[Çözüldü] Port izin verme

DNS ayarlarınızı gözden geçirir misiniz? MKS'nin doğru IP adresine mi çözümleniyor?

Aslında doğru anlamışsınız. IP den portlara izin vermeniz gerekir.

Merhaba Halit bey,

Virtual ip tanımladınız mı?

Gönderen: @sinankahraman

↑

DNS ayarlarınızı gözden geçirir misiniz? MKS'nin doğru IP adresine mi çözümleniyor?

Aslında doğru anlamışsınız. IP den portlara izin vermeniz gerekir.

Hocam dns ayarlarımı nslookup ile kontrol etmiştim.

Non-authoritative answer:
Name: i-mks.mkk.com.tr
Address: 185.53.62.70

Hocam bize bir link veriyorlar. Diyorlar ki o linke giriş yaptığınızda "IP Adresiniz tanımlıdır." şeklinde uyarı almalısınız. Ama böyle bir yazı ile karşılaşmıyoruz. Bu adres zaten bizim IP mizi kontrol edip 443 ve 80 portuna erişip ne yapacak ki? Yani hangi client'ın IP'sine 80 ve 443 portu için izin vermem lazım? Şirket içerisinde 3 kullanıcı var, 3 için de izin vermemiz mi gerekecek? 

Ayrıca ne kadar mantıksız gelirse gelsin bu yöntemi denedim ve işe yaramadı. Belki eksik birşeyler yapmışımdır diye üzerinden geçiyorum, lütfen yanlış anlamayın.

Gönderen: @hasanhuseynozer

↑

Merhaba Halit bey,

Virtual ip tanımladınız mı?

Evet hocam şu şekilde bir tanımlama yaptım;

config firewall vip
    edit "MKS_80"
        set mappedip "185.53.62.70"
        set extintf "wan1"
        set portforward enable
        set extport 80
        set mappedport 80
    next
    edit "MKS_443"
        set mappedip "185.53.62.70"
        set extintf "wan1"
        set portforward enable
        set extport 443
        set mappedport 443
    next
end
config firewall policy
    edit 23
        set name "MKS"
        set srcintf "wan1"
        set dstintf "IT"
        set action accept
        set srcaddr "all"
        set dstaddr "MKS_80" "MKS_443"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set nat enable
    next
end

Ayrıca birde şöyle bir yapılandırma yaptım;

config firewall address
    edit "MKS_ADDR"
        set subnet 185.53.62.70 255.255.255.255
    next
end
config firewall policy
    edit 23
        set name "MKS"
        set srcintf "IT"
        set dstintf "wan1"
        set action accept
        set srcaddr "all"
        set dstaddr "MKS_ADDR"
        set schedule "always"
        set service "HTTP" "HTTPS"
        set logtraffic all
        set nat enable
    next
end

Bütün kuralları da en üste taşıdım bu arada. Ayrıca firewall üzerinden de

execute telnet 185.53.62.70 443

yaptığım zaman yine bu adrese ulaşamıyorum.

Sizce gözden kaçırdığım veya eksik yaptığım bir durum var mı?

Hocam son olarak bilmiyorum ne kadar işe yarar bir bilgidir ama bunu da sizlerle paylaşmak istedim, belki tamamıyla anlamsızdır ama yine de belki fikir verebilir. tracert ile ağımdan dışarıya çıkış var belli bir yere kadar ama sonrasında aşağıda da görebileceğiniz üzere 7. satırdan itibaren iletişim sağlayamıyorum.

Tracing route to i-mks.mkk.com.tr [185.53.62.70]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms ---
2 <1 ms <1 ms <1 ms ---
3 <1 ms <1 ms <1 ms --.statik.turktelekom.com.tr
4 <1 ms <1 ms <1 ms --.statik.turktelekom.com.tr
5 7 ms 7 ms 7 ms 34-umraniye-xrs-t2-2.statik.turktelekom.com.tr
6 8 ms 8 ms 8 ms 34-kartal-xrs-t2-2.statik.turktelekom.com.tr
7 13 ms 13 ms 8 ms 212.156.150.30.static.turktelekom.com.tr [212.156.150.30]
8 * * * Request timed out.
9 * * * Request timed out.
...
...

 30 * * * Request timed out.

Trace complete.

Virtual IP de hata var gözüküyor, mapped kısmına MKS sunucusunun local ip adresini girip deneyin.

Gönderen: @hasanhuseynozer

↑

Virtual IP de hata var gözüküyor, mapped kısmına MKS sunucusunun local ip adresini girip deneyin.

 

-- ek mevcut değil --

Hocam şu şekilde;

MKS için local bir ip bloğu yok mu? Policy üzerinde IT networkünü seçmişsiniz çünkü

Siz yapıya hakim olmadığınızdan karışmış sanırım istekleri çok basic. Konu verdiğim ile temelde aynı, multi wan yapıyorsanız dönüş trafiğinin de aynı noktadan olduğuna emin olmalısınız, sd wan yapmalısınız. Bunun dışında 80, 443 için ayrıca bir şey yapmanız gerekmez özel olarak local ip'leri bloklamadığınız müddetçe.

https://www.cozumpark.com/community/fortigate-13/fortigate-bankalara-giris-problemi-hk/

Gönderen: @hasanhuseynozer

↑

MKS için local bir ip bloğu yok mu? Policy üzerinde IT networkünü seçmişsiniz çünkü

MKS olarak belirttiğim 185.53.62.70 IP üzerinde çalışan i-mks.mkk.com.tr domaini. IT ise bilgisayarımın bulunduğu vlan ağı.

Gönderen: @ibrahimyildiz

↑

Siz yapıya hakim olmadığınızdan karışmış sanırım istekleri çok basic. Konu verdiğim ile temelde aynı, multi wan yapıyorsanız dönüş trafiğinin de aynı noktadan olduğuna emin olmalısınız, sd wan yapmalısınız. Bunun dışında 80, 443 için ayrıca bir şey yapmanız gerekmez özel olarak local ip'leri bloklamadığınız müddetçe.

https://www.cozumpark.com/community/fortigate-13/fortigate-bankalara-giris-problemi-hk/

İbrahim hocam sadece bir tane TT METRO hattım var. Başka bir hattım yok. Yine de SD Wan kurmam gerekiyor mu?

Halit bey, İbrahim hoca'nın dediği şekilde ilerlemeniz gerekiyor

Multi wan yoksa bir yerde hata yapıyorsunuz araya yanlış config giriyorsunuz demektir. Malum yapınızın detayları da burada yok. Hasan bu yüzden sormuştu virtual ip var mı diye. Bunu tanımlamanıza da gerek yok, verdikleri cümle basit o ip'e yönelik filtering vs hiçbir şey yapmadığınız da çalışır. Herşeyi eski haline getirin yine erişim yoksa loglar üzerinden inceleyin mutlaka arada bir şey oluyordur. Site ip'nizi görmeli, siz herşeyi kontrol ettiniz yine olmuyorsa karşı taraftan log kontrolü isteyin.

Gönderen: @ibrahimyildiz

↑

Multi wan yoksa bir yerde hata yapıyorsunuz araya yanlış config giriyorsunuz demektir. Malum yapınızın detayları da burada yok. Hasan bu yüzden sormuştu virtual ip var mı diye. Bunu tanımlamanıza da gerek yok, verdikleri cümle basit o ip'e yönelik filtering vs hiçbir şey yapmadığınız da çalışır. Herşeyi eski haline getirin yine erişim yoksa loglar üzerinden inceleyin mutlaka arada bir şey oluyordur. Site ip'nizi görmeli, siz herşeyi kontrol ettiniz yine olmuyorsa karşı taraftan log kontrolü isteyin. 

İbrahim hocam kesinlikle haklısınız, bende zaten hatamı anlayabilmek için sizin gibi üstadlara soruyorum. Herhangi bir IP kısıtlamam falan yok, hatta o IP ye özel SSL kontrolü yapmadan erişim açtım, firewall üzerinden deniyorum yine olmuyor. Konuştuğumuz zaman kısıtlama var diyorlar ama firewall'umdan tracert ile o IP ye çıkış yaptığımı görüyorum. Eğer bir kısıtlama varsa o IP'ye çıkış yapamıyor olmam lazım diye düşüyorum. Peki hocam site IP'nizi görmeli diyorsunuz ya, onu nasıl yapmalıyım?

Siz herşeyi standart, filtrelenmeyecek şekilde yaptınız diyelim bence şöyle deneyebilirsiniz firewall'ın önünden porttan bir laptopla girin site sizin ip'nizi yine görmüyor erişim düzgün değilse fw elimine etmiş oldunuz sorun karşıdadır bunu karşı tarafla paralel inceleyerek ancak çözebilirsiniz.
Erişim varsa sorununuz fw'dadır kural yada paket filtering vs paket akışında buna göre log'lar üzerinden odaklanırsınız.
Gördüğünüz gibi fortigate den hiç bahsetmiyorum konuya tamamen temeller üzerinden yaklaşıyorum default'ları sağladıktan sonra elinizde detay olmuş olur fortig kaynaklı bir tespitiniz olursa arkadaşlar yardımcı olmaya çalışır yada ticket açabilirsiniz.

Gönderen: @ibrahimyildiz

↑

Siz herşeyi standart, filtrelenmeyecek şekilde yaptınız diyelim bence şöyle deneyebilirsiniz firewall'ın önünden porttan bir laptopla girin site sizin ip'nizi yine görmüyor erişim düzgün değilse fw elimine etmiş oldunuz sorun karşıdadır bunu karşı tarafla paralel inceleyerek ancak çözebilirsiniz.
Erişim varsa sorununuz fw'dadır kural yada paket filtering vs paket akışında buna göre log'lar üzerinden odaklanırsınız.
Gördüğünüz gibi fortigate den hiç bahsetmiyorum konuya tamamen temeller üzerinden yaklaşıyorum default'ları sağladıktan sonra elinizde detay olmuş olur fortig kaynaklı bir tespitiniz olursa arkadaşlar yardımcı olmaya çalışır yada ticket açabilirsiniz.

Hocam gerçekten hiç aklıma gelmemişti 🙂 çok mantıklı bir çözüm önerisi. Verdiğiniz çözümü haftasonu gördüm ve denemek için sabırsızlanıyordum. Hemen denedim ve sonuç yine ulaşamamak oldu. Artık problemin bizim tarafımızdan kaynaklanmadığına sayenizde emin oldum. Çok çok teşekkür ederim. 

Herkese iyi haftalar.

🙂 Eyvallah sevindim kolay gelsin.

Hocam kusura bakmayın konuya uzun zamandır cevap yazamıyordum çünkü hala problemim çözülmemişti. Dün nihayet problemim çözüldü. MKK ile iş yapmak bu kadar zor olmamalı! Yani basit bir IP değiştirme işlemi için 1 ay kadar uğraştık!

İlginiz için çok teşekkür ederim.