4 | grep "inet 192" | awk ''
192.168.1.5

root@cockpit:~# ufw status verbose
Status: active
Logging: on (full)
Default: deny (incoming), allow (outgoing), allow (routed)
New profiles: skip

To Action From
-- ------ ----
22 ALLOW IN Anywhere
2222 ALLOW IN Anywhere
80 ALLOW IN Anywhere
443 ALLOW IN Anywhere
8080 ALLOW IN Anywhere
9090 ALLOW IN Anywhere
9000 ALLOW IN Anywhere
22 (v6) ALLOW IN Anywhere (v6)
2222 (v6) ALLOW IN Anywhere (v6)
80 (v6) ALLOW IN Anywhere (v6)
443 (v6) ALLOW IN Anywhere (v6)
8080 (v6) ALLOW IN Anywhere (v6)
9090 (v6) ALLOW IN Anywhere (v6)
9000 (v6) ALLOW IN Anywhere (v6)

Wat zijn jullie ideeën en/of voorstellen? Hoor graag!

DanielB1990

Probleem zojuist opgelost door m’n Netgear router een harde reset te doen, nu werkt de poort doorverwijzing voor 443 naar behoren.

Bedankt voor het mee denken!

Bekijk in context

efok

Heb je de webserver (welke) wel geconfigureerd voor poort 443/SSL?

DanielB1990

efok wrote:

Heb je de webserver (welke) wel geconfigureerd voor poort 443/SSL?

Uiteraard, Ik maak gebruik van Traefik om gebruik te kunnen maken van de mogelijkheden die het biedt.

Maar ook al zet ik een Apache met SSL van Let’s Encrypt docker container op 80 en 443 gebeurt er helaas niks, SSL certificaat is succesvol uitgegeven:

root@7e01561ba288:/# certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): docker@domein.ext

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: N
No names were found in your configuration files. Please enter in your domain
name(s) (comma and/or space separated) (Enter 'c' to cancel): thuis.domein.ext
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for thuis.domein.ext
Enabled Apache rewrite module
Waiting for verification...
Cleaning up challenges
Created an SSL vhost at /etc/apache2/sites-available/000-default-le-ssl.conf
Deploying Certificate to VirtualHost /etc/apache2/sites-available/000-default-le-ssl.conf
Enabling available site: /etc/apache2/sites-available/000-default-le-ssl.conf

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://thuis.domein.ext

You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=thuis.domein.ext
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
 /etc/letsencrypt/live/thuis.domein.ext/fullchain.pem
 Your key file has been saved at:
 /etc/letsencrypt/live/thuis.domein.ext/privkey.pem
 Your cert will expire on 2020-03-22. To obtain a new or tweaked
 version of this certificate in the future, simply run certbot again
 with the "certonly" option. To non-interactively renew *all* of
 your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
 configuration directory at /etc/letsencrypt. You should make a
 secure backup of this folder now. This configuration directory will
 also contain certificates and private keys obtained by Certbot so
 making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le

kruijf

Ziggo heeft geen beperkingen op 443 bij mij werkt de portforward wel gewoon.

DanielB1990

kruijf wrote:

Ziggo heeft geen beperkingen op 443 bij mij werkt de portforward wel gewoon.

Vreemd, wat ik ook probeer 443 wordt niet beschikbaar.

efok

Ik mis in je voorbeeld nog even of je met

a2ensite 000-default-le-ssl.conf
service apache2 reload

de site ook hebt geactiveerd. Ik weet even Verder zou ik wel kiezen voor een redirect van 80 naar 443, maar als je dat niet doet zal een site op beide poorten werken.

Je zal zelf even uit moeten vogelen hoe dat met die poorten van Apache in een container zit. Je zult docker denk ik ook moeten vertellen dat 443 van Apache bestaat. Dan pikt traefik het automatisch op als ik het goed heb begrepen.

DanielB1990

efok wrote:

Ik mis in je voorbeeld nog even of je met
 a2ensite 000-default-le-ssl.conf
service apache2 reload
de site ook hebt geactiveerd. Ik weet even Verder zou ik wel kiezen voor een redirect van 80 naar 443, maar als je dat niet doet zal een site op beide poorten werken.

Je zal zelf even uit moeten vogelen hoe dat met die poorten van Apache in een container zit. Je zult docker denk ik ook moeten vertellen dat 443 van Apache bestaat. Dan pikt traefik het automatisch op als ik het goed heb begrepen.

Dankjewel voor je reactie!

Ik heb even anders gedaan, ik heb even een virtualbox vm gestart op m'n Windows desktop, en DMZ vanuit de router ingesteld op het via DHCP verkregen IP Adres van de VM, ook daar ( helaas ) het zelfde effect.

VM = Ubuntu 18, Apache + Certbot.

http://thuis.danielbareman.online werkt, maar https niet.

In ieder geval niet buiten mijn eigen netwerk, binnen het zelfde netwerk kan ik https gewoon bereiken.

Heb in het Certbot proces specifiek gekozen geen redirect te doen maar op beide beschikbaar te maken.

In deze opstelling krijg ik bij een nmap in ieder geval 'filtered' terug:

root@cliffjumper:~# nmap -p80,443 thuis.danielbareman.online Starting Nmap 7.70 ( https://nmap.org ) at 2019-12-29 00:48 CET
Nmap scan report for thuis.danielbareman.online (94.213.151.221)
Host is up (0.067s latency).
rDNS record for 94.213.151.221: 94-213-151-221.cable.dynamic.v4.ziggo.nl

PORT STATE SERVICE
80/tcp open http
443/tcp filtered https

Nmap done: 1 IP address (1 host up) scanned in 2.07 seconds
-------

root@virtualboxserver:~# iptables -nvL

Chain INPUT (policy ACCEPT 48824 packets, 3324K bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 81771 packets, 23M bytes)
pkts bytes target prot opt in out source destination

efok

En je hebt dus wel de ssl site geactiveerd met a2ensite? (Ik denk dat je wel weet dat er verschil is tussen sites-available en sites-enabled in apache2 ☺️, als ik je zo bezig zie)

Je connectbox is gebridged begrijp ik. Als je dan toch een filterd krijgt op nmap denk ik toch aan een firewall rule ergens. In je netgear?

Je kan natuurlijk even een linuxboxje direct op je modem hangen, en kijken wat er gebeurt. Ik zit ook maar wat te gissen.

DanielB1990

efok wrote:

En je hebt dus wel de ssl site geactiveerd met a2ensite? (Ik denk dat je wel weet dat er verschil is tussen sites-available en sites-enabled in apache2 ☺️, als ik je zo bezig zie)

Je connectbox is gebridged begrijp ik. Als je dan toch een filterd krijgt op nmap denk ik toch aan een firewall rule ergens. In je netgear?

Je kan natuurlijk even een linuxboxje direct op je modem hangen, en kijken wat er gebeurt. Ik zit ook maar wat te gissen.

Goedenavond! Het verschil weet ik inderdaad tussen sites-available & sites-enabled.
Ook a2ensite is reeds actief: a2ensite 000-default-le-ssl.conf = Site 000-default-le-ssl already enabled

Je connectbox is gebridged begrijp ik. Als je dan toch een filterd krijgt op nmap denk ik toch aan een firewall rule ergens. In je netgear?

Dat is ook het enige wat ik me nog kan indenken, als zelfs met DMZ het niet werkt.
Ik heb voor de zekerheid de nieuwste firmware toegepast, maar helaas nog het zelfde resultaat.

Zal eens wat meer zoeken in de richting van Netgear of ik daar wat over beperkingen op/van 443 kan vinden.

De laatste optie die ik inderdaad wil toepassen is direct achter m’n connectbox een linuxbox hangen, maar dan moet ik dingen gaan verslepen hehe, m’n Pi is in gebruik als P1 monitor ( https://www.ztatz.nl ) .. Dus een ‘last resort’

DanielB1990

Probleem zojuist opgelost door m’n Netgear router een harde reset te doen, nu werkt de poort doorverwijzing voor 443 naar behoren.

Bedankt voor het mee denken!

Cecilia

Ah, fijn om te horen dat het euvel is opgelost @DanielB1990. Ik zal dit draadje dan ook gaan sluiten. Bedankt voor het delen van dé oplossing! Mogelijk dat dit voor andere users ook de gouden tip is.

Ziggo Community

Wordt verkeer aan poort 443 door Ziggo beperkt?

Uitgelicht topic

SkyShowtime beschikbaar op de Next en Next Mini

Niet gevonden wat je zocht?

Vind de oplossing met onze zoekmachine

Stel je vraag aan andere community leden