KKeine Bearbeitungszusammenfassung |
K 1 Version importiert |
||
| (9 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
{{:UTM/APP/Reverse_Proxy.lang}} | {{:UTM/APP/Reverse_Proxy.lang}} | ||
{{var | neu-- | {{var | neu--Servergruppen und Sites in einer Tabelle | ||
| [[# | | [[#Servergruppen_und_Sites|Servergruppen und Sites]] werden in einer gemeinsamen Tabelle angezeigt | ||
| | | }} | ||
{{var | neu-- | {{var | neu--Beschreibung nur noch nginx-Engine | ||
| Die Beschreibungen erfolgen nur noch anhand der nginx-Engine, da die squid-Engine veraltet ist und nicht mehr empfohlen wird | |||
| | | }} | ||
| | |||
</div>{{TOC2|cap={{#ev:vimeo|839612285|||Securepoint OpenWeb Reverse Proxy|cover=Video UTM Reverse-Proxy.png }} }}{{Select_lang}} | {{var | neu--ACL case-sensitiv | ||
{{Header| | | [[#ACL_Sets |Regex-Ausdrücke der ACL-Sets können Groß- und Kleinschreibung berücksichtigen/ignorieren]] | ||
* {{#var:neu-- | | [[#ACL_Sets |Regex expressions of the ACL sets can consider/ignore upper and lower case]] }} | ||
* {{#var:neu-- | {{var | neu--Hinweis dstdomain | ||
|[[UTM/APP/Reverse_Proxy_v12.1 | 12.1]] | | Hinweis, das Sites mindestens ein [[#acl_sets | ACL Set mit ''dstdomain'']] beinhalten müssen | ||
| }} | |||
{{var | Neu im Wiki | |||
| Neu im Wiki | |||
| New in the wiki }} | |||
</div><div class="new_design"></div>{{TOC2|limit=1|cap={{#ev:vimeo|839612285|||Securepoint OpenWeb Reverse Proxy|cover=Video UTM Reverse-Proxy.png}} }}{{Select_lang}} | |||
{{Header|14.1.1| | |||
* {{#var:neu--Servergruppen und Sites in einer Tabelle}} | |||
* {{#var:neu--ACL case-sensitiv}} <small>(v14.1.0)</small> | |||
* {{#var:neu--Hinweis dstdomain}} <small>(v14.1.0)</small> | |||
|[[UTM/APP/Reverse_Proxy_v14.0.1 | 14.0.1]] | |||
[[UTM/APP/Reverse_Proxy_v12.7 | 12.7]] | |||
[[UTM/APP/Reverse_Proxy_v12.6 | 12.6]] | |||
[[UTM/APP/Reverse_Proxy_v12.3 | 12.3]] | |||
[[UTM/APP/Reverse_Proxy_v12.1 | 12.1]] | |||
[[UTM/APP/Reverse_Proxy v11.7 | 11.7]] | [[UTM/APP/Reverse_Proxy v11.7 | 11.7]] | ||
|{{Menu| | |{{Menu-UTM|Anwendungen|Reverse-Proxy}} | ||
}} | |||
---- | ---- | ||
{{Hinweis-box| {{#var:neu--nginx}} |gr|fs__icon=em3|class=flex}} | |||
| Zeile 41: | Zeile 55: | ||
* {{#var:Vorbereitungen--desc}} | * {{#var:Vorbereitungen--desc}} | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{Einblenden| {{#var:User Webinterface Port ändern}} | {{#var:hide}} |dezent|true|id=Webinterfaceport}}{{ | {{Einblenden| {{#var:User Webinterface Port ändern}} | {{#var:hide}} |dezent|true|id=Webinterfaceport}} | ||
<br clear=all> | {{Bild| {{#var:User Webinterface Port ändern--Bild}} |||{{#var:Servereinstellungen}}|{{#var:Netzwerk}}|icon=fa-save|class=Bild-t}} | ||
{{#var:User Webinterface Port ändern--desc}} | |||
<li class="list--element__alert list--element__warning">{{#var:User Webinterface Port--Regelhinweis}}</li> | |||
{{Button-dialog||fa-save|hover={{#var:Speichern}} }}</div></div></span> | |||
<br clear=all> | |||
{{#var:Zertifikat--desc}} | {{#var:Zertifikat--desc}} | ||
<li class="list--element__alert list--element__hint Einrücken">{{#var:Lokales Zertifikat--Hinweis}}</li> | <li class="list--element__alert list--element__hint Einrücken">{{#var:Lokales Zertifikat--Hinweis}}</li> | ||
<li class="list--element__alert list--element__positiv Einrücken">{{#var:ACME-Zertifikat--Hinweis}}</li>{{a}} | <li class="list--element__alert list--element__positiv Einrücken">{{#var:ACME-Zertifikat--Hinweis}}</li>{{a}} | ||
<li class="list--element__alert list--element__hint">{{#var:Zertifikatsname--Hinweis}}</li> | <li class="list--element__alert list--element__hint">{{#var:Zertifikatsname--Hinweis}}</li> | ||
</div> | |||
==== {{#var: | |||
==== {{#var:Paketfilter-Regel}} ==== | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{{#var: | {{#var:Paketfilter--desc}} | ||
{| class="sptable2 | |||
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | |||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | || <nowiki>#</nowiki> || style="min-width:12em;" | {{#var:Quelle}} || style="min-width:12em;" | {{#var:Ziel}} || style="min-width:12em;" | {{#var:Dienst}} || style="min-width:6em;" | NAT || Logging || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;" | | ||
|- | |- | ||
| {{spc|drag|o|-}} || | | {{spc|drag|o|-}} || || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|tcp|o|-}} https || || {{Logging-Slider}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||fa|class=fas fa-chart-bar|fs=14}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|} | |} | ||
{{Hinweis-box|{{#var:Paketfilter HTTP--Hinweis}}|g}} | |||
=== {{#var: | {{h4|{{#var:Mehrere IP-Adressen unterschiedlich nutzen}} }} | ||
{{Hinweis-box|{{#var:neu ab}} 05.2025:|gr|05.2025|status=neu}} | |||
{{Hinweis-box|{{#var:Mehrere IP-Adressen--Hinweis}}|gr}} | |||
{{Einblenden3|{{#var:Konkrete Regeln für mehrere IP-Adressen anzeigen}}|{{#var:hide}}|true|dezent}} | |||
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | |||
|- class="bold small no1cell" | |||
| || <nowiki>#</nowiki> || style="min-width:12em;" | {{#var:Quelle}} || style="min-width:12em;" | {{#var:Ziel}} || style="min-width:12em;" | {{#var:Dienst}} || style="min-width:6em;" | NAT || Logging || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;" | | |||
|- | |||
| {{spc|drag|o|-}} || || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface-ip3 || {{spc|tcp|o|-}} openvpn-tcp || {{Kasten|DN|blau|title={{#var:Mehrere IPs-DN--title}} }} {{info|{{#var:Mehrere IPs-DN--info}} }} || {{Logging-Slider}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||fa|class=fas fa-chart-bar|fs=14}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- | |||
| {{spc|drag|o|-}} || || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface-ip2 || {{spc|tcp|o|-}} https || || {{Logging-Slider}} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||fa|class=fas fa-chart-bar|fs=14}}{{Button||copy|fs=14}}{{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|} | |||
</div></div></span> | |||
</div> | </div> | ||
</div> | |||
---- | |||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
|- class="Leerzeile" | |||
| colspan="3"| | |||
=== {{#var:Einrichtungsassistent}} === | |||
|- class="noborder" | |||
| colspan="3"| {{#var:Einrichtung--desc}} | |||
|- class="Leerzeile" | |||
| colspan="3"| | |||
==== {{#var:Schritt 1}} ==== | |||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan=" | | class="Bild" rowspan="10" | {{Bild| {{#var:Wizard Schritt 1--Bild}} |{{#var:Schritt 1 Netzwerkobjekt bereits angelegt--cap}}||{{#var:Reverse-Proxy Assistent}}|{{#var:Anwendungen}}|Reverse-Proxy}} | ||
|- | |- | ||
| {{b|{{#var:Zielserver}} }} || {{Button|www.ttt-point.de|dr|class=available}} || {{#var:Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc}} | | rowspan="2" | {{b|{{#var:Zielserver}}:}} || {{Button|www.ttt-point.de|dr|class=available}} || {{#var:Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc}} | ||
|- | |||
| {{Button||+}} <span class=Hover>{{#var:Netzwerkobjekt hinzufügen}}</span> || {{#var:Wizard-Netzwerkobjekt hinzufügen--desc}} | |||
|- | |- | ||
| {{b|Port:}} || {{ic|443|c}} || {{#var:Port--desc}} | | {{b|Port:}} || {{ic|443|c|class=available}} || {{#var:Port--desc}} | ||
|- | |- | ||
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:SSL benutzen--desc}} | | {{b|{{#var:SSL benutzen}}:}} || {{ButtonAn|{{#var:ein}} }} || {{#var:SSL benutzen--desc}} | ||
<!-- | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | colspan="3" | <small>'''{{#var:Schritt 1}}: {{#var:Schritt 1 Netzwerkobjekt anlegen--cap}}'''</small> | ||
|- | |- | ||
| | | {{b|{{#var:Zielserver}}:}} || {{Button|{{#var:Server anlegen}}|dr|class=available}} || {{#var:Zielserver--Server anlegen--desc}} | ||
| class="Bild" rowspan="12" | {{Bild| {{#var:Schritt 1 Netzwerkobjekt anlegen--Bild}} |{{#var:Schritt 1 Netzwerkobjekt anlegen--cap}} }} | |||
|- | |- | ||
| {{b|{{#var:Servername}} }} || {{ic|www.ttt-point.de|class=available}} || | | {{b|{{#var:Servername}}:}} || {{ic|www.ttt-point.de|class=available}} || Name | ||
|- | |- | ||
| {{b|{{#var:IP-Adresse}} }} || {{ic| 10.1.0.150|ip-rechts|class=available}} || {{#var:IP-Adresse--desc}} | | {{b|{{#var:IP-Adresse}}:}} || {{ic| 10.1.0.150|ip-rechts|class=available}} || {{#var:IP-Adresse--desc}} | ||
|- | |- | ||
| {{b| | | {{b|Zone:}} || {{Button|dmz1|dr|class=available}} || {{#var:Zone--desc}}<br> <li class="list--element__alert list--element__hint">{{#var:Zone--Hinweis}}</li> | ||
|- | |- | ||
| {{b|Port:}} || {{ic|443|c}} || {{#var:Port--desc}} | | {{b|Port:}} || {{ic|443|c}} || {{#var:Port--desc}} | ||
|- | |- | ||
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:Ja}} }} <small>('''Default:''' {{ButtonAus|{{#var:aus}} }})</small> || {{#var:SSL benutzen--desc}} | | {{b|{{#var:SSL benutzen}}:}} || {{ButtonAn|{{#var:Ja}} }} <small>('''Default:''' {{ButtonAus|{{#var:aus}} }})</small> || {{#var:SSL benutzen--desc}} | ||
|- class="Leerzeile" | |||
| colspan="2" | {{Button|{{#var:Weiter}} }} | |||
--> | |||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} | | colspan="3" | <br>{{Kasten|[ - ] {{#var:Erweiterte Einstellungen}} }}<br> {{Hinweis-box|{{#var:Erweiterte Einstellungen--Hinweis}}|g|fs__icon=em2}} | ||
|- | |- | ||
| {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}} | | {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}} | ||
|- | |- | ||
| {{b|{{#var:Minimale TLS Version}} }} || {{Button| {{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}} | | {{b|{{#var:Minimale TLS Version}}:}} || {{Button|{{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}} | ||
|- | |- | ||
| {{b| | | {{b|Cipher-Suite:}} || {{ic| Standardwert verwenden|cb|class=available}} || {{#var:Cipher-Suite--desc}}<li class="list--element__alert list--element__warning">{{#var:Cipher-Suite--Hinweis}}</li><li class="list--element__alert list--element__warning">{{#var:Cipher-Suite Angabe}}</li> | ||
{{#var:Cipher-Suite Angabe--Beispiel}} | {{#var:Cipher-Suite Angabe--Beispiel}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | colspan="2" | {{Button|{{#var:Weiter}} }} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | colspan="3" | | ||
==== {{#var:Schritt 2}} ==== | |||
|- | |- | ||
| {{b|{{#var:Externer Domainname}} }} || {{ic|www.ttt-point.de|class=available}} || {{#var:Externer Domainname--desc}}{{a|5}}<li class="list--element__alert list--element__hint">{{#var:Externer Domainname--Hinweis-IP}}</li> || class="Bild" rowspan="5" | {{Bild| {{#var:Schritt | | {{b|{{#var:Externer Domainname}} }} || {{ic|www.ttt-point.de|class=available}} || {{#var:Externer Domainname--desc}}{{a|5}}<li class="list--element__alert list--element__hint">{{#var:Externer Domainname--Hinweis-IP}}</li> | ||
| class="Bild" rowspan="2" | {{Bild| {{#var:Wizard Schritt 2--Bild}} |{{#var:Schritt 2--cap}} }} | |||
|- class="Leerzeile" | |||
| colspan="2" | {{Button|{{#var:Weiter}} }} | |||
|- class="Leerzeile" | |||
| colspan="3" | | |||
==== {{#var:Schritt 3}} ==== | |||
|- | |||
| {{b|{{#var:Modus}} }} || {{Button|HTTP + HTTPS|dr|class=available}} || {{#var:Modus--desc}} | |||
| class="Bild" rowspan="5" | {{Bild| {{#var:Wizard Schritt 3--Bild}} |{{#var:Schritt 3--cap}} }} | |||
|- | |- | ||
| {{b| | | {{b|Proxy-Port:}} || {{ic|80|c|class=available}} || {{#var:Proxy-Port--desc}} | ||
|- | |- | ||
| {{b|SSL-Proxy Port:}} || {{ic|443|c|class=available}} || {{#var:SSL-Proxy Port--desc}} | | {{b|SSL-Proxy Port:}} || {{ic|443|c|class=available}} || {{#var:SSL-Proxy Port--desc}} | ||
|- | |- | ||
| {{b|{{#var:SSL-Zertifikat}} }} || {{Button|<nowiki>*.ttt-point.de</nowiki>|dr|class=available}} || {{#var:SSL-Zertifikat--desc}} | | {{b|{{#var:SSL-Zertifikat}}:}} || {{Button|<nowiki>*.ttt-point.de</nowiki>|dr|class=available}} || {{#var:SSL-Zertifikat--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | colspan="2" | {{Button|{{#var:Weiter}} }} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | colspan="3" | | ||
==== {{#var:Schritt 4}} ==== | |||
|- | |- | ||
| rowspan="3" | {{b|{{#var:Authentifizierung weiterleiten}} }} || style="min-width:13.1em;" | {{Button|{{#var: | | rowspan="3" | {{b|{{#var:Authentifizierung weiterleiten}} }} || style="min-width:13.1em;" | {{Button|{{#var:Zugangsdaten festlegen}}|dr|class=available}} || {{#var:Authentifizierung weiterleiten--desc}}{{info|{{#var:Zugangsdaten festlegen--info}} }} | ||
| class="Bild" rowspan="6" | {{Bild| {{#var:Schritt 4--Bild}} |{{#var:Schritt 4--cap}} }} | |||
|- | |- | ||
| {{Button| {{#var:Zugangsdaten Weiterleiten-Client--val}} | dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client--desc}} | | {{Button|{{#var:Zugangsdaten Weiterleiten-Client--val}}|dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client--desc}} | ||
|- | |- | ||
| {{Button|{{#var:Zugangsdaten Weiterleiten-Client-Proxy--val}}|dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client-Proxy--desc}} | | {{Button|{{#var:Zugangsdaten Weiterleiten-Client-Proxy--val}}|dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client-Proxy--desc}} | ||
|- | |- | ||
| {{b|{{#var:Anmeldename}} }} || {{ic| |class=available}} || | | {{b|{{#var:Anmeldename}} }} || {{ic| |class=available}} || | ||
|- | |- | ||
| {{b|{{#var:Passwort}} }} || {{ic| |class=available}} || {{#var: | | {{b|{{#var:Passwort}} }} || {{ic| |class=available}} || | ||
|- class="Leerzeile" | |||
| colspan="2" | {{Button|{{#var:Fertig}} }} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
---- | |||
{|class="sptable2 pd5 zh1 einrücken" | |||
|- class="Leerzeile" | |||
| colspan="3"| | |||
=== {{Reiter|{{#var:Servergruppen und Sites}} }} {{Hinweis-box||gr|14.1.1|status=update}} === | |||
|- class="noborder" | |||
| colspan="3"| {{Hinweis-box|{{#var:neu ab}}: 14.1.1|gr|14.1.1|status=neu}} {{#var:Servergruppen und Sites--desc}} | |||
| class="Bild" rowspan="2" | {{Bild| {{#var:Servergruppen--Bild}} |{{#var:Servergruppen--cap}}||Reverse-Proxy|{{#var:Anwendungen}}|icon=fa-wand-magic-sparkles|icon-text={{#var:Reverse-Proxy Assistent}}|icon2=fa-save}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| colspan="3"| | |||
==== {{#var:Servergruppe hinzufügen}} ==== | |||
|- class="noborder" | |||
| colspan="3" | {{#var:Servergruppen--desc}} | |||
{{#var:Servergruppen--Hinweis--Liste}} | |||
<li class="list--element__alert list--element__hint small">{{#var:Portforwarding--Hinweis}}</li> | |||
|- class="noborder" | |||
| colspan="2" | {{Button|{{#var:Servergruppe hinzufügen}}|+}} || {{#var:Servergruppe hinzufügen--desc}} | |||
<!--|- | |||
| {{b|Name}} || {{whitebox|server-www.ttt-point.de |class=noborder available}} || Name | |||
|- | |||
| rowspan="2" | {{b|Server}} || {{Kasten|www.ttt-point.de (10.1.0.150)|blau|class=small }} {{Kasten|…|blau|class=small}} || {{#var:Server--desc}} | |||
|- | |||
| <i class="fal fa-hand-pointer"></i> <span class="Hover inline-flex mw10">{{#var:Server-hover--cap}}</span> || {{#var:Server-hover--desc}} | |||
|- | |||
| colspan="2" | {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> || {{#var:Servergruppen bearbeiten--Schaltfläche--desc}} | |||
|- | |||
| colspan="2" | {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || {{#var:Servergruppe löschen--desc}}--> | |||
|- class="noborder" | |||
| colspan="3"| {{Reiter|{{#var:Allgemein}} }} | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
|class="Bild" rowspan="10" | {{Bild| {{#var:Servergruppen hinzufügen ngnix--Bild}}|||{{#var:Servergruppe hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy}} | |||
|- | |- | ||
| {{b|{{#var:Authentifizierung}} }} || {{Button| {{#var:aus}}|dr|class=available}} || {{#var:Authentifizierung--desc}} | | {{b|Name}} || {{ic||bc__hgrau|class=available}} || {{#var:Allgemein-Name--desc}} | ||
|- | |||
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAus|{{#var:Nein}} }} || {{#var:SSL benutzen--desc}} | |||
|- class="noborder" | |||
| colspan="3" | {{Reiter|{{#var:Authentifizierung}} }} <li class="list--element__alert list--element__positiv">{{#var:Authentifizierung--Hinweis}}</li> | |||
|- | |||
| rowspan="3" | {{b|{{#var:Authentifizierung weiterleiten}} }} || {{Button|{{#var:Zugangsdaten festlegen}}|dr|class=available}} || {{#var:Authentifizierung weiterleiten--desc}}{{info|{{#var:Zugangsdaten festlegen--info}} }} | |||
|- | |||
| {{Button|{{#var:Zugangsdaten Weiterleiten-Client--val}}| dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client--desc}} | |||
|- | |||
| {{Button|{{#var:Zugangsdaten Weiterleiten-Client-Proxy--val}}|dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client-Proxy--desc}} | |||
|- | |||
| {{b|{{#var:Anmeldename}}:}}<br> <small>{{#var:Nur bei}} ''{{#var:Zugangsdaten festlegen}}''</small> || {{ic| |class=available}} || | |||
|- | |||
| {{b|{{#var:Passwort}}:}}<br> <small>{{#var:Nur bei}} ''{{#var:Zugangsdaten festlegen}}''</small> || {{ic| |class=available}} || | |||
|- | |||
| style="word-break: keep-all;" id="neu--MS-Auth" | {{b|{{#var:Verbindungsorientierte Microsoft-Authentifizierung weiterleiten}}:}} {{Hinweis-box|{{#var:neu ab}} v12.7.1|gr|12.7.1|status=neu}} || {{Button|{{#var:aus}}|dr|class=available}} || {{#var:Verbindungsorientierte Microsoft-Authentifizierung weiterleiten--desc}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | || || class=" | | {{Kasten|Server|grau}} | ||
|- | |||
| {{Button|Server hinzufügen|+}} || colspan="2"| {{#var:Server hinzufügen--desc}} | |||
| class="Bild" rowspan="9" | {{Bild| {{#var:Servergruppen bearbeiten ngnix--Bild}} |{{#var:Servergruppen bearbeiten ngnix--cap}}||{{#var:Servergruppe hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy}} | |||
|- | |||
| colspan="2" | {{ic||icon=suche|class=mw15}} || {{#var:Suchfeld--desc}} | |||
|- | |||
| {{b|{{#var:Netzwerkobjekt}} }} || {{whitebox|www.ttt-point.de|class=noborder}} || Name | |||
|- | |||
| {{b|{{#var:IP-Adresse}} }} || {{whitebox|10.1.0.150|class=noborder}} || {{#var:IP-Adresse--desc}} | |||
|- | |||
| {{b|Port}} || {{whitebox|443|class=noborder}} || {{#var:Port bearbeiten--desc}} | |||
|- | |||
| {{b|TLS}} || {{Kasten|Default|blau}} {{Kasten|1=@Sec Level=4|2=gelb}} || {{#var:TLS--desc}} | |||
|- | |||
| {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || colspan="2" | {{#var:Server löschen--desc}} | |||
|- | |||
| {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> || colspan="2"| {{#var:Server bearbeiten--desc}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="3" | | | | ||
{{ | |- class="Leerzeile" | ||
| colspan="3"| | |||
====== {{#var:Server hinzufügen}} ====== | |||
|- class="noborder" | |||
| colspan="3" | {{Reiter|{{#var:Allgemein}} }} | |||
|- | |||
| rowspan="2" | {{b|{{#var:Netzwerkobjekt}} }} || {{Button| |dr|class=available}} || Name | |||
| class="Bild" rowspan="9" | {{Bild| {{#var:Server hinzufügen ngnix--Bild}} |||{{#var:Server hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|{{#var:Servergruppe hinzufügen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|- | |||
| {{Button||+}} || {{#var:Netzwerkobjekt hinzufügen--desc}} | |||
|- | |- | ||
| {{b|Port}} || {{ic|80|c|class=mw50}} || {{#var:Port bearbeiten--desc}} | |||
| class= | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="noborder" | |||
| colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} }}<br> {{Hinweis-box|{{#var:Erweiterte Einstellungen--Hinweis}}|g|fs__icon=em2| class=small}} | |||
|- | |- | ||
| | | {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}} | ||
|- | |||
| {{b|{{#var:Minimale TLS Version}}:}} || {{Button|{{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}} | |||
|- | |||
| {{b|Cipher-Suite:}} || {{ic| Standardwert verwenden|cb|class=available}} || {{#var:Cipher-Suite--desc}}<li class="list--element__alert list--element__warning">{{#var:Cipher-Suite--Hinweis}}</li><li class="list--element__alert list--element__warning">{{#var:Cipher-Suite Angabe}}</li> | |||
{{#var:Cipher-Suite Angabe--Beispiel}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
|<br>{{ | | colspan="3" | | ||
==== Sites {{Hinweis-box||gr|14.1.1|status=update}} ==== | |||
|- class="noborder" | |||
| colspan="3" | {{#var:Sites--desc}}<br> | |||
{{Gallery3|collapsed=true|einblenden={{#var:ACL Sets mit und ohne destdom zeigen}}|ausblenden={{#var:hide}}|layout=dezent | |||
|{{#var:ACL Set ohne destdom--Bild}}|{{#var:ACL Set ohne destdom--cap}}|Abb1-header={{Dialog-header|{{#var:ACL Set bearbeiten}}|{{#var:Anwendungen}}|{{#var:Reverse-Proxy}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|{{#var:ACL Set mit destdom--Bild}}|{{#var:ACL Set mit destdom--cap}}|Abb2-header={{Dialog-header|{{#var:ACL Set bearbeiten}}|{{#var:Anwendungen}}|{{#var:Reverse-Proxy}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|i=2}} | |||
| class="Bild" rowspan="2" | {{Bild| {{#var:Sites ngnix--Bild}} |{{#var:Sites ngnix--cap}}||{{#var:Reverse-Proxy Assistent}}|{{#var:Anwendungen}}|Reverse-Proxy}} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
| colspan="3" | | |||
===== {{#var:Site hinzufügen}} ===== | |||
|- | |||
| {{b|{{#var:Domainname}}:}} || {{ic|www.ttt-point.de|class=available}} || {{#var:Domainname--desc}} | |||
| class="Bild" rowspan="20" | {{Bild| {{#var:Sites bearbeiten ngnix--Bild}} |{{#var:Sites bearbeiten ngnix--cap}}||{{#var:Site hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|- | |- | ||
| | | {{b|{{#var:Servergruppe}}:}} || {{Button|servergroup-www.ttt-point.de|dr|class=available}} || {{#var:Servergruppe--desc}} | ||
|- | |- | ||
| {{ | | {{b|{{#var:Client-Bandbreite}}:}} || {{ic|0|c|class=mw8}} kbits/s || {{#var:Client-Bandbreite--desc}} | ||
|- | |- | ||
| {{Button| | | rowspan="3" | {{b|{{#var:Lastverteilung}}:}} || {{Button|round-robin|dr|class=available}} || {{#var:Lastverteilung-round-robin--desc}} | ||
|- | |- | ||
| {{Button| | | {{Button|userhash|dr|class=available}} || {{#var:Lastverteilung-userhash--desc}} | ||
|- | |- | ||
| {{Button| | | {{Button|sourcehash|dr|class=available}} || {{#var:Lastverteilung-sourcehash--desc}} | ||
|- | |- | ||
| {{ | | {{b|{{#var:HTTP umleiten}}:}}<br> <small>{{#var:HTTP umleiten--Bemerkung}}</small> || {{ButtonAus|{{#var:nein}} }} || {{#var:HTTP umleiten--desc}} | ||
|- | |- | ||
| {{ | | {{b|Websockets:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Websockets--desc}} | ||
|- | |- | ||
| {{ | | {{b|{{#var:Site-spezifischer Proxy Port}}:}} || {{ButtonAn|{{#var:ein}} }} {{ic|80|c|class=mw6}}<br><small>'''Default: {{#var:aus}}'''</small> || {{#var:Site-spezifischer Proxy Port--desc}} | ||
|- | |- | ||
| {{ | | {{b|{{#var:Site-spezifischer SSL-Proxy Port}}:}} || {{ButtonAn|{{#var:ein}} }} {{ic|8443|c|class=mw6}}<br><small>'''Default: {{#var:aus}}'''</small> || {{#var:Site-spezifischer SSL-Proxy Port--desc}} | ||
|- | |- | ||
| {{ | | {{b|{{#var:Site-spezifisches SSL-Zertifikat}}:}} || {{ButtonAus|{{#var:aus}} }} || {{#var:Site-spezifisches SSL-Zertifikat--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- | |||
| rowspan="3" | <span id=acl_sets></span>{{Kasten|ACL Sets|grau}} || {{Button|TTT-Point Login allow|dr|class=available}} || {{#var:ACL-Set hinzufügen--desc}} | |||
|- | |||
| {{Button||+}} <span class=Hover>{{#var:Hinzufügen}}</span> || {{#var:ACL-Set hinzufügen button--desc}} | |||
|- | |||
| colspan="2" class=pd0 | <div class="inline-start pd5">{{Alert|fc__or|fa=fas}}</div><div style="display:flow-root; padding: 5px; border-left: 1px solid #a2a9b1;">{{#var:Sites dstdomain--Hinweis}}</div> | |||
|- | |||
| {{b|Pos.}} || {{spc|drag|o|-}} || {{#var:Pos.--desc}}<li class="list--element__alert list--element__hint">{{#var:Pos.--Hinweis}}</li> | |||
|- | |||
| {{b|ACL Set}} || aclset-www.ttt-point.de || Name | |||
|- | |||
| {{b|{{#var:Aktion}} }} || {{ButtonAn|check}} || {{#var:Aktion--desc}} | |||
|- | |||
| {{b|Status}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Status--desc}} | |||
|- class="noborder" | |||
| colspan="2" | {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || {{#var:Löschen--desc}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
|< | | | ||
|- class="Leerzeile" | |||
| colspan="3" | | |||
===== {{#var:Kombinationsbeispiel}} ===== | |||
|- class="noborder" | |||
| colspan="3"| {{#var:Kombinationsbeispiel Ziel--desc}} | |||
|- class="noborder" | |||
| colspan="4"|{{Gallery3|{{#var:Kombinationsbeispiel Schritt 1--Bild}}|{{#var:Kombinationsbeispiel Schritt 1--desc}}| Abb1={{#var:Kombinationsbeispiel Schritt}} 1 | Abb1-header={{Dialog-header|{{#var:ACLSet hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
| {{#var:Kombinationsbeispiel Schritt 2--Bild}}|{{#var:Kombinationsbeispiel Schritt 2--desc}}|Abb2={{#var:Kombinationsbeispiel Schritt}} 2 | Abb2-header={{Dialog-header|{{#var:ACLSet hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
| {{#var:Kombinationsbeispiel Schritt 3--Bild}}|{{#var:Kombinationsbeispiel Schritt 3--desc}}|Abb3={{#var:Kombinationsbeispiel Schritt}} 3 | Abb3-header={{Dialog-header|{{#var:Site bearbeiten}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
| i=2 | einblenden={{#var:Allow und Deny Kombinationsbeispiel}} | ausblenden={{#var:hide}} | layout=bigdezent | collapsed=true }} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
---- | |||
=== {{Reiter|ACL Sets}} === | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- class="noborder" | |||
| colspan="3" | {{#var:ACL Sets--desc}} | |||
|- | |||
| rowspan="3" class="mw6" | {{b|1=ACLs <i class="fas fa-sort"></i>}} || {{Kasten| dstdomain: anyideas.de|blau}}{{Kasten| urlpath_regex: \/owa|blau}} || {{#var:ACL Sets Labels--desc}} | |||
| class=Bild rowspan="7" | {{Bild| {{#var:ACL Sets Übersicht--Bild}} | {{#var:ACL Sets Übersicht--cap}} | | Reverse-Proxy | {{#var:Anwendungen}} }} | |||
|- | |||
|{{Kasten| dstdomain: anyideas.de|blau}}{{Kasten| dstdomain: ttt-point.de|blau}}{{Kasten| proto: HTTPS|blau}} || {{#var:Verknüpfung--Hinweis}} | |||
{{info|{{#var:Verknüpfung--info}} }} | |||
|- | |||
| class=mw19 | {{Kasten| dstdom_regex: -i ttt-point\.de\/HOME| blau }} || {{#var:ACL Sets Labels caseinsensitiv--desc}} {{Hinweis-box|{{#var:neu ab}} v14.1.0|gr|14.1|status=neu}} | |||
|- | |||
| colspan="2" | {{Button||w}} <span class="Hover">{{#var:Bearbeiten}}</span> || {{#var:ACL Sets bearbeiten--desc}} | |||
|- | |||
| colspan="2" | {{Button||trash}} <span class="Hover">{{#var:Löschen}}</span> || {{#var:ACL Sets löschen--desc}} | |||
|- | |- | ||
| colspan=" | | colspan="2" | {{Button|ACL Set hinzufügen|+}} || {{#var:ACL Set hinzufügen--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|- | |- | ||
! {{#var:Typ}} !! {{#var:desc}} !! {{#var:Beispiel Argument}} | |||
| class="Bild" rowspan="12" | {{Bild| {{#var:ACL Sets--Bild}} |{{#var:ACL Sets--cap}}||{{#var:ACL hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|{{#var:ACL Set hinzufügen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}<br> | |||
{{Bild | {{#var:ACL Set Regex--Bild}} | {{#var:ACL Set Regex--cap}} }} | |||
|- | |||
| {{Button|dstdom_regex|dr|class=mw8}} || {{#var:dstdom_regex--desc}} || <nowiki>.*\ttt-point\.(de|com)</nowiki> | |||
|- | |||
| {{Button|dstdomain|dr|class=available}} || {{#var:dstdomain--desc}} || {{#var:dstdomain--bsp}} | |||
|- | |||
| {{Button|proto|dr|class=available}} || {{#var:proto--desc}} || http, https | |||
|- | |||
| {{Button|req_header|dr|class=available}} || {{#var:req_header--desc}} || {{#var:req_header--bsp}} | |||
|- | |||
| {{Button|src|dr|class=available}} || {{#var:src--desc}} || 203.0.103.203 ''oder'' 203.0.103.203/32 | |||
|- | |||
| {{Button|srcdom_regex|dr|class=available}}<br> <small>{{#var:Nur bei squid-Engine}}</small> || {{#var:srcdom_regex--desc}} || anyideas | |||
|- | |||
| {{Button|srcdomain|dr|class=available}}<br> <small>{{#var:Nur bei squid-Engine}}</small> || {{#var:srcdomain--desc}} || anyideas.de ''oder'' *.anyideas.de | |||
|- | |||
| {{Button|time|dr|class=available}} || {{#var:time--desc}} || M T W H F 9:00-17:00 {{Einblenden|{{#var:Days of the Week}}|{{#var:hide}}|dezent|true}}{{#var:Days of the Week--desc}}</div></div></span> | |||
|- | |||
| {{Button|urlpath_regex|dr|class=available}} || {{#var:urlpath_regex--desc}} || {{code|\/owa}} matcht auf ''ttt-point.de/owa'' | |||
|- | |||
| colspan="2" | {{b|{{#var:Groß- und Kleinschreibung beachten}} }} {{ButtonAn|{{#var:ja}} }}<br>{{Hinweis-box|{{#var:neu ab}} v14.1.0|gr|14.1.0|status=neu}} || {{#var:Groß- und Kleinschreibung beachten--desc}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Speichern und Dialog schließen}} | ||
|- class="Leerzeile" | |||
| | |||
|} | |||
---- | |||
=== {{Reiter|{{#var:Einstellungen}} }} === | |||
{| class="sptable2 pd5 zh1 einrücken" | |||
|- | |- | ||
| | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class=" | | class="Bild" rowspan="8" | {{Bild| {{#var:Einstellungen--Bild}} |{{#var:Einstellungen--cap}}||Reverse-Proxy|{{#var:Anwendungen}}|icon=fa-save}} | ||
|- | |||
| {{b|Engine:}} {{Hinweis-box|{{#var:neu ab}} v12.7.0|gr|12.7.0|status=neu}} || {{Button|nginx|dr|class=available}} || {{#var:Engine--desc}}<li class="list--element__alert list--element__hint">{{#var:Engine--Hinweis1}}</li><li class="list--element__alert list--element__hint">{{#var:Engine--Hinweis2}}</li> | |||
|- | |||
| {{b|{{#var:Modus}}:}} || {{Button|HTTP + HTTPS|dr|class=available}} || {{#var:Modus--desc}} | |||
|- | |||
| {{b|Proxy-Port:}} || {{ic|80|c|class=available}} || {{#var:Proxy-Port--desc}} | |||
|- | |||
| {{b|SSL-Proxy Port:}} || {{ic|8443|c|class=available}} || {{#var:SSL-Proxy Port--desc}} | |||
|- | |||
| {{b|{{#var:SSL-Zertifikat}}:}}{{info|{{Hinweis-box||gr|12.7.1|status=update}}{{#var:Nur private Zertifikate--Hinweis}} }}|| {{Button|*.ttt-point.de|dr|class=available}} || {{#var:SSL-Zertifikat Einstellungen--desc}} | |||
|- | |||
| {{b|Websocket Timeout:}} <small>{{#var:Nur bei nginx-Engine}}</small> {{Hinweis-box|{{#var:neu ab}} v12.7.0|gr|12.7.0|status=neu}} || {{ic|60|c|class=available}} || {{#var:Websocket Timeout--desc}} | |||
|- class="noborder" | |||
| colspan="3" | {{h5|{{#var:Zertifikatsbasierte Authentifizierung aktivieren}}|{{Reiter|{{#var:Zertifikatsbasierte Authentifizierung aktivieren}} }} }} {{Hinweis-box|{{#var:aktualisiert}}|gr|12.7.0|status=update}} | |||
|- | |||
| {{b|SSL-CA:}} || {{Button|CA ttt-point.de|dr|class=available}} || {{#var:SSL-CA--desc}}<li class="list--element__alert list--element__hint">{{#var:SSL-CA--Hinweis}}</li> | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
|} | |} | ||
==== {{#var:Import persönlicher Zertifikate}} ==== | |||
{{Hinweis-box|{{#var:Neu im Wiki}}|gr|12.7.1|status=neu}} | |||
<div class="einrücken"> | |||
{{#var:Zertifikatsbasierte Authentifizierung aktivieren--desc}} | |||
{{Einblenden| {{#var:Import in den Zertifikatsspeicher von Windows}} | {{#var:hide}} |true|dezent}} | |||
{{Gallery3 | {{#var:Windows Zertifikat download ordner--Bild}} | {{#var:Windows Zertifikat download ordner--desc}} | |||
| {{#var:Windows Zertifikatwizzard step 1--Bild}} | {{#var:Windows Zertifikatwizzard step 1--desc}} | |||
| {{#var:Windows Zertifikatwizzard step 2--Bild}} | {{#var:Windows Zertifikatwizzard step 2--desc}} | |||
| {{#var:Windows Zertifikatwizzard step 3--Bild}} | {{#var:Windows Zertifikatwizzard step 3--desc}} | |||
| {{#var:Windows Zertifikatwizzard step 4--Bild}} | {{#var:Windows Zertifikatwizzard step 4--desc}} | |||
| {{#var:Windows Zertifikatwizzard step 5--Bild}} | {{#var:Windows Zertifikatwizzard step 5--desc}} | |||
| {{#var:Windows Zertifikat import successfull--Bild}} | {{#var:Windows Zertifikat import successfull--desc}} | |||
|Abb=true|i=3}} | |||
</div></div></span> | |||
{{Einblenden| {{#var:Firefox - Persönliches Zertifikat importieren}} | {{#var:hide}} |true|dezent}} | |||
<li class="list--element__alert list--element__hint">{{#var:Firefox--Hinweis}}</li> | |||
{{Gallery3 | {{#var:Ubuntu Firefox Einstellungen--Bild}} | {{#var:Ubuntu Firefox Einstellungen--desc}} | |||
| {{#var:Ubuntu Firefox Zertifikate anzeigen--Bild}} | {{#var:Ubuntu Firefox Zertifikate anzeigen--desc}} | |||
| {{#var:Ubuntu Firefox Zertifikatsverwaltung--Bild}} | {{#var:Ubuntu Firefox Zertifikatsverwaltung--desc}} | |||
| {{#var:Ubuntu Firefox Zertifikat öffnen--Bild}} | {{#var:Ubuntu Firefox Zertifikat öffnen--desc}} | |||
| {{#var:Ubuntu Firefox Passwort erforderlich--Bild}} | {{#var:Ubuntu Firefox Passwort erforderlich--desc}} | |||
| {{#var:Ubuntu Firefox erfolgreich importiertes Zertifikat--Bild}} | {{#var:Ubuntu Firefox erfolgreich importiertes Zertifikat--desc}} | |||
|Abb=true|i=3}} | |||
</div></div></span> | |||
{{Einblenden| {{#var:Chrome - Persönliches Zertifikat importieren (Ubuntu)}} | {{#var:hide}} |true|dezent}} | |||
{{Gallery3 | {{#var:Ubuntu Chrome Einstellungen--Bild}} | {{#var:Ubuntu Chrome Einstellungen--desc}} | |||
| {{#var:Ubuntu Chrome Datenschutz und Sicherheit--Bild}} | {{#var:Ubuntu Chrome Datenschutz und Sicherheit--desc}} | |||
| {{#var:Ubuntu Chrome Erweitert--Bild}} | {{#var:Ubuntu Chrome Erweitert--desc}} | |||
| {{#var:Ubuntu Chrome Zertifikate verwalten--Bild}} | {{#var:Ubuntu Chrome Zertifikate verwalten--desc}} | |||
| {{#var:Ubuntu Chrome Datei öffnen--Bild}} | {{#var:Ubuntu Chrome Datei öffnen--desc}} | |||
| {{#var:Ubuntu Chrome Passwort--Bild}} | {{#var:Ubuntu Chrome Passwort--desc}} | |||
| {{#var:Ubuntu Chrome Import erfolgreich--Bild}} | {{#var:Ubuntu Chrome Import erfolgreich--desc}} | |||
|Abb=true|i=3}} | |||
</div></div></span> | |||
<br clear=all></div> | |||
---- | |||
Aktuelle Version vom 18. November 2025, 14:40 Uhr
Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen
Letzte Anpassung zur Version: 14.1.1 (11.2025)
Neu:
- Servergruppen und Sites werden in einer gemeinsamen Tabelle angezeigt
- Regex-Ausdrücke der ACL-Sets können Groß- und Kleinschreibung berücksichtigen/ignorieren (v14.1.0)
- Hinweis, das Sites mindestens ein ACL Set mit dstdomain beinhalten müssen (v14.1.0)
Dieser Artikel bezieht sich auf eine Beta-Version
notempty
- Mit v12.7.0 kann nginx als Reverse Proxy Engine ausgewählt werden
- Ein Wechsel der Engine zieht höchst wahrscheinlich eine Anpassung der Konfiguration nach sich, da jede Engine verschiedene Features unterstützt.
- Nach der Umstellung werden nicht-unterstütze Einstellungen markiert
Verwendungszweck
Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.
Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.
Voraussetzungen
Für die Beispielkonfiguration werden folgende Werte angenommen:
- Webserver mit der privaten IP: 10.1.0.150
- Domäne: www.ttt-point.de
Vorbereitungen
- Achtung:
Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.
UTMbenutzer@firewall.name.fqdnNetzwerk 
Die Einstellungen dazu befinden sich im Menü Bereich Servereinstellungen im Abschnitt
Webserver
- Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
- Hierzu wird unter ein Zertifikat benötigt
In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.
Paketfilter-Regel
Damit der Reverse Proxy erreichbar ist, muss folgende Paketfilter-Regel vorhanden sein. Unter kann dies überprüft werden. Falls diese nicht vorhanden ist, wird mit diese Regel hinzugefügt.
| # | Quelle | Ziel | Dienst | NAT | Logging | Aktion | Aktiv | ||
 |
 internet |
 external-interface |
 https |
3/Min  |
Accept | Ein |
Gegebenenfalls muss diese Paketfilter-Regel auch mit dem Dienst 
http erstellt werden.
http erstellt werden.Mehrere IP-Adressen unterschiedlich nutzen
notemptyNeu ab 05.2025:
Falls mehrere öffentliche IP-Adressen zur Verfügung stehen, können die Ports der verschiedenen IP-Adressen unterschiedlich (bspw. für Reverse Proxy und VPN) verwendet werden .
Hierzu muss bei der Regel des Reverse Proxys explizit angegeben werden, dass das external-interface der spezifischen IP als Ziel genutzt werden soll. Für die andere Verwendung wird der Traffic mithilfe von DestNAT umgeleitet, also der Traffic kommt auf Port 443 an, wird dann aber mithilfe einer Paketfilterregel auf einen anderen Port (bspw. 1194 für VPN) umgeleitet.
Dies kann hilfreich sein, da Aufrufe bestimmter Ports aus dem Ausland teilweise blockiert werden. Aufrufe auf den Port 443 werden aber meist zugelassen.
Hierzu muss bei der Regel des Reverse Proxys explizit angegeben werden, dass das external-interface der spezifischen IP als Ziel genutzt werden soll. Für die andere Verwendung wird der Traffic mithilfe von DestNAT umgeleitet, also der Traffic kommt auf Port 443 an, wird dann aber mithilfe einer Paketfilterregel auf einen anderen Port (bspw. 1194 für VPN) umgeleitet.
| # | Quelle | Ziel | Dienst | NAT | Logging | Aktion | Aktiv | ||
|
internet |
external-interface-ip3 |
openvpn-tcp |
DN Netzwerkobjekt: external-interface-ip1Dienst: https |
3/Min |
Accept | Ein | ||
|
internet |
external-interface-ip2 |
https |
3/Min |
Accept | Ein |
Einrichtungsassistent | |||
| Unter kann über die Schaltfläche im Header der Assistent geöffnet werden. | |||
Schritt 1 - Intern | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy  Zielserver existiert bereits als Netzwerkobjekt
|
|---|---|---|---|
| Zielserver: | Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. | ||
| Netzwerkobjekt hinzufügen | Falls noch kein Netzwerkobjekt angelegt ist, kann mithilfe von dieser Schaltfläche ein Netzwerkobjekt erstellt werden. | ||
| Port: | 443 | Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | |
| SSL benutzen: | Ein | Legt fest, ob SSL verwendet werden kann | |
[ - ] Erweiterte Einstellungen notempty Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server. Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Bereich Reverse-Proxy | |||
| Standard TLS Einstellungen verwenden: | Ja | Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu | |
| Minimale TLS Version: | Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen | ||
| Cipher-Suite: | Standardwert verwenden | Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
| |
Schritt 2 - Extern | |||
| Externer Domainname: | www.ttt-point.de | Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird. |
 |
Schritt 3 - Extern (Global) | |||
| Modus | Zu nutzender Modus |  | |
| Proxy-Port: | 80 | Port für den Proxy des entsprechenden Servers | |
| SSL-Proxy Port: | 443 | Port für den SSL-Proxy des entsprechenden Servers | |
| SSL-Zertifikat: | Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: Vorbereitungen) | ||
Schritt 4 - Authentifizierung | |||
| Authentifizierung weiterleiten: | Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter. Der Proxy soll keine Authentifizierung durchführen Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen). Das bedeutet auch, dass % als %% geschrieben werden muss. |
 | |
| Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter. Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet. Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar. Eine Authentifizierung ist bei dieser Option nicht erforderlich. | |||
| Proxy - und Authentifizierung-Header werden unverändert weitergeleitet. Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben. | |||
| Anmeldename | |||
| Passwort | |||
Servergruppen und Sites
| |||
| notempty Neu ab: 14.1.1 Erst wenn eine Servergruppe vorhanden ist, kann ein Site hinzugefügt werden. |
UTMbenutzer@firewall.name.fqdnAnwendungen  Automatisch angelegte Servergruppe
| ||
Servergruppe hinzufügen | |||
Die Anordnung in Servergruppen ermöglicht es, verschiedene Beziehungen im Reverse Proxy darzustellen:
| |||
| Fügt eine neue Servergruppe hinzu. Der Assistent legt automatisch eine Servergruppe an. | |||
| Allgemein | |||
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy 
|
|---|---|---|---|
| Name | Name der Servergruppe (nicht bearbeitbar) | ||
| SSL benutzen | Nein | Legt fest, ob SSL verwendet werden kann | |
| Authentifizierung Bei Nutzung der squid-Engine geschieht dies für jeden Server einzeln. | |||
| Authentifizierung weiterleiten: | Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter. Der Proxy soll keine Authentifizierung durchführen Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen). Das bedeutet auch, dass % als %% geschrieben werden muss. | ||
| Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter. Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet. Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar. Eine Authentifizierung ist bei dieser Option nicht erforderlich. | |||
| Proxy - und Authentifizierung-Header werden unverändert weitergeleitet. Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben. | |||
| Anmeldename: Nur bei Zugangsdaten festlegen |
|||
| Passwort: Nur bei Zugangsdaten festlegen |
|||
| Verbindungsorientierte Microsoft-Authentifizierung weiterleiten: notempty Neu ab v12.7.1 |
Ermöglicht Unterstützung für NTLM, Negotiate und Kerberos | ||
| Server | |||
| Mittels dieser Schaltfläche lässt sich ein neuer Server hinzufügen | UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy  Beispiel mit verschiedenen TLS-Versionen und Cipher-Suiten unter Verwendung der nginx-Engine
| ||
| Suchfeld für die Server | |||
| Netzwerkobjekt | www.ttt-point.de | Name | |
| IP-Adresse | 10.1.0.150 | IP-Adresse des Webservers | |
| Port | 443 | Port, über den der Server angesprochen werden soll | |
| TLS | Default @Sec Level=4 | TLS-Einstellungen für diesen Server | |
| Löschen | Löscht den Server aus der Servergruppe der Reverse Proxys | ||
| Bearbeiten | Der Server aus der Servergruppe kann darüber bearbeitet werden | ||
Server hinzufügen | |||
| Allgemein | |||
| Netzwerkobjekt | Name | UTMbenutzer@firewall.name.fqdnAnwendungenReverse-ProxyServergruppe hinzufügen 
| |
| Öffnet den Dialog zum Hinzufügen eines Netzwerkobjektes | |||
| Port | 80 | Port, über den der Server angesprochen werden soll | |
Erweiterte Einstellungen notempty Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server. Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Bereich Reverse-Proxy | |||
| Standard TLS Einstellungen verwenden: | Ja | Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu | |
| Minimale TLS Version: | Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen | ||
| Cipher-Suite: | Standardwert verwenden | Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
| |
Sites
| |||
| Bei einer vorhandenen Servergruppe kann über die Schaltfläche ein Site hinzugefügt werden. notempty Neu ab v14.1.1 Falls ungültige Konfigurationen vorliegen, werden diese mit einer Warnung () versehen. Beim Hovern über diese Warnung wird außerdem eine kurze Beschreibung des Problems gezeigt. UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy  ACL Set ohne dst_dom* UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy  ACL Set mit dst_dom* |
UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy Die Site www.ttt-point.de zur Servergruppe servergroup.ttt-point.de unter Verwendung der nginx-Engine
| ||
Site hinzufügen | |||
| Domainname: | www.ttt-point.de | Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird. | UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy  Sites bearbeiten unter Verwendung der nginx-Engine
|
| Servergruppe: | Hier wird die zugehörige Servergruppe gewählt | ||
| Client-Bandbreite: | 0 kbits/s | Bandbreite, die einem Client maximal zur Verfügung stehen soll | |
| Lastverteilung: | Verbindungen werden eine nach der anderen abgearbeitet. | ||
| Verbindungen eines Users (Hash auf den Benutzernamen) werden immer an den gleichen Server geleitet. | |||
| Verbindungen von der gleichen Quelle (IP-Adresse) werden immer an den gleichen Server geleitet. | |||
| HTTP umleiten: Nur wenn Mode: |
Nein | Bei Aktivierung werden HTTP Anfragen auf den HTTPS Port umgeleitet | |
| Websockets: | aus | Aktiviert Websockets Verbindungen für die Site | |
| Site-spezifischer Proxy Port: | Ein 80 Default: aus |
Ermöglicht einen spezifischen Port für HTTP-Verbindungen in dieser Site | |
| Site-spezifischer SSL-Proxy Port: | Ein 8443 Default: aus |
Ermöglicht einen spzifischen Port für HTTP-Verbindungen in dieser Site | |
| Site-spezifisches SSL-Zertifikat: | aus | Es kann ein Site-spezifisches Serverzertifikat ausgewählt werden | |
| ACL Sets | Auswahl eines ACL Sets, das hinzugefügt werden soll | ||
| Hinzufügen | Ausgewähltes ACL Set hinzufügen | ||
Sites benötigen wenigstens ein ACL Set, in dem ein dstdomain oder dstdom_regex ACL vorhanden ist.
Dieses ACL Set muss der Site mit der Aktion zulassen zugeordnet sein und den Status Ein aktiviert haben. | |||
| Pos. | |
Per Drag-and-Drop kann die Reihenfolge der ACL-Sets angepasst werden. | |
| ACL Set | aclset-www.ttt-point.de | Name | |
| Aktion | Konfiguration, ob das ACL Set erlaubt oder verboten werden soll | ||
| Status | Ein | Aktivierung, bzw. Deaktivierung der Konfiguration für das ACL Set | |
| Löschen | Löscht den Eintrag für das ACL Set | ||
Kombinationsbeispiel | |||
| Durch Kombination verschiedener ACL-Sets mit entsprechenden Berechtigungen lässt sich z.B. erreichen, daß nur von einer bestimmten (z.B. der eigenen) öffentlichen IP-Adresse aus auf die Login-Seite eines Servers zugegriffen werden darf. | |||
|
UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy  Kombinationsbeispiel Schritt 1 Zunächst wird hierfür ein ACL benötigt, welches die dstdomain und die öffentliche IP-Adresse als src beinhaltet. UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy  Kombinationsbeispiel Schritt 2 Anschließend wird noch ein ACL benötigt, welches den Pfad als urlpath_regex beinhaltet. UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy  Kombinationsbeispiel Schritt 3 Zuletzt wird eine Site eingerichtet, bei der die erste Regel erlaubt wird und die zweite Regel verboten wird. | |||
ACL Sets
| Über ACLs lassen sich Zugriffsrechte zuweisen. | |||
| ACLs | dstdomain: anyideas.deurlpath_regex: \/owa | Zugeordnete ACL Sets werden als Label dargestellt. | UTMbenutzer@firewall.name.fqdn Anwendungen  Übersicht der ACL Sets
|
| dstdomain: anyideas.dedstdomain: ttt-point.deproto: HTTPS |
Im Beispiel links werden sowohl anyideas als auch ttt-point akzeptiert. In beiden Fällen aber nur, wenn die Anfrage über https entgegen genommen wird. | ||
| dstdom_regex: -i ttt-point\.de\/HOME | Regexe, die die Groß- und Kleinschreibung nicht beachten werden mit dem Parameter -i dargestellt notempty Neu ab v14.1.0 | ||
| Bearbeiten | Öffnet den Dialog zum Bearbeiten der ACL-Sets | ||
| Löschen | Entfernt ACL-Sets | ||
| Öffnet den Dialog um ACL Sets hinzuzufügen | |||
| Typ | Beschreibung | Beispiel Argument | UTMbenutzer@firewall.name.fqdnAnwendungenReverse-ProxyACL Set hinzufügen  ACL-Set time  |
|---|---|---|---|
| Regex auf die Ziel-Domäne | .*\ttt-point\.(de|com) | ||
| Gibt die Domäne/IP des Ziel-Servers an | www.ttt-point.de oder *.ttt-point.de oder IP-Adresse | ||
| Protokoll | http, https | ||
| Filter auf den Header des Clients Es muss der Name des Headers und der Regex, der auf den Wert des Headers matcht übergeben werden |
Accept-Language en-US | ||
| Gibt die Quell IP des Clients in CIDR Notierung an | 203.0.103.203 oder 203.0.103.203/32 | ||
Nur bei squid-Engine |
Regex auf die Quell-Domäne. Die Quell-Domäne wird über einen Reverse IP Lookup ermittelt (via IP-Adresse des Clients) |
anyideas | |
Nur bei squid-Engine |
Gibt die Domäne des Absenders an | anyideas.de oder *.anyideas.de | |
| Definiert einen Zeitraum, zu dem die Webseite aufgerufen werden muss | M T W H F 9:00-17:00 S - Sonntag M - Montag | ||
| Ein Regex Ausdruck, der auf die URL hinter der Ziel-Domäne matcht | \/owa matcht auf ttt-point.de/owa | ||
| Groß- und Kleinschreibung beachten: Ja notempty Neu ab v14.1.0 |
Konfiguriert, ob Regex-Argumente Case-Sensitiv behandelt werden | ||
| Speichern und Dialog schließen | |||
Einstellungen
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnAnwendungen  Einstellungen unter Verwendung der nginx-Engine
|
|---|---|---|---|
| Engine: notempty Neu ab v12.7.0 |
Auswahl der zu nutzenden Engine zwischen nginx (empfohlen) oder squid (veraltet) | ||
| Modus: | Zu nutzender Modus | ||
| Proxy-Port: | 80 | Port für den Proxy des entsprechenden Servers | |
| SSL-Proxy Port: | 8443 | Port für den SSL-Proxy des entsprechenden Servers | |
| SSL-Zertifikat: Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar |
Zertifikat für den entsprechenden Server | ||
| Websocket Timeout: notempty Neu ab v12.7.0 |
60 | Legt die Zeit für einen Websocket Timeout fest | |
Zertifikatsbasierte Authentifizierung aktivierenZertifikatsbasierte Authentifizierung aktivieren
aktualisiert | |||
| SSL-CA: | Zertifikat für die zertifikatsbasierte Authentifizierung | ||
Import persönlicher Zertifikate
notemptyNeu im Wiki
Damit die Funktion Zertifikatsbasierte Authentifizierung aktivieren korrekt genutzt werden kann, muss das persönliche Zertifikat im verwendeten Browser vorliegen.
Abb.1
Den Ordner mit der Zertifikatsdatei aufrufen und die Datei anklicken.
Abb.2
Im Zertifikatimport-Assistenten wird die Option "Current User" ausgewählt und mit "Next" bestätigt.
Abb.3
Im Eingabefeld Dateiname wird die zu importierende Zertifikatsdatei angezeigt. Über "Next" startet das nächste Dialogfenster.
Abb.4
Das Eingabefeld "Password" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde. Es empfiehlt sich, die Optionsfelder "Mark this key as exportable" und "Include all extended properties" auszuwählen, für den Fall, dass das persönliche Zertifikat später aus dem Browser exportiert werden soll. Abschließend wird die Schaltfläche "Next" ausgewählt.
Abb.5
Im nächsten Schritt des Zertifikatimport-Assistenten wird die Option "Automatically select the certificate store ..." gesetzt und mit "Next" bestätigt.
Abb.6
Der "Zertifikatimport-Assistent" zeigt eine Zusammenstellung der getroffenen Einstellungen an. Der Import des persönlichen Zertifikats wird über "Finish" ausgeführt.
Abb.7
Der Importvorgang war erfolgreich.
Abb.1
Aus dem Anwendungsmenü wird der Top Einstellungen selektiert.
Abb.2
Aus dem linken Fensterbereich wird die Kategorie "Datenschutz & Sicherheit" ausgewählt. Im rechten Fensterbereich muss bis zum Punkt "Zertifikate" gegangen werden. Dort kann die Schaltfläche "Zertifikate anzeigen ..." ausgewählt werden.
Abb.3
In der Zertifikatverwaltung wird auf die Karteikarte "Ihre Zertifikate" gewechselt. Momentan ist die Liste leer, da bislang keine persönlichen Zertifikate importiert wurden. Jetzt wird die Schaltfläche "Importieren" ausgewählt.
Abb.4
Zertifikatsdatei aussuchen und über die Schaltfläche "Öffnen" startet dann der Importdialog.
Abb.5
Das Eingabefeld "Passwort" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde.
Abb.6
In der Zertifikatverwaltung wird das importierte persönliche Zertifikat nun auf der Karteikarte angezeigt. Mit "OK" wird die Zertifikatverwaltung geschlossen.
Abb.1
Aus dem Anwendungsmenü wird der Top "Einstellungen" selektiert.
Abb.2
Aus dem linken Fensterbereich wird die Kategorie "Datenschutz & Sicherheit" ausgewählt.
Abb.3
Herunterscrollen bis zum Bereich "Erweitert" und hier "Zertifikate verwalten" wählen.
Abb.4
Schaltfläche "Importieren" auswählen.
Abb.5
Zertifikatsdatei aussuchen und über die Schaltfläche "Öffnen" startet dann der Importdialog.
Abb.6
Das Eingabefeld "Passwort" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde. Mit "Ok" bestätigen.
Abb.7
Das Zertifikat wird nun angezeigt und der Vorgang ist beendet.