Wechseln zu:Navigation, Suche
Wiki































De.png
En.png
Fr.png






HTTP-/HTTPS-Verbindungen über IPSec-VPN
Letzte Anpassung: 02.2023
Neu:
  • Layoutanpassung und Screenshots aktualisiert
  • Ergänzung für HTTPS
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Anwendungen →HTTP-Proxy

Einleitung

HTTP-/HTTPS-Anfragen werden bei aktivierten Transparenten Modus vom HTTP-Proxy abgefangen und verarbeitet. ( Für https-Anfragen muss zusätzlich die SSL-Interception aktiviert sein.)
Dabei muss der HTTP-Proxy nicht in den Einstellungen des Clients konfiguriert sein.
Ist der HTTP-/HTTPS-Server (Ziel der HTTP-/HTTPS-Anfrage) über eine VPN-Verbindung erreichbar, müssen diese Verbindungen vom Transparenten Modus ausgenommen werden, oder der HTTP-/HTTPS-Proxy für die Nutzung der VPN-Verbindung angepasst werden. Dies kann entweder über eine Ausnahmeregel für den Transparenten Modus erfolgen, oder durch das Setzen der ausgehenden IP-Adresse des HTTP-/HTTPS-Proxys.


Szenario 1: Transparente Ausnahme Regel

→ Anwendungen →HTTP-ProxyReiter Transparenter Modus Schaltfläche Transparente Regel hinzufügen
Soll eine VPN-Verbindung vom Transparenten Modus ausgenommen werden, wird im Reiter Transparenter Modus eine Regel hinzugefügt.

Beschriftung Wert Beschreibung UTM v12.2.5 Anwendungen HTTP-Proxy Transparenter-Modus IPSec-HTTP-Verbindung.png
Protokoll: HTTP

HTTPS

Für Default-Einstellungen wird HTTP ausgewählt
Typ: Exclude Es wird Exclude ausgewählt
Quelle: internal-network Das interne Netzwerk internal-network wird ausgewählt
Ziel: Ziel-IPSec-Netz Das Netzwerkobjekt auswählen, welches über die IPSec-Verbindung zum HTTP-Server erreichbar ist
Auf Speichern klicken, damit diese Einstellungen übernommen werden kann.
  • Existiert auch eine Include-Regel für HTTPS muss zusätzlich auch eine Exclude-Regel für HTTPS angelegt werden

  • Szenario 2: Ausgehende Proxy Adresse

    Soll der HTTP-Proxy für die Nutzung der VPN-Verbindung angepasst werden, wird auf → Anwendungen →HTTP-ProxyReiter Allgemein gewechselt. Unter
    Allgemein
    wird folgendes eingetragen:
    Beschriftung Wert Beschreibung UTM v12.2.5 Anwendungen HTTP-Proxy Transparenter-Modus Allgemein Ausgehende-IP.png
    Ausgehende IP-Adresse: 192.168.112.1 Interne IP-Adresse der Firewall eintragen. Diese IP sollte in dem Subnetz liegen, welches in der Phase 2 des IPSec Tunnel definiert ist.
    Auf Speichern klicken, damit diese Einstellungen übernommen werden kann.

    Vor- und Nachteile beider Szenarien

    Szenario 1: Transparente Ausnahme Regel

    Vorteil:

    • Der HTTP Verkehr wird geroutet, das Netz der Gegenstelle sieht die IP Adresse des Clients


    Nachteil:

    • Der Virenscanner im HTTP-Proxy wird für diese Verbindung nicht verwendet

    Szenario 2: Ausgehende Proxy Adresse

    Vorteil:

    • Der HTTP Aufruf kann vom Virenscanner nach Schadcode gescannt werden


    Nachteil:

    • Das Netz der Gegenstelle, sieht als IP Adresse nur die des Proxys
    • Wenn es Rule und / oder Source Routen für das Netzwerk gibt, ist der HTTP-Proxy ebenfalls von diesen betroffen