Wechseln zu:Navigation, Suche
Wiki

































De.png
En.png
Fr.png









Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen

Letzte Anpassung zur Version: 12.7.1

Neu:
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
Anwendungen Reverse-Proxy

notempty
  • Mit v12.7.0 kann nginx als Reverse Proxy Engine ausgewählt werden
  • Ein Wechsel der Engine zieht höchst wahrscheinlich eine Anpassung der Konfiguration nach sich, da jede Engine verschiedene Features unterstützt.
  • Nach der Umstellung werden nicht-unterstütze Einstellungen markiert


Verwendungszweck

Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.

Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.


Voraussetzungen

Für die Beispielkonfiguration werden folgende Werte angenommen:

  • Webserver mit der privaten IP: 10.1.0.150
  • Domäne: www.ttt-point.de


Vorbereitungen

  • Achtung:
    Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.

Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6 Reverse Proxy Servereinstellungen UI Port.png

In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen im Abschnitt
Webserver
  • Ggf. müssen Paketfilterregeln, die den Zugriff auf das User Webinterface erlauben angepasst werden.
  • Speichern


    • Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
    • Hierzu wird unter Authentifizierung Zertifikate ein Zertifikat benötigt
  • Wird ein lokal selbst erstelltes Zertifikat verwendet, müssen externe Nutzer beim ersten Aufruf eine Zertifikatswarnung bestätigen
  • Besser ist es, ein öffentlich ausgestelltes, käuflich erworbenes Zertifikat zu importieren oder ein ACME-Zertifikat zu erstellen

  • Wichtig: der Name des Zertifikates muss so benannt werden wie die Domäne.
    In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.

  • Paketfilter-Regel

    Damit der Reverse Proxy erreichbar ist, muss folgende Paketfilter-Regel vorhanden sein. Unter Firewall Paketfilter kann dies überprüft werden. Falls diese nicht vorhanden ist, wird mit Regel hinzufügen diese Regel hinzugefügt.

    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    Dragndrop.png World.svg internet Interface.svg external-interface Tcp.svg https
    3/Min
    UTM v12.7 Paketfilter Sliderbar2.png
    Accept Ein
    notempty
    Gegebenenfalls muss diese Paketfilter-Regel auch mit dem Dienst Tcp.svg http erstellt werden.


    Einrichtung

    Assistent

    Schritt 1 - Intern
    Unter Anwendungen Reverse-Proxy kann über die Schaltfläche
    Reverse-Proxy Assistent
    im Header der Assistent geöffnet werden.
    Schritt 1 - Intern: Zielserver existiert bereits als Netzwerkobjekt
    Beschriftung Wert Beschreibung Reverse-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.0 Reverse Proxy Wizard Schritt 1.pngZielserver existiert bereits als Netzwerkobjekt
    Zielserver: www.ttt-point.de Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden.
    Netzwerkobjekt hinzufügen Falls noch kein Netzwerkobjekt angelegt ist, kann mithilfe von dieser Schaltfläche ein Netzwerkobjekt erstellt werden.
    Port: 443Link= Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
    SSL benutzen: Ein Legt fest, ob SSL verwendet werden kann

    [ - ] Erweiterte Einstellungen

    notempty
    Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server.
    Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Authentifizierung Verschlüsselung  Bereich Reverse-Proxy
    Standard TLS Einstellungen verwenden: Ja Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu
    Minimale TLS Version: Standardwert verwenden Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen
    Cipher-Suite: Standardwert verwenden Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
  • Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das veraltete und unsichere Algorithmen anbietet. Dies wird ausdrücklich nicht empfohlen, stattdessen sollte der Server aktualisiert werden.
  • Ein bestimmter Cipher oder Default müssen noch mit angegeben werden.
    • Beispiele:
      • DEFAULT@SECLEVEL=0
      • ECDHE-RSA-AES256-SHA@SECLEVEL=0
    Weiter
    Schritt 2 - Extern

    Eingehende Verbindung definieren

    Externer Domainname: www.ttt-point.de Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird.

  • Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden.
  • UTM v12.7.0 Reverse Proxy Wizard Schritt 2.png
    Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert
    Weiter
    Schritt 3 - Extern (Global)
    Modus HTTP + HTTPS Zu nutzender Modus UTM v12.7.0 Reverse Proxy Wizard Schritt 3.png
    Proxy-Port: 80Link= Port für den Proxy des entsprechenden Servers
    SSL-Proxy Port: 443Link= Port für den SSL-Proxy des entsprechenden Servers
    SSL-Zertifikat: *.ttt-point.de Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: Vorbereitungen)
    Weiter
    Schritt 4 - Authentifizierung
    Authentifizierung weiterleiten: Zugangsdaten festlegen Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter.
    Der Proxy soll keine Authentifizierung durchführen
    Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen).
    Das bedeutet auch, dass % als %% geschrieben werden muss.
    UTM v12.7.0 Reverse Proxy Wizard Schritt 4.png
    Keine Authentifizierung!
    Zugangsdaten Weiterleiten (Client) Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter.
    Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet.
    Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar.
    Eine Authentifizierung ist bei dieser Option nicht erforderlich.
    Zugangsdaten Weiterleiten (Client & Proxy) Proxy - und Authentifizierung-Header werden unverändert weitergeleitet.
    Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben.
    Anmeldename    
    Passwort    
    Fertig

    Servergruppen

    Die Anordnung in Servergruppen ermöglicht es, verschiedene Beziehungen im Reverse Proxy darzustellen:
    • 1:1 - Eine Domäne/IP : Ein Server
    • 1:N - Eine Domäne/IP : Mehrere Server (Load Balancing)
    • N:1 - Mehrere Domänen/IPs : Ein Server
    • N:M - Mehrere Domänen/IPs : Mehrere Server (Load Balancing)
  • Ein Portforwarding ermöglicht lediglich eine 1:1 Beziehung - die Verbindung wird an genau einen Server weitergeleitet.
  • Servergruppe hinzufügen Fügt eine neue Servergruppe hinzu.
    Der Assistent legt automatisch eine Servergruppe an.
    Reverse-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen Reverse-Proxy Assistent UTM v12.7.0 Reverse Proxy Servergruppen.pngAutomatisch angelegte Servergruppe
    Name server-www.ttt-point.de Name
    Server www.ttt-point.de (10.1.0.150) Liste der Netzwerkobjekte, die zu der Servergruppe gehören
    IP-Adresse
    Port:
    SSL:
    Hovern mit der Maus zeigt weitere Details zu dem Netzwerkobjekt
    Bearbeiten Öffnet den Dialog zum bearbeiten einer Servergruppe (Server hinzufügen oder löschen)
    Löschen Löscht die Servergruppe (Bestätigung erforderlich)
    Servergruppe bearbeiten - nginx

    Allgemein

    Name server-www.ttt-point.de Name der Servergruppe (nicht bearbeitbar) Servergruppe bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.1 Reverse Proxy Servergruppe bearbeiten ngnix.pngBeispiel mit verschiedenen TLS-Versionen und Cipher-Suiten unter Verwendung der ngnix-Engine
    SSL benutzen Ja Legt fest, ob SSL verwendet werden kann
    Authentifizierung
  • Die Authentifizierung wird lediglich bei Nutzung der ngnix-Engine für die gesamte Gruppe zentral konfiguriert. Bei Nutzung der squid-Engine geschieht dies für jeden Server einzeln.
  • Authentifizierung weiterleiten: Zugangsdaten festlegen Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter.
    Der Proxy soll keine Authentifizierung durchführen
    Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen).
    Das bedeutet auch, dass % als %% geschrieben werden muss.
    Zugangsdaten Weiterleiten (Client) Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter.
    Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet.
    Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar.
    Eine Authentifizierung ist bei dieser Option nicht erforderlich.
    Zugangsdaten Weiterleiten (Client & Proxy) Proxy - und Authentifizierung-Header werden unverändert weitergeleitet.
    Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben.
    Anmeldename:
    Nur bei Zugangsdaten festlegen
       
    Passwort:
    Nur bei Zugangsdaten festlegen
       
    Verbindungsorientierte Microsoft-Authentifizierung weiterleiten: notempty
    Neu ab v12.7.1
    aus Ermöglicht Unterstützung für NTLM, Negotiate und Kerberos
    Server
        Suchfeld für die Server
    Netzwerkobjekt www.ttt-point.de Name
    IP-Adresse 10.1.0.150 IP-Adresse des Webservers
    Port 443 Port, über den der Server angesprochen werden soll
    TLS Default @Sec Level=4 TLS-Einstellungen für diesen Server
    Löschen Löscht den Server aus der Servergruppe der Reverse Proxys
    Bearbeiten notempty
    Neu ab v12.7.0
    / Server hinzufügen
    Allgemein
    Netzwerkobjekt Name Server hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.0 Reverse Proxy Server hinzufuegen ngnix.png
    Öffnet den Dialog zum Hinzufügen eines Netzwerkobjektes
    Port 443Link= Port, über den der Server angesprochen werden soll

    Erweiterte Einstellungen

    notempty
    Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server.
    Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Authentifizierung Verschlüsselung  Bereich Reverse-Proxy
    Standard TLS Einstellungen verwenden: Ja Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu
    Minimale TLS Version: Standardwert verwenden Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen
    Cipher-Suite: Standardwert verwenden Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
  • Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das veraltete und unsichere Algorithmen anbietet. Dies wird ausdrücklich nicht empfohlen, stattdessen sollte der Server aktualisiert werden.
  • Ein bestimmter Cipher oder Default müssen noch mit angegeben werden.
    • Beispiele:
      • DEFAULT@SECLEVEL=0
      • ECDHE-RSA-AES256-SHA@SECLEVEL=0
    Servergruppe bearbeiten - squid
    Allgemein
    Name server-www.ttt-point.de Name der Servergruppe (nicht bearbeitbar) Servergruppe bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.0 Reverse Proxy Servergruppe bearbeiten squid.pngBeispiel mit verschiedenen TLS-Versionen und Cipher-Suiten unter Verwendung der squid-Engine
    Server
        Suchfeld für die Server
    Netzwerkobjekt www.ttt-point.de Name
    IP-Adresse 10.1.0.150 IP-Adresse des Webservers
    Port 443 Port, über den der Server angesprochen werden soll
    SSL Ja Zeigt, ob SSL für den Server aktiviert ist
    Typ Zugangsdaten festlegen Authentifizierungstyp, der von dem Server genutzt wird
    Anmeldename {{#var:Leer}
    MS-Auth aus Status für die Verbindungsorientierte Microsoft-Authentifizierung (Unterstützung für NTLM, Negotiate und Kerberos)
    TLS Default @Sec Level=4 TLS-Einstellungen für diesen Server
    Löschen Löscht den Server aus der Servergruppe der Reverse Proxys
    Bearbeiten notempty
    Neu ab v12.7.0
    / Server hinzufügen
    Allgemein Server hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.0 Reverse Proxy Server hinzufuegen squid.png
    Netzwerkobjekt Name
    Öffnet den Dialog zum Hinzufügen eines Netzwerkobjektes
    Port 443Link= Port, über den der Server angesprochen werden soll
    SSL benutzen: Ja Legt fest, ob SSL verwendet werden kann
    Authentifizierung
    Authentifizierung weiterleiten: Zugangsdaten festlegen Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter.
    Der Proxy soll keine Authentifizierung durchführen
    Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen).
    Das bedeutet auch, dass % als %% geschrieben werden muss.
    Zugangsdaten Weiterleiten (Client) Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter.
    Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet.
    Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar.
    Eine Authentifizierung ist bei dieser Option nicht erforderlich.
    Zugangsdaten Weiterleiten (Client & Proxy) Proxy - und Authentifizierung-Header werden unverändert weitergeleitet.
    Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben.
    Anmeldename
    Nur bei Zugangsdaten festlegen
       
    Passwort
    Nur bei Zugangsdaten festlegen
       
    Verbindungsorientierte Microsoft-Authentifizierung weiterleiten: notempty
    Beschriftung aktualisiert
    aus Ermöglicht Unterstützung für NTLM, Negotiate und Kerberos

    Erweiterte Einstellungen

    notempty
    Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server.
    Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Authentifizierung Verschlüsselung  Bereich Reverse-Proxy
    Standard TLS Einstellungen verwenden: Ja Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu
    Minimale TLS Version: Standardwert verwenden Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen
    Cipher-Suite: Standardwert verwenden Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
  • Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das veraltete und unsichere Algorithmen anbietet. Dies wird ausdrücklich nicht empfohlen, stattdessen sollte der Server aktualisiert werden.
  • Ein bestimmter Cipher oder Default müssen noch mit angegeben werden.
    • Beispiele:
      • DEFAULT@SECLEVEL=0
      • ECDHE-RSA-AES256-SHA@SECLEVEL=0

    Sites

    Anwendungen Reverse-Proxy  Bereich Sites
    Hier können die Sites Einträge überblickt, bearbeitet ( ) und gelöscht ( ) werden.
    Reverse-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.0 Reverse Proxy Sites Uebersicht ngnix.pngSites Übersicht unter Verwendung der ngnix-Engine

    Reverse-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.0 Reverse Proxy Sites Uebersicht squid.pngSites Übersicht unter Verwendung der squid-Engine
    Sites - ngnix
    Domainname: www.ttt-point.de Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird. Site bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.1 Reverse Proxy Sites bearbeiten ngnix.pngSites bearbeiten unter Verwendung der ngnix-Engine
    Servergruppe: servergroup-www.ttt-point.de Hier wird die zugehörige Servergruppe gewählt
    Client-Bandbreite: 0Link= kbits/s Bandbreite, die einem Client maximal zur Verfügung stehen soll
    Lastverteilung: round-robin Verbindungen werden eine nach der anderen abgearbeitet.
    userhash Verbindungen eines Users (Hash auf den Benutzernamen) werden immer an den gleichen Server geleitet.
    sourcehash Verbindungen von der gleichen Quelle (IP-Adresse) werden immer an den gleichen Server geleitet.
    HTTP umleiten:
    Nur wenn Mode: HTTP + HTTPS
    Nein Bei Aktivierung werden HTTP Anfragen auf den HTTPS Port umgeleitet
    Websockets: aus Aktiviert Websockets Verbindungen für die Site
    Site-spezifischer Proxy Port: Ein 80Link=
    Default: aus
    Ermöglicht einen spezifischen Port für HTTP-Verbindungen in dieser Site
    Site-spezifischer SSL-Proxy Port: Ein 8443Link=
    Default: aus
    Ermöglicht einen spzifischen Port für HTTP-Verbindungen in dieser Site
    Site-spezifisches SSL-Zertifikat: aus Es kann ein Site-spezifisches Serverzertifikat ausgewählt werden
    ACL Sets TTT-Point Login allow Auswahl eines ACL Sets, das hinzugefügt werden soll
    Hinzufügen Ausgewähltes ACL Set hinzufügen
    Pos. Dragndrop.png Per Drag-and-Drop kann die Reihenfolge der ACL-Sets angepasst werden.
  • Die erlaubten ACL Sets sollten in der Regel vor den verbotenen kommen.
  • ACL Set aclset-www.ttt-point.de Name
    Aktion Konfiguration, ob das ACL Set erlaubt oder verboten werden soll
    Status Ein Aktivierung, bzw. Deaktivierung der Konfiguration für das ACL Set
    Löschen Löscht den Eintrag für das ACL Set
    Sites - squid
    Domainname: www.ttt-point.de Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird. Site bearbeiten UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.7.0 Reverse Proxy Sites bearbeiten squid.pngSites bearbeiten unter Verwendung der squid-Engine
    Servergruppe: servergroup-www.ttt-point.de Hier wird die zugehörige Servergruppe gewählt
    Site-Bandbreite: 0Link= kbits/s Bandbreite, die einer Site maximal zur Verfügung stehen soll
    Client-Bandbreite: 0Link= kbits/s Bandbreite, die einem Client maximal zur Verfügung stehen soll
    Lastverteilung: round-robin Verbindungen werden eine nach der anderen abgearbeitet.
    userhash Verbindungen eines Users (Hash auf den Benutzernamen) werden immer an den gleichen Server geleitet.
    sourcehash Verbindungen von der gleichen Quelle (IP-Adresse) werden immer an den gleichen Server geleitet.
    weighted-round-robin Verbindungen werden eine nach der anderen abgearbeitet, jedoch gibt es Gewichtungen, die bestimmen wie oft die gleiche Verbindung hintereinander bedient wird.
    ACL Sets TTT-Point Login allow Auswahl eines ACL Sets, das hinzugefügt werden soll
    Hinzufügen Ausgewähltes ACL Set hinzufügen
    Pos. Dragndrop.png Per Drag-and-Drop kann die Reihenfolge der ACL-Sets angepasst werden.
  • Die erlaubten ACL Sets sollten in der Regel vor den verbotenen kommen.
  • ACL Set aclset-www.ttt-point.de Name
    Aktion Konfiguration, ob das ACL Set erlaubt oder verboten werden soll
    Status Ein Aktivierung, bzw. Deaktivierung der Konfiguration für das ACL Set
    Löschen Löscht den Eintrag für das ACL Set
    Kombinationsbeispiel
    Durch Kombination verschiedener ACL-Sets mit entsprechenden Berechtigungen lässt sich z.B. erreichen, daß nur von einer bestimmten (z.B. der eigenen) öffentlichen IP-Adresse aus auf die Login-Seite eines Servers zugegriffen werden darf.


    ACL Sets

    Unter Anwendungen Reverse-Proxy  Bereich ACLSets Schaltfläche Schaltfläche ACL hinzufügen.
    Über ACLs lassen sich Zugriffsrechte zuweisen.
    Typ Beschreibung Beispiel Argument ACL hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy UTM v12.6 Reverse Proxy ALC-Set bearbeiten.png
    dstdom_regex Regex auf die Ziel-Domäne .*\ttt-point\.(de|com)
    dstdomain Gibt die Domäne/IP des Ziel-Servers an www.ttt-point.de oder IP-Adresse
    proto protoProtokoll http, https
    req_header Filter auf den Header des Clients Es könnte z. B. der Browser bestimmt werden
    src Gibt die Quell IP des Clients an 87.139.55.127/255.255.255.255
    srcdom_regex
    Nur bei squid-Engine
    Regex auf die Domäne anyideas
    srcdomain
    Nur bei squid-Engine
    Gibt die Domäne des Absenders an anyideas.de
    time Zeitangabe M T W H F 9:00-17:00
    S - Sonntag

    M - Montag
    T - Dienstag
    W - Mittwoch
    H - Donnerstag
    F - Freitag
    A - Samstag

    D - jeden Werktag
    urlpath_regex Regex für Pfade ttt-point.de/login

    Einstellungen

    Beschriftung Wert Beschreibung Reverse-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen UTM v12.7.1 Reverse Proxy Einstellungen.pngEinstellungen unter Verwendung der ngnix-Engine
    Engine: notempty
    Neu ab v12.7.0
    nginx Auswahl der zu nutzenden Engine zwischen nginx (neu) oder squid
  • Ein Wechsel der Engine zieht daher höchst wahrscheinlich eine Anpassung der Konfiguration nach sich, da jede Engine verschiedene Features unterstützt. Nach der Umstellung werden nicht-unterstütze Einstellungen markiert.
  • Ein Engine Wechsel wird erst mit dem
    Speichern
    umgesetzt.
  • Modus: HTTP + HTTPS Zu nutzender Modus
    Proxy-Port: 80Link= Port für den Proxy des entsprechenden Servers
    SSL-Proxy Port: 8443Link= Port für den SSL-Proxy des entsprechenden Servers
    SSL-Zertifikat:
    Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar
    *.ttt-point.de Zertifikat für den entsprechenden Server
    Websocket Timeout: notempty
    Neu ab v12.7.0
    60Link= Legt die Zeit für einen Websocket Timeout fest
    Zertifikatsbasierte Authentifizierung aktivieren
    Zertifikatsbasierte Authentifizierung aktivieren
    notempty
    aktualisiert
    SSL-CA: CA ttt-point.de Zertifikat für die zertifikatsbasierte Authentifizierung
  • Kann für nicht-öffentliche (Web-) Server aktiviert werden

  • Import persönlicher Zertifikate

    notempty
    Neu im Wiki

    Damit die Funktion Zertifikatsbasierte Authentifizierung aktivieren korrekt genutzt werden kann, muss das persönliche Zertifikat im verwendeten Browser vorliegen.

    Windows Zertifikat download ordner-de.png
    Abb.1
    Den Ordner mit der Zertifikatsdatei aufrufen und die Datei anklicken.
    Windows Zertifikatwizzard step 1-de.png
    Abb.2
    Im Zertifikatimport-Assistenten wird die Option "Current User" ausgewählt und mit "Next" bestätigt.
    Windows Zertifikatwizzard step 2-de.png
    Abb.3
    Im Eingabefeld Dateiname wird die zu importierende Zertifikatsdatei angezeigt. Über "Next" startet das nächste Dialogfenster.
    Windows Zertifikatwizzard step 3-de.png
    Abb.4
    Das Eingabefeld "Password" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde. Es empfiehlt sich, die Optionsfelder "Mark this key as exportable" und "Include all extended properties" auszuwählen, für den Fall, dass das persönliche Zertifikat später aus dem Browser exportiert werden soll. Abschließend wird die Schaltfläche "Next" ausgewählt.
    Windows Zertifikatwizzard step 4-de.png
    Abb.5
    Im nächsten Schritt des Zertifikatimport-Assistenten wird die Option "Automatically select the certificate store ..." gesetzt und mit "Next" bestätigt.
    Windows Zertifikatwizzard step 5-de.png
    Abb.6
    Der "Zertifikatimport-Assistent" zeigt eine Zusammenstellung der getroffenen Einstellungen an. Der Import des persönlichen Zertifikats wird über "Finish" ausgeführt.
    Windows Zertifikat import successfull-de.png
    Abb.7
    Der Importvorgang war erfolgreich.












  • Firefox kann auch mit dem Konfigurationseintrag "security.enterprise_roots.enabled = true" dazu gebracht werden, dass der Windows Zertifikatspeicher verwendet wird und der GPO verteil werden kann.
  • Ubuntu Firefox Einstellungen.png
    Abb.1
    Aus dem Anwendungsmenü wird der Top Einstellungen selektiert.
    Ubuntu Firefox Zertifikate anzeigen.png
    Abb.2
    Aus dem linken Fensterbereich wird die Kategorie "Datenschutz & Sicherheit" ausgewählt. Im rechten Fensterbereich muss bis zum Punkt "Zertifikate" gegangen werden. Dort kann die Schaltfläche "Zertifikate anzeigen ..." ausgewählt werden.
    Ubuntu Firefox Zertifikatsverwaltung.png
    Abb.3
    In der Zertifikatverwaltung wird auf die Karteikarte "Ihre Zertifikate" gewechselt. Momentan ist die Liste leer, da bislang keine persönlichen Zertifikate importiert wurden. Jetzt wird die Schaltfläche "Importieren" ausgewählt.
    Ubuntu Firefox Zertifikat öffnen.png
    Abb.4
    Zertifikatsdatei aussuchen und über die Schaltfläche "Öffnen" startet dann der Importdialog.
    Ubuntu Firefox Passwort erforderlich.png
    Abb.5
    Das Eingabefeld "Passwort" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde.
    Ubuntu Firefox erfolgreich importiertes Zertifikat.png
    Abb.6
    In der Zertifikatverwaltung wird das importierte persönliche Zertifikat nun auf der Karteikarte angezeigt. Mit "OK" wird die Zertifikatverwaltung geschlossen.












    Datei:Ubuntu Chrome Einstellungen.png
    Abb.1
    Aus dem Anwendungsmenü wird der Top "Einstellungen" selektiert.
    Datei:Ubuntu Chrome Datenschutz und Sicherheit.png
    Abb.2
    Aus dem linken Fensterbereich wird die Kategorie "Datenschutz & Sicherheit" ausgewählt.
    Datei:Ubuntu Chrome Erweitert.png
    Abb.3
    Herunterscrollen bis zum Bereich "Erweitert" und hier "Zertifikate verwalten" wählen.
    Datei:Ubuntu Chrome Zertifikate verwalten.png
    Abb.4
    Schaltfläche "Importieren" auswählen.
    Datei:Ubuntu Chrome Datei öffnen.png
    Abb.5
    Zertifikatsdatei aussuchen und über die Schaltfläche "Öffnen" startet dann der Importdialog.
    Datei:Ubuntu Chrome Passwort.png
    Abb.6
    Das Eingabefeld "Passwort" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde. Mit "Ok" bestätigen.
    Datei:Ubuntu Chrome Import erfolgreich.png
    Abb.7
    Das Zertifikat wird nun angezeigt und der Vorgang ist beendet.