Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 14: Zeile 14:
| New configuration options as of v12.3.6 }}
| New configuration options as of v12.3.6 }}


 
</div>{{TOC2|cap={{#ev:youtube|AJBrDO7v5K0|||Securepoint OpenWeb Reverse Proxy|cover=Video_UTM_App_ReverseProxy.png }} }}{{Select_lang}}
</div>{{TOC2|cap={{#ev:youtube|AJBrDO7v5K0|||{{#var:Webinar--cap}}|cover=Video_UTM_App_ReverseProxy.png }} }}{{Select_lang}}
{{Header|12.3.6 <small>(03.2023)</small>|
{{Header|12.3.6 <small>(03.2023)</small>|
* {{#var:neu--Erweiterte TLS-Einstellungen}}{{a|6}}
* {{#var:neu--Erweiterte TLS-Einstellungen}}{{a|6}}
Zeile 22: Zeile 21:
[[UTM/APP/Reverse_Proxy v11.7 | 11.7]]
[[UTM/APP/Reverse_Proxy v11.7 | 11.7]]
|{{Menu|{{#var:Anwendungen}}|{{#var:Reverse-Proxy}} }}
|{{Menu|{{#var:Anwendungen}}|{{#var:Reverse-Proxy}} }}
}}
|zuletzt=05.2023}}
----
----
=== {{#var:Verwendungszweck}} ===
=== {{#var:Verwendungszweck}} ===
<div class="Einrücken">
<div class="Einrücken">
Zeile 40: Zeile 41:
* {{#var:Vorbereitungen--desc}}
* {{#var:Vorbereitungen--desc}}
<div class="Einrücken">
<div class="Einrücken">
{{Einblenden|{{#var:User Webinterface Port ändern}}|{{#var:hide}}|dezent|true|id=Webinterfaceport}}{{pt3|{{#var:User Webinterface Port ändern--Bild}} }}<br>{{#var:User Webinterface Port ändern--desc}}<li class="list--element__alert list--element__warning">{{#var:User Webinterface Port--Regelhinweis}}</li>{{Button|{{#var:Speichern}} }}</div></span>
{{Einblenden| {{#var:User Webinterface Port ändern}} | {{#var:hide}} |dezent|true|id=Webinterfaceport}}{{pt3| {{#var:User Webinterface Port ändern--Bild}} }}<br> {{#var:User Webinterface Port ändern--desc}}<li class="list--element__alert list--element__warning">{{#var:User Webinterface Port--Regelhinweis}}</li> {{Button|{{#var:Speichern}} }}</div></span>
<br clear=all></div></div>
<br clear=all></div></div>
{{#var:Zertifikat--desc}}
{{#var:Zertifikat--desc}}
Zeile 46: Zeile 47:
<li class="list--element__alert list--element__positiv Einrücken">{{#var:ACME-Zertifikat--Hinweis}}</li>{{a}}
<li class="list--element__alert list--element__positiv Einrücken">{{#var:ACME-Zertifikat--Hinweis}}</li>{{a}}
<li class="list--element__alert list--element__hint">{{#var:Zertifikatsname--Hinweis}}</li>
<li class="list--element__alert list--element__hint">{{#var:Zertifikatsname--Hinweis}}</li>
==== {{#var:Portfilter}} ====
==== {{#var:Portfilter}} ====
<div class="einrücken">
<div class="Einrücken">
{{#var:Portfilter--desc}}
{{#var:Portfilter--desc}}
{| class="sptable2 spezial pd5 tr--bc__white zh1"
{| class="sptable2 spezial pd5 tr--bc__white zh1"
Zeile 56: Zeile 58:
|}
|}
<br>
<br>
{{Hinweis-neu|! {{#var:Portfilter HTTP--Hinweis}}|gelb}}
{{Hinweis-neu|! {{#var:Portfilter HTTP--Hinweis}}|g}}
</div>
</div></div>
</div>
----
 


----


=== {{#var:Einrichtung}} ===
=== {{#var:Einrichtung}} ===
Zeile 70: Zeile 70:
<div class="Einrücken">
<div class="Einrücken">
{{#var:Einrichtung--Menu}}
{{#var:Einrichtung--Menu}}
<p>{{#var:Einrichtung--desc}}</p>
<p>{{#var:Einrichtung--desc}} </p>
</div>
</div>


Zeile 76: Zeile 76:
|-
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}  
| class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 1 Netzwerkobjekt bereits angelegt--Bild}} |{{#var:Schritt 1 Netzwerkobjekt bereits angelegt--cap}} }}
| class="Bild" rowspan="5" | {{Bild| {{#var:Schritt 1 Netzwerkobjekt bereits angelegt--Bild}} |{{#var:Schritt 1 Netzwerkobjekt bereits angelegt--cap}} }}
|-  
|-  
| {{b|{{#var:Zielserver}} }} || {{Button|www.ttt-point.de|dr}} || {{#var:Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc}}  
| {{b|{{#var:Zielserver}} }} || {{Button|www.ttt-point.de|dr|class=available}} || {{#var:Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc}}  
|-
|-
| {{b|{{#var:Port}} }} || {{ic|443|c}} || {{#var:Port--desc}}
| {{b|Port:}} || {{ic|443|c}} || {{#var:Port--desc}}
|-
|-
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:SSL benutzen--desc}}
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:SSL benutzen--desc}}
Zeile 94: Zeile 94:
| {{b|{{#var:Zone}} }} || {{Button|dmz1|dr|class=available}} || {{#var:Zone--desc}}<br><li class="list--element__alert list--element__hint">{{#var:Zone--Hinweis}}</li>
| {{b|{{#var:Zone}} }} || {{Button|dmz1|dr|class=available}} || {{#var:Zone--desc}}<br><li class="list--element__alert list--element__hint">{{#var:Zone--Hinweis}}</li>
|-
|-
| {{b|{{#var:Port}} }} || {{ic|443|c}} || {{#var:Port--desc}}
| {{b|Port:}} || {{ic|443|c}} || {{#var:Port--desc}}
|-
|-
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:ein}} }} <small>('''{{#var:Default}}:''' {{ButtonAus|{{#var:aus}} }})</small> || {{#var:SSL benutzen--desc}}
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:Ja}} }} <small>('''Default:''' {{ButtonAus|{{#var:aus}} }})</small> || {{#var:SSL benutzen--desc}}
|- class="noborder"
|- class="noborder"
| colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} }} {{Hinweis-neu|{{#var:neu--Optionen}} |12.4|status=neu}}<p>{{Hinweis-neu| !! {{#var:Erweiterte Einstellungen--Hinweis}}|g|class=top}}</p>
| colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} }} {{Hinweis-neu|{{#var:neu--Optionen}} |12.4|status=neu}}<p>{{Hinweis-neu| !! {{#var:Erweiterte Einstellungen--Hinweis}}|g|class=top}}</p>
|-
|-
| {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}}
| {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}}
|-
|-
| {{b|{{#var:Minimale TLS Version}} }} || {{Button| {{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}}
| {{b|{{#var:Minimale TLS Version}} }} || {{Button| {{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}}
Zeile 112: Zeile 112:
'''{{#var:Schritt 2--desc}}'''
'''{{#var:Schritt 2--desc}}'''
|-
|-
| {{b|{{#var:Externer Domainname}} }} || {{ic|www.ttt-point.de|class=available}} || {{#var:Externer Domainname--desc}}{{a|5}}<li class="list--element__alert list--element__hint">{{#var:Externer Domainname--Hinweis-IP}}</li> || class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 2--Bild}} |{{#var:Schritt 2--cap}} }}
| {{b|{{#var:Externer Domainname}} }} || {{ic|www.ttt-point.de|class=available}} || {{#var:Externer Domainname--desc}}{{a|5}}<li class="list--element__alert list--element__hint">{{#var:Externer Domainname--Hinweis-IP}}</li> || class="Bild" rowspan="5" | {{Bild| {{#var:Schritt 2--Bild}} |{{#var:Schritt 2--cap}} }}
|-
|-
| {{b|{{#var:Modus}} }} || {{Button|HTTPS|dr|class=available}} || {{#var:Modus--desc}}
| {{b|{{#var:Modus}} }} || {{Button|HTTPS|dr|class=available}} || {{#var:Modus--desc}}
|-
|-
| {{b|{{#var:SSL-Proxy Port}} }} || {{ic|443|c|class=available}} || {{#var:SSL-Proxy Port--desc}}
| {{b|SSL-Proxy Port:}} || {{ic|443|c|class=available}} || {{#var:SSL-Proxy Port--desc}}
|-
|-
| {{b|{{#var:SSL-Zertifikat}} }} || {{Button|<nowiki>*.ttt-point.de</nowiki>|dr|class=available}} || {{#var:SSL-Zertifikat--desc}}
| {{b|{{#var:SSL-Zertifikat}} }} || {{Button|<nowiki>*.ttt-point.de</nowiki>|dr|class=available}} || {{#var:SSL-Zertifikat--desc}}
Zeile 125: Zeile 125:
===== {{#var:Schritt 3}} =====
===== {{#var:Schritt 3}} =====
|-
|-
| {{b|{{#var:Authentifizierung weiterleiten}} }} || style="min-width:13.1em;" | {{Button|{{#var:Authentifizierung weiterleiten--val}}|dr|class=available}} || {{#var:Authentifizierung weiterleiten--desc}} || class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 3--Bild}} |{{#var:Schritt 3--cap}} }}
| rowspan="3" | {{b|{{#var:Authentifizierung weiterleiten}} }} || style="min-width:13.1em;" | {{Button|{{#var:Authentifizierung weiterleiten--val}}|dr|class=available}} || {{#var:Authentifizierung weiterleiten--desc}}{{info|{{#var:Zugangsdaten festlegen--info}} }} || class="Bild" rowspan="7" | {{Bild|{{#var:Schritt 3--Bild}} |{{#var:Schritt 3--cap}} }}
|-
| {{Button| {{#var:Zugangsdaten Weiterleiten-Client--val}} | dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client--desc}}
|-
| {{Button|{{#var:Zugangsdaten Weiterleiten-Client-Proxy--val}}|dr|class=available}} || {{#var:Zugangsdaten Weiterleiten-Client-Proxy--desc}}
|-
|-
| {{b|{{#var:Anmeldename}} }} || {{ic| |class=available}} || {{#var:Anmeldename--desc}}
| {{b|{{#var:Anmeldename}} }} || {{ic| |class=available}} || {{#var:Anmeldename--desc}}
Zeile 149: Zeile 153:
|
|
|- class="Leerzeile"
|- class="Leerzeile"
|<br>{{h4|{{#var:ACL Sets}} | {{Reiter|{{#var:ACL Sets}} }} }}
|<br>{{h4|ACL Sets| {{Reiter|ACL Sets}} }}
|-
|-
| colspan="3" | {{#var:ACL Sets--desc}} || class="Bild" rowspan="11" | {{Bild|{{#var:ACL Sets--Bild}} |{{#var:ACL Sets--cap}} }}
| colspan="3" | {{#var:ACL Sets--desc}} || class="Bild" rowspan="11" | {{Bild|{{#var:ACL Sets--Bild}} }}
|-
|-
| {{Button|req_header|dr}} || || {{#var:req_header--desc}}
| {{Button|req_header|dr}} || || {{#var:req_header--desc}}
Zeile 177: Zeile 181:
| colspan="3" class="Leerzeile" | {{#var:Sites--desc}}
| colspan="3" class="Leerzeile" | {{#var:Sites--desc}}
<li class="list--element__alert list--element__hint">{{#var:Sites-Reihenfolgehinweis}}</li>  
<li class="list--element__alert list--element__hint">{{#var:Sites-Reihenfolgehinweis}}</li>  
| class="Bild" rowspan="2" | {{Bild|{{#var:Sites--Bild}} |{{#var:Sites--cap}} }}
| class="Bild" rowspan="2" | {{Bild|{{#var:Sites--Bild}} }}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
Zeile 185: Zeile 189:
|-
|-
| colspan="3" class="Leerzeile"| {{#var:Einstellungen--desc}}
| colspan="3" class="Leerzeile"| {{#var:Einstellungen--desc}}
| class="Bild" rowspan="2" | {{Bild|{{#var:Einstellungen--Bild}} |{{#var:Einstellungen--cap}} }}
| class="Bild" rowspan="2" | {{Bild|{{#var:Einstellungen--Bild}} }}
|- class="Leerzeile"
|- class="Leerzeile"
|
|
|}
|}

Version vom 5. Mai 2023, 14:13 Uhr
































Securepoint OpenWeb Reverse Proxy
De.png
En.png
Fr.png








Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen
Letzte Anpassung zur Version: 12.3.6 (03.2023)
Neu:
Zuletzt aktualisiert: 
    05.2023
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.1 11.7

Aufruf: UTM-IP:Port oder UTM-URL:Port
Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert
Default-Port: 11115
z.B.: https://utm.ttt-point.de:11115
Default: https://192.168.175.1:11115
→ Anwendungen 


Verwendungszweck

Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.

Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.


Voraussetzungen

Für die Beispielkonfiguration werden folgende Werte angenommen:

  • Webserver mit der privaten IP: 10.1.0.150
  • Domäne: www.ttt-point.de


Vorbereitungen

  • Achtung:
    Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.
UTM v12.6 Reverse Proxy Servereinstellungen UI Port.png

In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen im Abschnitt
Webserver
  • Ggf. müssen Paketfilterregeln, die den Zugriff auf das User Webinterface erlauben angepasst werden.
  • Speichern

    • Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
    • Hierzu wird unter Authentifizierung Zertifikate ein Zertifikat benötigt
  • Wird ein lokal selbst erstelltes Zertifikat verwendet, müssen externe Nutzer beim ersten Aufruf eine Zertifikatswarnung bestätigen
  • Besser ist es, ein öffentlich ausgestelltes, käuflich erworbenes Zertifikat zu importieren oder ein ACME-Zertifikat zu erstellen

  • Wichtig: der Name des Zertifikates muss so benannt werden wie die Domäne.
    In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.
  • # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 3 World.svg internet Interface.svg external-interface Tcp.svg https Accept Ein




    Einrichtung

    Assistent

    Schritt 1 - Intern

    Unter Anwendungen Reverse-Proxy kann über die Schaltfläche

    Reverse-Proxy Assistent
    im Header der Assistent geöffnet werden.

    Beschriftung Wert Beschreibung [[Datei: ]]
    Zielserver existiert bereits als Netzwerkobjekt
    Zielserver www.ttt-point.de Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden.
    Port: 443Link= Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
    SSL benutzen Ein Legt fest, ob SSL verwendet werden kann
    Zielserver Server anlegen Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt Server anlegen im Assistenten angelegt werden. Datei:UTM v12.6 Reverse Proxy Einrichtung Schritt 1 Server anlegen.png
    Zielserver existiert noch nicht als Netzwerkobjekt
    Servername www.ttt-point.de Name des Netzwerkobjektes.
    Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-pint.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet.
    IP-Adresse 10.1.0.150/---  IP-Adresse des Webservers
    dmz1 Zone des Netzwerkobjektes.
    Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist.
  • Wir empfehlen grundsätzlich Systeme, die von außen erreichbar sind, in einem eigenen Netzwerk mit eigener Zone aufzustellen.
  • Port: 443Link= Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
    SSL benutzen Ja (Default: aus) Legt fest, ob SSL verwendet werden kann

    Erweiterte Einstellungen
    Neue Konfigurations-Optionen ab v12.3.6

    Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server.
    Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Authentifizierung Verschlüsselung  Bereich Reverse-Proxy

    Standard TLS Einstellungen verwenden: Ja Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu
    Minimale TLS Version Standardwert verwenden Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen
    Standardwert verwenden Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
  • Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das veraltete und unsichere Algorithmen anbietet. Dies wird ausdrücklich nicht empfohlen, stattdessen sollte der Server aktualisiert werden.
  • Weiter
    Schritt 2 - Extern

    Eingehende Verbindung definieren

    Externer Domainname: www.ttt-point.de Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird.

  • Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden.
  • [[Datei: ]]
    Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert
    Modus HTTPS Zu nutzender Modus
    SSL-Proxy Port: 443Link= Port für den SSL-Proxy des entsprechenden Servers
    SSL-Zertifikat *.ttt-point.de Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: Vorbereitungen)
    Weiter
    Schritt 3 - Extern (Global)
    Authentifizierung weiterleiten: Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter.
    Der Proxy soll keine Authentifizierung durchführen
    Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen).
    Das bedeutet auch, dass % als %% geschrieben werden muss.
    [[Datei: ]]
    Zugangsdaten Weiterleiten (Client) Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter.
    Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet.
    Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar.
    Eine Authentifizierung ist bei dieser Option nicht erforderlich.
    Zugangsdaten Weiterleiten (Client & Proxy) Proxy - und Authentifizierung-Header werden unverändert weitergeleitet.
    Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben.
    Anmeldename    
    Passwort    
    Authentifizierung aus Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll.
    Fertig

    Servergruppen

    Servergruppen
    Die Anordnung in Servergruppen ermöglicht es, verschiedene Beziehungen im Reverse Proxy darzustellen:
  • UTM v12.7.0 Reverse Proxy Servergruppen.png
    Automatisch angelegte Servergruppe
    Mit der Schaltfläche Server hinzufügen lässt sich die Servergruppe erweitern notempty
    Neu ab v12.7.0
    und unter Server lassen sich die einzelnen Server mit der Schaltfläche bearbeiten.
    [[Datei: ]]

    ACL Sets

    ACL Sets
    Unter Anwendungen Reverse-Proxy  Bereich ACLSets Schaltfläche Schaltfläche ACL hinzufügen.
    Über ACLs lassen sich Zugriffsrechte zuweisen.
    UTM v12.6 Reverse Proxy ALC-Set bearbeiten.png
    req_header Filter auf den Header des Clients
    src Gibt die Quell IP des Clients an
    dstdomain Gibt die Domäne/IP des Ziel-Servers an
    dstdom_regex Regex auf die Ziel-Domäne
    srcdomain Gibt die Domäne des Absenders an
    srcdom_regex Regex auf die Domäne
    urlpath_regex Regex für Pfade
    proto protoProtokoll
    time Zeitangabe
    S - Sonntag

    M - Montag
    T - Dienstag
    W - Mittwoch
    H - Donnerstag
    F - Freitag
    A - Samstag

    D - jeden Werktag

    Anwendungen Reverse-Proxy  Bereich Sites
    Hier können die Sites Einträge überblickt, bearbeitet ( ) und gelöscht ( ) werden.
  • [[Datei: ]]

    Einstellungen

    Einstellungen
    Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server. UTM v12.7.1 Reverse Proxy Einstellungen.png