UTM/APP/Reverse Proxy: Unterschied zwischen den Versionen

Version vom 28. September 2023, 09:49 Uhr

Thumbnail for — Securepoint OpenWeb Reverse Proxy

Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen

Letzte Anpassung zur Version: 12.3.6 (03.2023)

Neu:

Erweiterte TLS-Einstellungen
Notwendige Portfilterregel hinzugefügt (02.2023)

Zuletzt aktualisiert:

05.2023

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

12.1 11.7

Verwendungszweck

Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.

Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.

Voraussetzungen

Für die Beispielkonfiguration werden folgende Werte angenommen:

Webserver mit der privaten IP: 10.1.0.150
Domäne: www.ttt-point.de

Vorbereitungen

Achtung:
Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.

UTM v12.6 Reverse Proxy Servereinstellungen UI Port.png

In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Bereich Servereinstellungen im Abschnitt

Webserver

Ggf. müssen Paketfilterregeln, die den Zugriff auf das User Webinterface erlauben angepasst werden.

Speichern

Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
Hierzu wird unter Authentifizierung Zertifikate ein Zertifikat benötigt

Wird ein lokal selbst erstelltes Zertifikat verwendet, müssen externe Nutzer beim ersten Aufruf eine Zertifikatswarnung bestätigen

Besser ist es, ein öffentlich ausgestelltes, käuflich erworbenes Zertifikat zu importieren oder ein ACME-Zertifikat zu erstellen

Wichtig: der Name des Zertifikates muss so benannt werden wie die Domäne.
In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.

	#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
	3	internet	external-interface	https		Accept	Ein

Einrichtung

Assistent

Schritt 1 - Intern

Unter Anwendungen Reverse-Proxy kann über die Schaltfläche Reverse-Proxy Assistent im Header der Assistent geöffnet werden.

Beschriftung	Wert	Beschreibung	[[Datei: ]] Zielserver existiert bereits als Netzwerkobjekt
Zielserver	www.ttt-point.de	Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden.
Port:	443	Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
SSL benutzen	Ein	Legt fest, ob SSL verwendet werden kann

Zielserver	Server anlegen	Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt Server anlegen im Assistenten angelegt werden.	Datei:UTM v12.6 Reverse Proxy Einrichtung Schritt 1 Server anlegen.png Zielserver existiert noch nicht als Netzwerkobjekt
Servername	www.ttt-point.de	Name des Netzwerkobjektes. Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-pint.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet.
IP-Adresse	10.1.0.150/---	IP-Adresse des Webservers
	dmz1	Zone des Netzwerkobjektes. Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist. Wir empfehlen grundsätzlich Systeme, die von außen erreichbar sind, in einem eigenen Netzwerk mit eigener Zone aufzustellen.
Port:	443	Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
SSL benutzen	Ja (Default: aus)	Legt fest, ob SSL verwendet werden kann
Erweiterte Einstellungen notempty Neue Konfigurations-Optionen ab v12.3.6 notempty Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server. Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Authentifizierung Verschlüsselung Bereich Reverse-Proxy
Standard TLS Einstellungen verwenden:	Ja	Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu
Minimale TLS Version	Standardwert verwenden	Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen
	Standardwert verwenden	Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht. Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das veraltete und unsichere Algorithmen anbietet. Dies wird ausdrücklich nicht empfohlen, stattdessen sollte der Server aktualisiert werden. Ein bestimmter Cipher oder Default müssen noch mit angegeben werden. Beispiele: DEFAULT@SECLEVEL=0 ECDHE-RSA-AES256-SHA@SECLEVEL=0
		Weiter
Schritt 2 - Extern Eingehende Verbindung definieren
Externer Domainname:	www.ttt-point.de	Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird. Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden.	[[Datei: ]] Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert
Modus	HTTPS	Zu nutzender Modus
SSL-Proxy Port:	443	Port für den SSL-Proxy des entsprechenden Servers
SSL-Zertifikat	*.ttt-point.de	Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: Vorbereitungen)
		Weiter
Schritt 3 - Extern (Global)
Authentifizierung weiterleiten:		Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter. Der Proxy soll keine Authentifizierung durchführen Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen). Das bedeutet auch, dass % als %% geschrieben werden muss.	[[Datei: ]]
	Zugangsdaten Weiterleiten (Client)	Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter. Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet. Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar. Eine Authentifizierung ist bei dieser Option nicht erforderlich.
	Zugangsdaten Weiterleiten (Client & Proxy)	Proxy- und Authentifizierung-Header werden unverändert weitergeleitet Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben.
Anmeldename		Leer
Passwort		Leer
Authentifizierung	aus	Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll.
		Fertig
Servergruppen Servergruppen
Die Anordnung in Servergruppen ermöglicht es, verschiedene Beziehungen im Reverse Proxy darzustellen:			Automatisch angelegte Servergruppe
			Automatisch angelegte Servergruppe
Mit der Schaltfläche Server hinzufügen lässt sich die Servergruppe erweitern notempty Neu ab v12.7: und unter Server lassen sich die einzelnen Server mit der Schaltfläche bearbeiten.			[[Datei: ]]
			[[Datei: ]]
ACL Sets ACL Sets
Unter Anwendungen Reverse-Proxy Bereich ACLSets Schaltfläche Schaltfläche ACL hinzufügen. Über ACLs lassen sich Zugriffsrechte zuweisen.
req_header		Filter auf den Header des Clients
src		Gibt die Quell IP des Clients an
dstdomain		Gibt die Domäne/IP des Ziel-Servers an
dstdom_regex		Regex auf die Ziel-Domäne
srcdomain		Gibt die Domäne des Absenders an
srcdom_regex		Regex auf die Domäne
urlpath_regex		Regex für Pfade
proto		protoProtokoll
time		Zeitangabe S - Sonntag M - Montag T - Dienstag W - Mittwoch H - Donnerstag F - Freitag A - Samstag D - jeden Werktag


Anwendungen Reverse-Proxy Bereich Sites Hier können die Sites Einträge überblickt, bearbeitet ( ) und gelöscht ( ) werden.			[[Datei: ]]
			[[Datei: ]]
Einstellungen Einstellungen
Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server.

@@ Zeile 14: / Zeile 14: @@
 		| New configuration options as of v12.3.6 }}
-</div>{{TOC2|cap={{#ev:youtube|AJBrDO7v5K0|||Securepoint OpenWeb Reverse Proxy|cover=Video_UTM_App_ReverseProxy.png }} }}{{Select_lang}}
+</div>{{TOC2|cap={{#ev:vimeo|839612285|||Securepoint OpenWeb Reverse Proxy|cover=Video UTM Reverse-Proxy.png }} }}{{Select_lang}}
 {{Header|12.3.6 <small>(03.2023)</small>|
 * {{#var:neu--Erweiterte TLS-Einstellungen}}{{a|6}}
@@ Zeile 58: / Zeile 58: @@
 |}
 <br>
-{{Hinweis-neu|! {{#var:Portfilter HTTP--Hinweis}}|g}}
+{{Hinweis-box|{{#var:Portfilter HTTP--Hinweis}}|g}}
 </div></div>
 ----
@@ Zeile 98: / Zeile 98: @@
 | {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:Ja}} }} <small>('''Default:''' {{ButtonAus|{{#var:aus}} }})</small> || {{#var:SSL benutzen--desc}}
 |- class="noborder"
-| colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} }} {{Hinweis-neu|{{#var:neu--Optionen}} |12.4|status=neu}}<p>{{Hinweis-neu| !! {{#var:Erweiterte Einstellungen--Hinweis}}|g|class=top}}</p>
+| colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} }} {{Hinweis-box|{{#var:neu--Optionen}}|gr|12.4|status=neu}}<p>{{Hinweis-box|{{#var:Erweiterte Einstellungen--Hinweis}}|g|fs__icon=em2}}</p>
 |-
 | {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}}
@@ Zeile 104: / Zeile 104: @@
 | {{b|{{#var:Minimale TLS Version}} }} || {{Button| {{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}}
 |-
-| {{b|{{#var:Cipher-Suite}} }} || {{ic| Standardwert verwenden|cb|class=available}} || {{#var:Cipher-Suite--desc}}<li class="list--element__alert list--element__warning">{{#var:Cipher-Suite--Hinweis}}</li>
+| {{b|{{#var:Cipher-Suite}} }} || {{ic| Standardwert verwenden|cb|class=available}} || {{#var:Cipher-Suite--desc}}<li class="list--element__alert list--element__warning">{{#var:Cipher-Suite--Hinweis}}</li><li class="list--element__alert list--element__warning">{{#var:Cipher-Suite Angabe}}</li>
+{{#var:Cipher-Suite Angabe--Beispiel}}
 |- class="Leerzeile"
 | || || class="right" | {{Button|{{#var:Weiter}} }}

Version vom 28. September 2023, 09:49 Uhr

Verwendungszweck

Voraussetzungen

Vorbereitungen

Einrichtung

Assistent

Schritt 1 - Intern

Schritt 2 - Extern

Schritt 3 - Extern (Global)

Servergruppen

ACL Sets

Einstellungen