Wechseln zu:Navigation, Suche
Wiki

UTM/APP/Reverse Proxy: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
KKeine Bearbeitungszusammenfassung
K 1 Version importiert
 
(3 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 3: Zeile 3:
{{#vardefine:headerIcon|spicon-utm}}
{{#vardefine:headerIcon|spicon-utm}}
{{:UTM/APP/Reverse_Proxy.lang}}
{{:UTM/APP/Reverse_Proxy.lang}}
{{var | neu--Servergruppen und Sites in einer Tabelle
| [[#Servergruppen_und_Sites|Servergruppen und Sites]] werden in einer gemeinsamen Tabelle angezeigt
|  }}
{{var | neu--Beschreibung nur noch nginx-Engine
| Die Beschreibungen erfolgen nur noch anhand der nginx-Engine, da die squid-Engine veraltet ist und nicht mehr empfohlen wird
|  }}


{{var | neu--ACL case-sensitiv
{{var | neu--ACL case-sensitiv
Zeile 11: Zeile 18:
|  }}
|  }}


{{var | neu--Import persönlicher Zertifikate
| Neuer Abschnitt: [[UTM/APP/Reverse_Proxy#Import_persönlicher_Zertifikate | Import persönlicher Zertifikate]]
| New section: [[UTM/APP/Reverse_Proxy#Import_persönlicher_Zertifikate | Import of personal certificates]] }}
{{var | neu--Verbindungsorientierte Microsoft-Authentifizierung
| [[#neu--MS-Auth|Verbindungsorientierte Microsoft-Authentifizierung (NTLM) mit ''ngnix'' möglich]]
| [[#neu--MS-Auth|Microsoft connection oriented authentication (NTLM) possible with ''nginx'']] }}
{{var | neu--persönliche Zertifikate
| Beschreibung der Funktion: [[UTM/APP/Reverse_Proxy#Zertifikatsbasierte_Authentifizierung_aktivieren | Zertifikatsbasierte Authentifizierung aktivieren ]]
| Description of the function: [[UTM/APP/Reverse_Proxy#Zertifikatsbasierte_Authentifizierung_aktivieren | Activate certificate-based authentication ]] }}
{{var | neu--Engine Auswahl
| [[#Einstellungen | Wahl der Engine]] zwischen der bekannten ''squid''-Engine und der neuen ''ngnix''-Engine
| [[#Einstellungen | Choice of engine]] between the familiar ''squid'' engine and the new ''ngnix'' engine  }}
{{var | neu--Server bearbeiten
| Server einer [[#Servergruppe | Servergruppe]] lassen sich bearbeiten
| Servers of a [[#Servergruppe | server group]] can be edited }}
{{var | neu--nur private Schlüssel
| Wo erforderlich werden nur Zertifikate mit privatem Schlüssel-Teil angeboten
| Where necessary, only certificates with a private key part are offered }}
{{var | Neu im Wiki
{{var | Neu im Wiki
| Neu im Wiki
| Neu im Wiki
| New in the wiki }}
| New in the wiki }}


{{var | neu--Warnung für Sites ohne dst_dom
</div><div class="new_design"></div>{{TOC2|limit=1|cap={{#ev:vimeo|839612285|||Securepoint OpenWeb Reverse Proxy|cover=Video UTM Reverse-Proxy.png}} }}{{Select_lang}}
| Warnung für [[#Sites|Sites]] ohne ''dst_dom*-ACL''
{{Header|14.1.1|
|  }}
* {{#var:neu--Servergruppen und Sites in einer Tabelle}}
 
* {{#var:neu--ACL case-sensitiv}} <small>(v14.1.0)</small>
{{var | neu--Hinweis zu mehreren IPs
* {{#var:neu--Hinweis dstdomain}} <small>(v14.1.0)</small>
| Hinweis zur [[#Mehrere IP-Adressen unterschiedlich nutzen|unterschiedlichen Nutzung mehrerer öffentlichen IP-Adressen]]
|  }}
 
</div><div class="new_design"></div>{{TOC2|limit=2|cap={{#ev:vimeo|839612285|||Securepoint OpenWeb Reverse Proxy|cover=Video UTM Reverse-Proxy.png}} }}{{Select_lang}}
{{Header|14.1.0|
* {{#var:neu--ACL case-sensitiv}}
* {{#var:neu--Hinweis dstdomain}}
| vorher-ver=14.0.1
| vorher=
* {{#var:neu--Warnung für Sites ohne dst_dom}}
* {{#var:neu--Hinweis zu mehreren IPs}}
|[[UTM/APP/Reverse_Proxy_v14.0.1 | 14.0.1]]
|[[UTM/APP/Reverse_Proxy_v14.0.1 | 14.0.1]]
[[UTM/APP/Reverse_Proxy_v12.7 | 12.7]]
[[UTM/APP/Reverse_Proxy_v12.7 | 12.7]]
Zeile 118: Zeile 96:
</div></div></span>
</div></div></span>


</div>
</div>
</div>
----
----
=== {{#var:Einrichtung}} ===
==== {{#var:Assistent}} ====
===== {{#var:Schritt 1}} =====
<div class="Einrücken">
{{#var:Einrichtung--desc}}
</div>


{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" | <small>'''{{#var:Schritt 1}}: {{#var:Schritt 1 Netzwerkobjekt bereits angelegt--cap}}'''</small>
| colspan="3"|
=== {{#var:Einrichtungsassistent}} ===
|- class="noborder"
| colspan="3"| {{#var:Einrichtung--desc}}
|- class="Leerzeile"
| colspan="3"|
==== {{#var:Schritt 1}} ====
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
Zeile 177: Zeile 152:
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |  
| colspan="3" |  
===== {{#var:Schritt 2}} =====
==== {{#var:Schritt 2}} ====
'''{{#var:Schritt 2--desc}}'''
|-
|-
| {{b|{{#var:Externer Domainname}} }} || {{ic|www.ttt-point.de|class=available}} || {{#var:Externer Domainname--desc}}{{a|5}}<li class="list--element__alert list--element__hint">{{#var:Externer Domainname--Hinweis-IP}}</li>
| {{b|{{#var:Externer Domainname}} }} || {{ic|www.ttt-point.de|class=available}} || {{#var:Externer Domainname--desc}}{{a|5}}<li class="list--element__alert list--element__hint">{{#var:Externer Domainname--Hinweis-IP}}</li>
Zeile 186: Zeile 160:
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |  
| colspan="3" |  
===== {{#var:Schritt 3}} =====
==== {{#var:Schritt 3}} ====
|-
|-
| {{b|{{#var:Modus}} }} || {{Button|HTTP + HTTPS|dr|class=available}} || {{#var:Modus--desc}}
| {{b|{{#var:Modus}} }} || {{Button|HTTP + HTTPS|dr|class=available}} || {{#var:Modus--desc}}
Zeile 200: Zeile 174:
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |  
| colspan="3" |  
===== {{#var:Schritt 4}} =====
==== {{#var:Schritt 4}} ====
|-
|-
| rowspan="3" | {{b|{{#var:Authentifizierung weiterleiten}} }} || style="min-width:13.1em;" | {{Button|{{#var:Zugangsdaten festlegen}}|dr|class=available}} || {{#var:Authentifizierung weiterleiten--desc}}{{info|{{#var:Zugangsdaten festlegen--info}} }}
| rowspan="3" | {{b|{{#var:Authentifizierung weiterleiten}} }} || style="min-width:13.1em;" | {{Button|{{#var:Zugangsdaten festlegen}}|dr|class=available}} || {{#var:Authentifizierung weiterleiten--desc}}{{info|{{#var:Zugangsdaten festlegen--info}} }}
Zeile 215: Zeile 189:
| colspan="2" | {{Button|{{#var:Fertig}} }}
| colspan="2" | {{Button|{{#var:Fertig}} }}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |  
|
==== {{Reiter|{{#var:Servergruppen}} }} ====
|}
 
----
 
{|class="sptable2 pd5 zh1 einrücken"
|- class="Leerzeile"
| colspan="3"|
=== {{Reiter|{{#var:Servergruppen und Sites}} }} {{Hinweis-box||gr|14.1.1|status=update}} ===
|- class="noborder"
| colspan="3"| {{Hinweis-box|{{#var:neu ab}}: 14.1.1|gr|14.1.1|status=neu}} {{#var:Servergruppen und Sites--desc}}
| class="Bild" rowspan="2" | {{Bild| {{#var:Servergruppen--Bild}} |{{#var:Servergruppen--cap}}||Reverse-Proxy|{{#var:Anwendungen}}|icon=fa-wand-magic-sparkles|icon-text={{#var:Reverse-Proxy Assistent}}|icon2=fa-save}}
|- class="Leerzeile"
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3"|
==== {{#var:Servergruppe hinzufügen}} ====
|- class="noborder"
| colspan="3" | {{#var:Servergruppen--desc}}
| colspan="3" | {{#var:Servergruppen--desc}}
{{#var:Servergruppen--Hinweis--Liste}}
{{#var:Servergruppen--Hinweis--Liste}}
<li class="list--element__alert list--element__hint small">{{#var:Portforwarding--Hinweis}}</li>
<li class="list--element__alert list--element__hint small">{{#var:Portforwarding--Hinweis}}</li>
|-
|- class="noborder"
| colspan="2" | {{Button|{{#var:Servergruppe hinzufügen}}|+}} || {{#var:Servergruppe hinzufügen--desc}}
| colspan="2" | {{Button|{{#var:Servergruppe hinzufügen}}|+}} || {{#var:Servergruppe hinzufügen--desc}}
| class="Bild" rowspan="7" | {{Bild| {{#var:Servergruppen--Bild}} |{{#var:Servergruppen--cap}}||Reverse-Proxy|{{#var:Anwendungen}}|icon=fa-wand-magic-sparkles|icon-text={{#var:Reverse-Proxy Assistent}}|icon2=fa-save}}
<!--|-
|-
| {{b|Name}} || {{whitebox|server-www.ttt-point.de |class=noborder available}} || Name
| {{b|Name}} || {{whitebox|server-www.ttt-point.de |class=noborder available}} || Name
|-
|-
Zeile 233: Zeile 221:
| colspan="2" | {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> || {{#var:Servergruppen bearbeiten--Schaltfläche--desc}}
| colspan="2" | {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> || {{#var:Servergruppen bearbeiten--Schaltfläche--desc}}
|-
|-
| colspan="2" | {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || {{#var:Servergruppe löschen--desc}}
| colspan="2" | {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || {{#var:Servergruppe löschen--desc}}-->
|- class="Leerzeile"
|- class="noborder"
|
| colspan="3"| {{Reiter|{{#var:Allgemein}} }}
|- class="Leerzeile"
|-
| colspan="3" |  
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
===== {{#var:Servergruppe bearbeiten}} - <u>''nginx''</u> =====
|class="Bild" rowspan="10" | {{Bild| {{#var:Servergruppen hinzufügen ngnix--Bild}}|||{{#var:Servergruppe hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy}}
{{Reiter|{{#var:Allgemein}} }}
|-
|-
| {{b|Name}} || {{ic|server-www.ttt-point.de|bc__hgrau|class=available}} || {{#var:Allgemein-Name--desc}}
| {{b|Name}} || {{ic||bc__hgrau|class=available}} || {{#var:Allgemein-Name--desc}}
|class="Bild" rowspan="18" | {{Bild| {{#var:Servergruppen bearbeiten ngnix--Bild}} |{{#var:Servergruppen bearbeiten ngnix--cap}}||{{#var:Servergruppe bearbeiten}}|{{#var:Anwendungen}}|Reverse-Proxy}}
|-
|-
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:SSL benutzen--desc}}
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAus|{{#var:Nein}} }} || {{#var:SSL benutzen--desc}}
|- class="noborder"
|- class="noborder"
| colspan="3" | {{Reiter|{{#var:Authentifizierung}} }} <li class="list--element__alert list--element__positiv">{{#var:Authentifizierung--Hinweis}}</li>
| colspan="3" | {{Reiter|{{#var:Authentifizierung}} }} <li class="list--element__alert list--element__positiv">{{#var:Authentifizierung--Hinweis}}</li>
Zeile 261: Zeile 247:
|- class="Leerzeile"
|- class="Leerzeile"
| {{Kasten|Server|grau}}
| {{Kasten|Server|grau}}
|-
| {{Button|Server hinzufügen|+}} || colspan="2"| {{#var:Server hinzufügen--desc}}
| class="Bild" rowspan="9" | {{Bild| {{#var:Servergruppen bearbeiten ngnix--Bild}} |{{#var:Servergruppen bearbeiten ngnix--cap}}||{{#var:Servergruppe hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy}}
|-
|-
| colspan="2" | {{ic||icon=suche|class=mw15}} || {{#var:Suchfeld--desc}}
| colspan="2" | {{ic||icon=suche|class=mw15}} || {{#var:Suchfeld--desc}}
Zeile 271: Zeile 260:
|-
|-
| {{b|TLS}} || {{Kasten|Default|blau}} {{Kasten|1=@Sec Level=4|2=gelb}} || {{#var:TLS--desc}}
| {{b|TLS}} || {{Kasten|Default|blau}} {{Kasten|1=@Sec Level=4|2=gelb}} || {{#var:TLS--desc}}
|- class="noborder"
|-  
| {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || colspan="2" | {{#var:Server löschen--desc}}
| {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || colspan="2" | {{#var:Server löschen--desc}}
|- class="noborder"
|-  
| colspan="3" | {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> {{Hinweis-box|{{#var:neu ab}} v12.7.0|gr|12.7.0|status=neu}} / {{Button|Server hinzufügen|+}}
| {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> || colspan="2"| {{#var:Server bearbeiten--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3"|
====== {{#var:Server hinzufügen}} ======
|- class="noborder"
| colspan="3" | {{Reiter|{{#var:Allgemein}} }}
| colspan="3" | {{Reiter|{{#var:Allgemein}} }}
|-
|-
Zeile 285: Zeile 277:
| {{Button||+}} || {{#var:Netzwerkobjekt hinzufügen--desc}}
| {{Button||+}} || {{#var:Netzwerkobjekt hinzufügen--desc}}
|-
|-
| {{b|Port}} || {{ic|443|c|class=mw50}} || {{#var:Port bearbeiten--desc}}
| {{b|Port}} || {{ic|80|c|class=mw50}} || {{#var:Port bearbeiten--desc}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
Zeile 301: Zeile 293:
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |
| colspan="3" |
===== {{#var:Servergruppe bearbeiten}} - <u>''squid''</u> =====
==== Sites {{Hinweis-box||gr|14.1.1|status=update}} ====
|- class="Leerzeile"
| {{Reiter|{{#var:Allgemein}} }}
|-
| {{b|Name}} || {{ic|server-www.ttt-point.de|bc__hgrau|class=available}} || {{#var:Allgemein-Name--desc}}
| class="Bild" rowspan=14 | {{Bild| {{#var:Servergruppen bearbeiten squid--Bild}} |{{#var:Servergruppen bearbeiten squid--cap}}||{{#var:Servergruppe bearbeiten}}|{{#var:Anwendungen}}|Reverse-Proxy}}
|- class="Leerzeile"
| {{Kasten|Server|grau}}
|-
| colspan="2" | {{ic||icon=suche|class=mw15}} || {{#var:Suchfeld--desc}}
|-
| {{b|{{#var:Netzwerkobjekt}} }} ||  {{whitebox|www.ttt-point.de|class=noborder}} || Name
|-
| {{b|{{#var:IP-Adresse}} }} || {{whitebox|10.1.0.150|class=noborder}} || {{#var:IP-Adresse--desc}}
|-
| {{b|Port}} || {{whitebox|443|class=noborder}} || {{#var:Port bearbeiten--desc}}
|-
| {{b|SSL}} || {{#var:Ja}} || {{#var:SSL--desc}}
|-
| {{b|{{#var:Typ}} }} || {{#var:Zugangsdaten festlegen}} || {{#var:Typ--desc}}
|-
| {{b|{{#var:Anmeldename}} }} || || {{#var:Leer}
|-
| {{b|MS-Auth}} || aus || {{#var:MS-Auth--desc}}
|-
| {{b|TLS}} || {{Kasten|Default|blau}} {{Kasten|1=@Sec Level=4|2=gelb}} || {{#var:TLS--desc}}
|- class="noborder"
| {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || colspan="2" | {{#var:Server löschen--desc}}
|- class="noborder"
| colspan="3" | {{Button||w}} <span class=Hover>{{#var:Bearbeiten}}</span> {{Hinweis-box|{{#var:neu ab}} v12.7.0|gr|12.7.0|status=neu}} / {{Button|{{#var:Server hinzufügen}}|+}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" | {{Reiter|{{#var:Allgemein}} }}
| class="Bild" rowspan="17" | {{Bild| {{#var:Server hinzufügen squid--Bild}} |||{{#var:Server hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|{{#var:Servergruppe hinzufügen}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| rowspan="2" | {{b|{{#var:Netzwerkobjekt}} }} || {{Button| |dr|class=available}} || Name
|-
| {{Button||+}} || {{#var:Netzwerkobjekt hinzufügen--desc}}
|-
| {{b|Port}} || {{ic|443|c|class=mw50}} || {{#var:Port bearbeiten--desc}}
|-
| {{b|{{#var:SSL benutzen}}:}} || {{ButtonAn|{{#var:Ja}} }} || {{#var:SSL benutzen--desc}}
|- class="Leerzeile"
| colspan="3" | {{Reiter|{{#var:Authentifizierung}} }}
|-
| rowspan="3" | {{b|{{#var:Authentifizierung weiterleiten}} }} || {{Button|{{#var:Zugangsdaten festlegen}}|dr|class=available}} || {{#var:Authentifizierung weiterleiten--desc}}{{info|{{#var:Zugangsdaten festlegen--info}} }}
|-
| {{Button|{{#var:Zugangsdaten Weiterleiten-Client--val}}|dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client--desc}}
|-
| {{Button|{{#var:Zugangsdaten Weiterleiten-Client-Proxy--val}}|dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client-Proxy--desc}}
|-
| {{b|{{#var:Anmeldename}} }}<br> <small>{{#var:Nur bei}} ''{{#var:Zugangsdaten festlegen}}''</small>  || {{ic| |class=available}} ||
|-
| {{b|{{#var:Passwort}} }}<br> <small>{{#var:Nur bei}} ''{{#var:Zugangsdaten festlegen}}''</small> || {{ic| |class=available}} ||
|-
| style="word-break: keep-all;" | {{b|{{#var:Verbindungsorientierte Microsoft-Authentifizierung weiterleiten}}:}} {{Hinweis-box|{{#var:cap}} {{#var:aktualisiert}}|gr|12.7.1|status=update}} || {{Button|{{#var:aus}}|dr|class=available}} || {{#var:Verbindungsorientierte Microsoft-Authentifizierung weiterleiten--desc}}
|- class="Leerzeile"
|
|- class="noborder"
| colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} }}<br> {{Hinweis-box|{{#var:Erweiterte Einstellungen--Hinweis}}|g|fs__icon=em2| class=small}}
|-
| {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}}
|-
| {{b|{{#var:Minimale TLS Version}}:}} || {{Button| {{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}}
|-
| {{b|Cipher-Suite:}} || {{ic| Standardwert verwenden|cb|class=available}} || {{#var:Cipher-Suite--desc}}<li class="list--element__alert list--element__warning">{{#var:Cipher-Suite--Hinweis}}</li><li class="list--element__alert list--element__warning">{{#var:Cipher-Suite Angabe}}</li>
{{#var:Cipher-Suite Angabe--Beispiel}}
|- class="Leerzeile"
|
|- class="Leerzeile"
| colspan="3" |
==== {{Reiter|Sites}} ====
|- class="noborder"
|- class="noborder"
| colspan="3" | {{#var:Sites--desc}}<br>
| colspan="3" | {{#var:Sites--desc}}<br>
Zeile 380: Zeile 300:
|{{#var:ACL Set mit destdom--Bild}}|{{#var:ACL Set mit destdom--cap}}|Abb2-header={{Dialog-header|{{#var:ACL Set bearbeiten}}|{{#var:Anwendungen}}|{{#var:Reverse-Proxy}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|{{#var:ACL Set mit destdom--Bild}}|{{#var:ACL Set mit destdom--cap}}|Abb2-header={{Dialog-header|{{#var:ACL Set bearbeiten}}|{{#var:Anwendungen}}|{{#var:Reverse-Proxy}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|i=2}}
|i=2}}
| class="Bild" rowspan="2" | {{Bild| {{#var:Sites ngnix--Bild}} |{{#var:Sites ngnix--cap}}||{{#var:Reverse-Proxy Assistent}}|{{#var:Anwendungen}}|Reverse-Proxy}}<br>&emsp14;<br> {{Bild|{{#var:Sites squid--Bild}}|{{#var:Sites squid--cap}}||{{#var:Reverse-Proxy Assistent}}|{{#var:Anwendungen}}|Reverse-Proxy}}  
| class="Bild" rowspan="2" | {{Bild| {{#var:Sites ngnix--Bild}} |{{#var:Sites ngnix--cap}}||{{#var:Reverse-Proxy Assistent}}|{{#var:Anwendungen}}|Reverse-Proxy}}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |
| colspan="3" |
===== Sites {{#var:bearbeiten}} - <u>''ngnix''</u> =====
===== {{#var:Site hinzufügen}} =====
|-  
|-  
| {{b|{{#var:Domainname}}:}} || {{ic|www.ttt-point.de|class=available}} || {{#var:Domainname--desc}}
| {{b|{{#var:Domainname}}:}} || {{ic|www.ttt-point.de|class=available}} || {{#var:Domainname--desc}}
| class="Bild" rowspan="20" | {{Bild| {{#var:Sites bearbeiten ngnix--Bild}} |{{#var:Sites bearbeiten ngnix--cap}}||{{#var:Site bearbeiten}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| class="Bild" rowspan="20" | {{Bild| {{#var:Sites bearbeiten ngnix--Bild}} |{{#var:Sites bearbeiten ngnix--cap}}||{{#var:Site hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| {{b|{{#var:Servergruppe}}:}} || {{Button|servergroup-www.ttt-point.de|dr|class=available}} || {{#var:Servergruppe--desc}}
| {{b|{{#var:Servergruppe}}:}} || {{Button|servergroup-www.ttt-point.de|dr|class=available}} || {{#var:Servergruppe--desc}}
Zeile 430: Zeile 350:
|
|
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |
| colspan="3" |  
===== Sites {{#var:bearbeiten}} - <u>''squid''</u> =====
===== {{#var:Kombinationsbeispiel}} =====
|-  
|- class="noborder"
| {{b|{{#var:Domainname}}:}} || {{ic|www.ttt-point.de|class=available}} || {{#var:Domainname--desc}}
| colspan="3"| {{#var:Kombinationsbeispiel Ziel--desc}}
| class="Bild" rowspan="17" | {{Bild| {{#var:Sites bearbeiten squid--Bild}} |{{#var:Sites bearbeiten squid--cap}}||{{#var:Site bearbeiten}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| {{b|{{#var:Servergruppe}}:}} || {{Button|servergroup-www.ttt-point.de|dr|class=available}} || {{#var:Servergruppe--desc}}
|-
| {{b|{{#var:Site-Bandbreite}}:}} || {{ic|0|c|class=mw8}} kbits/s || {{#var:Site-Bandbreite--desc}}
|-
| {{b|{{#var:Client-Bandbreite}}:}} || {{ic|0|c|class=mw8}} kbits/s || {{#var:Client-Bandbreite--desc}}
|-
| rowspan="4" | {{b|{{#var:Lastverteilung}}:}} || {{Button|round-robin|dr|class=available}} || {{#var:Lastverteilung-round-robin--desc}}
|-
| {{Button|userhash|dr|class=available}} || {{#var:Lastverteilung-userhash--desc}}
|-
| {{Button|sourcehash|dr|class=available}} || {{#var:Lastverteilung-sourcehash--desc}}
|-
| {{Button|weighted-round-robin|dr|class=available}} || {{#var:Lastverteilung-weighted-round-robin--desc}}
|- class="Leerzeile"
|
|-
| rowspan="3" | {{Kasten|ACL Sets|grau}} || {{Button|TTT-Point Login allow|dr|class=available}} || {{#var:ACL-Set hinzufügen--desc}}
|-
| {{Button||+}} <span class=Hover>{{#var:Hinzufügen}}</span> || {{#var:ACL-Set hinzufügen button--desc}}
|-
| colspan="2"  class=pd0 | <div class="inline-start pd5">{{Alert|fc__or|fa=fas}}</div><div style="display:flow-root; padding: 5px; border-left: 1px solid #a2a9b1;">{{#var:Sites dstdomain--Hinweis}}</div>
|-
| {{b|Pos.}} || {{spc|drag|o|-}} || {{#var:Pos.--desc}}<li class="list--element__alert list--element__hint">{{#var:Pos.--Hinweis}}</li>
|-
| {{b|ACL Set}} || aclset-www.ttt-point.de || {{#var:ACL Sets2--desc}}
|-
| {{b|{{#var:Aktion}} }} || {{ButtonAn|check}} || {{#var:Aktion--desc}}
|-
| {{b|Status}} || {{ButtonAn|{{#var:ein}} }} || {{#var:Status--desc}}
|- class="noborder"
|- class="noborder"
| colspan="2" | {{Button||trash}} <span class=Hover>{{#var:Löschen}}</span> || {{#var:Löschen--desc}}
| colspan="4"|{{Gallery3|{{#var:Kombinationsbeispiel Schritt 1--Bild}}|{{#var:Kombinationsbeispiel Schritt 1--desc}}| Abb1={{#var:Kombinationsbeispiel Schritt}} 1 | Abb1-header={{Dialog-header|{{#var:ACLSet hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|- class="Leerzeile"
| colspan="4" | {{h5|{{#var:Kombinationsbeispiel}} }}{{#var:Kombinationsbeispiel Ziel--desc}}<br>
{{Gallery3|{{#var:Kombinationsbeispiel Schritt 1--Bild}}|{{#var:Kombinationsbeispiel Schritt 1--desc}}| Abb1={{#var:Kombinationsbeispiel Schritt}} 1 | Abb1-header={{Dialog-header|{{#var:ACLSet hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| {{#var:Kombinationsbeispiel Schritt 2--Bild}}|{{#var:Kombinationsbeispiel Schritt 2--desc}}|Abb2={{#var:Kombinationsbeispiel Schritt}} 2 | Abb2-header={{Dialog-header|{{#var:ACLSet hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| {{#var:Kombinationsbeispiel Schritt 2--Bild}}|{{#var:Kombinationsbeispiel Schritt 2--desc}}|Abb2={{#var:Kombinationsbeispiel Schritt}} 2 | Abb2-header={{Dialog-header|{{#var:ACLSet hinzufügen}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| {{#var:Kombinationsbeispiel Schritt 3--Bild}}|{{#var:Kombinationsbeispiel Schritt 3--desc}}|Abb3={{#var:Kombinationsbeispiel Schritt}} 3 | Abb3-header={{Dialog-header|{{#var:Site bearbeiten}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| {{#var:Kombinationsbeispiel Schritt 3--Bild}}|{{#var:Kombinationsbeispiel Schritt 3--desc}}|Abb3={{#var:Kombinationsbeispiel Schritt}} 3 | Abb3-header={{Dialog-header|{{#var:Site bearbeiten}}|{{#var:Anwendungen}}|Reverse-Proxy|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
| i=2 | einblenden={{#var:Allow und Deny Kombinationsbeispiel}} | ausblenden={{#var:hide}} | layout=bigdezent | collapsed=true }}
| i=2 | einblenden={{#var:Allow und Deny Kombinationsbeispiel}} | ausblenden={{#var:hide}} | layout=bigdezent | collapsed=true }}
|- class="Leerzeile"
|- class="Leerzeile"
|
|}
|}


==== {{Reiter|ACL Sets}} ====
----
 
=== {{Reiter|ACL Sets}} ===
{| class="sptable2 pd5 zh1 Einrücken"
{| class="sptable2 pd5 zh1 Einrücken"
|- class="noborder"
|- class="noborder"
Zeile 524: Zeile 412:
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Speichern und Dialog schließen}}
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark}} || {{#var:Speichern und Dialog schließen}}
|- class="Leerzeile"
|- class="Leerzeile"
| colspan="3" |  
|  
==== {{Reiter|{{#var:Einstellungen}} }} ====
|}
 
----
 
=== {{Reiter|{{#var:Einstellungen}} }} ===
{| class="sptable2 pd5 zh1 einrücken"
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}

Aktuelle Version vom 18. November 2025, 14:40 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden

























| Name of the network object }}


| Zone of the network object }}










| Authentication for access from the Internet }}





































































































































Thumbnail for

Video laden
Vimeo
Securepoint OpenWeb Reverse Proxy









Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen

Letzte Anpassung zur Version: 14.1.1(11.2025)

Neu:
notempty
Dieser Artikel bezieht sich auf eine Beta-Version

14.0.1 12.7 12.6 12.3 12.1 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115 Anwendungen Reverse-Proxy
notempty
  • Mit v12.7.0 kann nginx als Reverse Proxy Engine ausgewählt werden
  • Ein Wechsel der Engine zieht höchst wahrscheinlich eine Anpassung der Konfiguration nach sich, da jede Engine verschiedene Features unterstützt.
  • Nach der Umstellung werden nicht-unterstütze Einstellungen markiert


Verwendungszweck

Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.

Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.


Voraussetzungen

Für die Beispielkonfiguration werden folgende Werte angenommen:

  • Webserver mit der privaten IP: 10.1.0.150
  • Domäne: www.ttt-point.de


Vorbereitungen

  • Achtung:
    Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.

Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk

In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen im Abschnitt
Webserver
  • Ggf. müssen Paketfilterregeln, die den Zugriff auf das User Webinterface erlauben angepasst werden.
    • Speichern


    • Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
    • Hierzu wird unter Authentifizierung Zertifikate ein Zertifikat benötigt
  • Wird ein lokal selbst erstelltes Zertifikat verwendet, müssen externe Nutzer beim ersten Aufruf eine Zertifikatswarnung bestätigen
  • Besser ist es, ein öffentlich ausgestelltes, käuflich erworbenes Zertifikat zu importieren oder ein ACME-Zertifikat zu erstellen

  • Wichtig: der Name des Zertifikates muss so benannt werden wie die Domäne.
    In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.


    • Paketfilter-Regel

    Damit der Reverse Proxy erreichbar ist, muss folgende Paketfilter-Regel vorhanden sein. Unter Firewall Paketfilter kann dies überprüft werden. Falls diese nicht vorhanden ist, wird mit Regel hinzufügen diese Regel hinzugefügt.

    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    internet external-interface https
    3/Min
    		 Accept Ein
    notempty
    Gegebenenfalls muss diese Paketfilter-Regel auch mit dem Dienst http erstellt werden.

    Mehrere IP-Adressen unterschiedlich nutzen

    notempty
    Neu ab 05.2025:
     notempty
    Falls mehrere öffentliche IP-Adressen zur Verfügung stehen, können die Ports der verschiedenen IP-Adressen unterschiedlich (bspw. für Reverse Proxy und VPN) verwendet werden
    Dies kann hilfreich sein, da Aufrufe bestimmter Ports aus dem Ausland teilweise blockiert werden. Aufrufe auf den Port 443 werden aber meist zugelassen.
    .
    Hierzu muss bei der Regel des Reverse Proxys explizit angegeben werden, dass das external-interface der spezifischen IP als Ziel genutzt werden soll. Für die andere Verwendung wird der Traffic mithilfe von DestNAT umgeleitet, also der Traffic kommt auf Port 443 an, wird dann aber mithilfe einer Paketfilterregel auf einen anderen Port (bspw. 1194 für VPN) umgeleitet.
    # Quelle Ziel Dienst NAT Logging Aktion Aktiv
    internet external-interface-ip3 openvpn-tcp DN
    Netzwerkobjekt: external-interface-ip1
    Dienst: https
    3/Min
    		 Accept Ein
    internet external-interface-ip2 https
    3/Min
    		 Accept Ein

    Einrichtungsassistent

    Unter Anwendungen Reverse-Proxy kann über die Schaltfläche Reverse-Proxy Assistent im Header der Assistent geöffnet werden.

    Schritt 1 - Intern

    Beschriftung Wert Beschreibung Reverse-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy Zielserver existiert bereits als Netzwerkobjekt
    Zielserver: www.ttt-point.de Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden.
    Netzwerkobjekt hinzufügen Falls noch kein Netzwerkobjekt angelegt ist, kann mithilfe von dieser Schaltfläche ein Netzwerkobjekt erstellt werden.
    Port: 443 Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
    SSL benutzen: Ein Legt fest, ob SSL verwendet werden kann

    [ - ] Erweiterte Einstellungen

    notempty
    Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server.
    Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Authentifizierung Verschlüsselung  Bereich Reverse-Proxy
    Standard TLS Einstellungen verwenden: Ja Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu
    Minimale TLS Version: Standardwert verwenden Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen
    Cipher-Suite: Standardwert verwenden Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
  • Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das veraltete und unsichere Algorithmen anbietet. Dies wird ausdrücklich nicht empfohlen, stattdessen sollte der Server aktualisiert werden.
  • Ein bestimmter Cipher oder Default müssen noch mit angegeben werden.
    • Beispiele:
      • DEFAULT@SECLEVEL=0
      • ECDHE-RSA-AES256-SHA@SECLEVEL=0
    Weiter

    Schritt 2 - Extern

    Externer Domainname: www.ttt-point.de Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird.

  • Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden.
    		•
    Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert
    Weiter

    Schritt 3 - Extern (Global)

    Modus HTTP + HTTPS Zu nutzender Modus
    Proxy-Port: 80 Port für den Proxy des entsprechenden Servers
    SSL-Proxy Port: 443 Port für den SSL-Proxy des entsprechenden Servers
    SSL-Zertifikat: *.ttt-point.de Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: Vorbereitungen)
    Weiter

    Schritt 4 - Authentifizierung

    Authentifizierung weiterleiten: Zugangsdaten festlegen Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter.
    Der Proxy soll keine Authentifizierung durchführen
    Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen).
    Das bedeutet auch, dass % als %% geschrieben werden muss.
    Keine Authentifizierung!
    Zugangsdaten Weiterleiten (Client) Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter.
    Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet.
    Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar.
    Eine Authentifizierung ist bei dieser Option nicht erforderlich.
    Zugangsdaten Weiterleiten (Client & Proxy) Proxy - und Authentifizierung-Header werden unverändert weitergeleitet.
    Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben.
    Anmeldename    
    Passwort    
    Fertig

    Servergruppen und Sites

    notempty
    Neu ab: 14.1.1
     Vorhandene eingerichtete Servergruppen werden hier tabellarisch dargestellt. Deren dazugehörigen Sites werden in Untertabellen dargestellt.

    Erst wenn eine Servergruppe vorhanden ist, kann ein Site hinzugefügt werden.

    		Reverse-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen Reverse-Proxy Assistent Automatisch angelegte Servergruppe

    Servergruppe hinzufügen

    Die Anordnung in Servergruppen ermöglicht es, verschiedene Beziehungen im Reverse Proxy darzustellen:
    • 1:1 - Eine Domäne/IP : Ein Server
    • 1:N - Eine Domäne/IP : Mehrere Server (Load Balancing)
    • N:1 - Mehrere Domänen/IPs : Ein Server
    • N:M - Mehrere Domänen/IPs : Mehrere Server (Load Balancing)
  • Ein Portforwarding ermöglicht lediglich eine 1:1 Beziehung - die Verbindung wird an genau einen Server weitergeleitet.
    • Servergruppe hinzufügen Fügt eine neue Servergruppe hinzu.
    Der Assistent legt automatisch eine Servergruppe an.
    Allgemein
    Beschriftung Wert Beschreibung Servergruppe hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy
    Name     Name der Servergruppe (nicht bearbeitbar)
    SSL benutzen Nein Legt fest, ob SSL verwendet werden kann
    Authentifizierung
  • Die Authentifizierung wird lediglich bei Nutzung der nginx-Engine für die gesamte Gruppe zentral konfiguriert.
    Bei Nutzung der squid-Engine geschieht dies für jeden Server einzeln.
    • Authentifizierung weiterleiten: Zugangsdaten festlegen Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter.
    Der Proxy soll keine Authentifizierung durchführen
    Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen).
    Das bedeutet auch, dass % als %% geschrieben werden muss.
    Zugangsdaten Weiterleiten (Client) Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter.
    Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet.
    Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar.
    Eine Authentifizierung ist bei dieser Option nicht erforderlich.
    Zugangsdaten Weiterleiten (Client & Proxy) Proxy - und Authentifizierung-Header werden unverändert weitergeleitet.
    Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben.
    Anmeldename:
    Nur bei Zugangsdaten festlegen    		    
    Passwort:
    Nur bei Zugangsdaten festlegen    		    
    Verbindungsorientierte Microsoft-Authentifizierung weiterleiten: notempty
    Neu ab v12.7.1
    		 aus Ermöglicht Unterstützung für NTLM, Negotiate und Kerberos
    Server
    Server hinzufügen Mittels dieser Schaltfläche lässt sich ein neuer Server hinzufügen Servergruppe hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy Beispiel mit verschiedenen TLS-Versionen und Cipher-Suiten unter Verwendung der nginx-Engine
        Suchfeld für die Server
    Netzwerkobjekt www.ttt-point.de Name
    IP-Adresse 10.1.0.150 IP-Adresse des Webservers
    Port 443 Port, über den der Server angesprochen werden soll
    TLS Default @Sec Level=4 TLS-Einstellungen für diesen Server
    Löschen Löscht den Server aus der Servergruppe der Reverse Proxys
    Bearbeiten Der Server aus der Servergruppe kann darüber bearbeitet werden
    Server hinzufügen
    Allgemein
    Netzwerkobjekt Name Server hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-ProxyServergruppe hinzufügen
    Öffnet den Dialog zum Hinzufügen eines Netzwerkobjektes
    Port 80 Port, über den der Server angesprochen werden soll

    Erweiterte Einstellungen

    notempty
    Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server.
    Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Authentifizierung Verschlüsselung  Bereich Reverse-Proxy
    Standard TLS Einstellungen verwenden: Ja Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu
    Minimale TLS Version: Standardwert verwenden Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen
    Cipher-Suite: Standardwert verwenden Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
  • Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das veraltete und unsichere Algorithmen anbietet. Dies wird ausdrücklich nicht empfohlen, stattdessen sollte der Server aktualisiert werden.
  • Ein bestimmter Cipher oder Default müssen noch mit angegeben werden.
    • Beispiele:
      • DEFAULT@SECLEVEL=0
      • ECDHE-RSA-AES256-SHA@SECLEVEL=0

    Sites

    Bei einer vorhandenen Servergruppe kann über die Schaltfläche ein Site hinzugefügt werden. notempty
    Neu ab v14.1.1

    Falls ungültige Konfigurationen vorliegen, werden diese mit einer Warnung () versehen. Beim Hovern über diese Warnung wird außerdem eine kurze Beschreibung des Problems gezeigt.
    Alle Sites müssen ein dst_dom*-ACL aktiv haben, andernfalls werden sie ignoriert.

    		 Reverse-Proxy Assistent UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy Die Site www.ttt-point.de zur Servergruppe servergroup.ttt-point.de unter Verwendung der nginx-Engine
    Site hinzufügen
    Domainname: www.ttt-point.de Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird. Site hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-Proxy Sites bearbeiten unter Verwendung der nginx-Engine
    Servergruppe: servergroup-www.ttt-point.de Hier wird die zugehörige Servergruppe gewählt
    Client-Bandbreite: 0 kbits/s Bandbreite, die einem Client maximal zur Verfügung stehen soll
    Lastverteilung: round-robin Verbindungen werden eine nach der anderen abgearbeitet.
    userhash Verbindungen eines Users (Hash auf den Benutzernamen) werden immer an den gleichen Server geleitet.
    sourcehash Verbindungen von der gleichen Quelle (IP-Adresse) werden immer an den gleichen Server geleitet.
    HTTP umleiten:
    Nur wenn Mode: HTTP + HTTPS    		 Nein Bei Aktivierung werden HTTP Anfragen auf den HTTPS Port umgeleitet
    Websockets: aus Aktiviert Websockets Verbindungen für die Site
    Site-spezifischer Proxy Port: Ein 80
    Default: aus    		 Ermöglicht einen spezifischen Port für HTTP-Verbindungen in dieser Site
    Site-spezifischer SSL-Proxy Port: Ein 8443
    Default: aus    		 Ermöglicht einen spzifischen Port für HTTP-Verbindungen in dieser Site
    Site-spezifisches SSL-Zertifikat: aus Es kann ein Site-spezifisches Serverzertifikat ausgewählt werden
    ACL Sets TTT-Point Login allow Auswahl eines ACL Sets, das hinzugefügt werden soll
    Hinzufügen Ausgewähltes ACL Set hinzufügen
    Sites benötigen wenigstens ein ACL Set, in dem ein dstdomain oder dstdom_regex ACL vorhanden ist.
    Dieses ACL Set muss der Site mit der Aktion zulassen zugeordnet sein und den Status Ein aktiviert haben.
    Pos. Per Drag-and-Drop kann die Reihenfolge der ACL-Sets angepasst werden.
  • Die erlaubten ACL Sets sollten in der Regel vor den verbotenen kommen.
    • ACL Set aclset-www.ttt-point.de Name
    Aktion Konfiguration, ob das ACL Set erlaubt oder verboten werden soll
    Status Ein Aktivierung, bzw. Deaktivierung der Konfiguration für das ACL Set
    Löschen Löscht den Eintrag für das ACL Set
    Kombinationsbeispiel
    Durch Kombination verschiedener ACL-Sets mit entsprechenden Berechtigungen lässt sich z.B. erreichen, daß nur von einer bestimmten (z.B. der eigenen) öffentlichen IP-Adresse aus auf die Login-Seite eines Servers zugegriffen werden darf.

    ACL Sets

    Über ACLs lassen sich Zugriffsrechte zuweisen.
    ACLs dstdomain: anyideas.deurlpath_regex: \/owa Zugeordnete ACL Sets werden als Label dargestellt. Reverse-Proxy UTMbenutzer@firewall.name.fqdn Anwendungen Übersicht der ACL Sets
    dstdomain: anyideas.dedstdomain: ttt-point.deproto: HTTPS
    • Mehrere Sets unterschiedlichen Typs werden dabei als logische UND-Verknüpfung behandelt
    • Mehrere Sets des gleichen Typs werden dabei als logische ODER-Verknüpfung behandelt
    Im Beispiel links werden sowohl anyideas als auch ttt-point akzeptiert. In beiden Fällen aber nur, wenn die Anfrage über https entgegen genommen wird.
    dstdom_regex: -i ttt-point\.de\/HOME Regexe, die die Groß- und Kleinschreibung nicht beachten werden mit dem Parameter -i dargestellt notempty
    Neu ab v14.1.0
    Bearbeiten Öffnet den Dialog zum Bearbeiten der ACL-Sets
    Löschen Entfernt ACL-Sets
    ACL Set hinzufügen Öffnet den Dialog um ACL Sets hinzuzufügen
    Typ Beschreibung Beispiel Argument ACL hinzufügen UTMbenutzer@firewall.name.fqdnAnwendungenReverse-ProxyACL Set hinzufügen ACL-Set time
    ACL Set urlpath_regex
    dstdom_regex Regex auf die Ziel-Domäne .*\ttt-point\.(de|com)
    dstdomain Gibt die Domäne/IP des Ziel-Servers an www.ttt-point.de oder *.ttt-point.de oder IP-Adresse
    proto Protokoll http, https
    req_header Filter auf den Header des Clients
    Es muss der Name des Headers und der Regex, der auf den Wert des Headers matcht übergeben werden    		 Accept-Language en-US
    src Gibt die Quell IP des Clients in CIDR Notierung an 203.0.103.203 oder 203.0.103.203/32
    srcdom_regex
    Nur bei squid-Engine    		 Regex auf die Quell-Domäne.
    Die Quell-Domäne wird über einen Reverse IP Lookup ermittelt (via IP-Adresse des Clients)    		 anyideas
    srcdomain
    Nur bei squid-Engine    		 Gibt die Domäne des Absenders an anyideas.de oder *.anyideas.de
    time Definiert einen Zeitraum, zu dem die Webseite aufgerufen werden muss M T W H F 9:00-17:00
    S - Sonntag

    M - Montag
    T - Dienstag
    W - Mittwoch
    H - Donnerstag
    F - Freitag
    A - Samstag

    D - jeden Werktag
    urlpath_regex Ein Regex Ausdruck, der auf die URL hinter der Ziel-Domäne matcht \/owa matcht auf ttt-point.de/owa
    Groß- und Kleinschreibung beachten: Ja
    notempty
    Neu ab v14.1.0
    		 Konfiguriert, ob Regex-Argumente Case-Sensitiv behandelt werden
    Speichern und Dialog schließen

    Einstellungen

    Beschriftung Wert Beschreibung Reverse-Proxy UTMbenutzer@firewall.name.fqdnAnwendungen Einstellungen unter Verwendung der nginx-Engine
    Engine: notempty
    Neu ab v12.7.0
    		 nginx Auswahl der zu nutzenden Engine zwischen nginx (empfohlen) oder squid (veraltet)
  • Ein Wechsel der Engine zieht daher höchst wahrscheinlich eine Anpassung der Konfiguration nach sich, da jede Engine verschiedene Features unterstützt. Nach der Umstellung werden nicht-unterstütze Einstellungen markiert.
  • Ein Engine Wechsel wird erst mit dem Speichern umgesetzt.
    • Modus: HTTP + HTTPS Zu nutzender Modus
    Proxy-Port: 80 Port für den Proxy des entsprechenden Servers
    SSL-Proxy Port: 8443 Port für den SSL-Proxy des entsprechenden Servers
    SSL-Zertifikat:
    Es sind nur Zertifikate mit privatem Schlüssel-Teil auswählbar
    		*.ttt-point.de Zertifikat für den entsprechenden Server
    Websocket Timeout: notempty
    Neu ab v12.7.0
    		 60 Legt die Zeit für einen Websocket Timeout fest
    Zertifikatsbasierte Authentifizierung aktivieren
    Zertifikatsbasierte Authentifizierung aktivieren
    notempty
    aktualisiert
    SSL-CA: CA ttt-point.de Zertifikat für die zertifikatsbasierte Authentifizierung
  • Kann für nicht-öffentliche (Web-) Server aktiviert werden


    • Import persönlicher Zertifikate

    notempty
    Neu im Wiki

    Damit die Funktion Zertifikatsbasierte Authentifizierung aktivieren korrekt genutzt werden kann, muss das persönliche Zertifikat im verwendeten Browser vorliegen.

    Abb.1
    Den Ordner mit der Zertifikatsdatei aufrufen und die Datei anklicken.
    Abb.2
    Im Zertifikatimport-Assistenten wird die Option "Current User" ausgewählt und mit "Next" bestätigt.
    Abb.3
    Im Eingabefeld Dateiname wird die zu importierende Zertifikatsdatei angezeigt. Über "Next" startet das nächste Dialogfenster.
    Abb.4
    Das Eingabefeld "Password" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde. Es empfiehlt sich, die Optionsfelder "Mark this key as exportable" und "Include all extended properties" auszuwählen, für den Fall, dass das persönliche Zertifikat später aus dem Browser exportiert werden soll. Abschließend wird die Schaltfläche "Next" ausgewählt.
    Abb.5
    Im nächsten Schritt des Zertifikatimport-Assistenten wird die Option "Automatically select the certificate store ..." gesetzt und mit "Next" bestätigt.
    Abb.6
    Der "Zertifikatimport-Assistent" zeigt eine Zusammenstellung der getroffenen Einstellungen an. Der Import des persönlichen Zertifikats wird über "Finish" ausgeführt.
    Abb.7
    Der Importvorgang war erfolgreich.


  • Firefox kann auch mit dem Konfigurationseintrag "security.enterprise_roots.enabled = true" dazu gebracht werden, dass der Windows Zertifikatspeicher verwendet wird und der GPO verteil werden kann.
    • Abb.1
    Aus dem Anwendungsmenü wird der Top Einstellungen selektiert.
    Abb.2
    Aus dem linken Fensterbereich wird die Kategorie "Datenschutz & Sicherheit" ausgewählt. Im rechten Fensterbereich muss bis zum Punkt "Zertifikate" gegangen werden. Dort kann die Schaltfläche "Zertifikate anzeigen ..." ausgewählt werden.
    Abb.3
    In der Zertifikatverwaltung wird auf die Karteikarte "Ihre Zertifikate" gewechselt. Momentan ist die Liste leer, da bislang keine persönlichen Zertifikate importiert wurden. Jetzt wird die Schaltfläche "Importieren" ausgewählt.
    Abb.4
    Zertifikatsdatei aussuchen und über die Schaltfläche "Öffnen" startet dann der Importdialog.
    Abb.5
    Das Eingabefeld "Passwort" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde.
    Abb.6
    In der Zertifikatverwaltung wird das importierte persönliche Zertifikat nun auf der Karteikarte angezeigt. Mit "OK" wird die Zertifikatverwaltung geschlossen.


    Abb.1
    Aus dem Anwendungsmenü wird der Top "Einstellungen" selektiert.
    Abb.2
    Aus dem linken Fensterbereich wird die Kategorie "Datenschutz & Sicherheit" ausgewählt.
    Abb.3
    Herunterscrollen bis zum Bereich "Erweitert" und hier "Zertifikate verwalten" wählen.
    Abb.4
    Schaltfläche "Importieren" auswählen.
    Abb.5
    Zertifikatsdatei aussuchen und über die Schaltfläche "Öffnen" startet dann der Importdialog.
    Abb.6
    Das Eingabefeld "Passwort" erwartet das gleiche Passwort, das beim Herunterladen der Zertifikatsdatei vergeben wurde. Mit "Ok" bestätigen.
    Abb.7
    Das Zertifikat wird nun angezeigt und der Vorgang ist beendet.
    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/APP/Reverse_Proxy&oldid=99468