KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 14: | Zeile 14: | ||
| New configuration options as of v12.3.6 }} | | New configuration options as of v12.3.6 }} | ||
</div>{{TOC2|cap={{#ev: | </div>{{TOC2|cap={{#ev:vimeo|839612285|||Securepoint OpenWeb Reverse Proxy|cover=Video UTM Reverse-Proxy.png }} }}{{Select_lang}} | ||
{{Header|12.3.6 <small>(03.2023)</small>| | {{Header|12.3.6 <small>(03.2023)</small>| | ||
* {{#var:neu--Erweiterte TLS-Einstellungen}}{{a|6}} | * {{#var:neu--Erweiterte TLS-Einstellungen}}{{a|6}} | ||
| Zeile 58: | Zeile 58: | ||
|} | |} | ||
<br> | <br> | ||
{{Hinweis- | {{Hinweis-box|{{#var:Portfilter HTTP--Hinweis}}|g}} | ||
</div></div> | </div></div> | ||
---- | ---- | ||
| Zeile 98: | Zeile 98: | ||
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:Ja}} }} <small>('''Default:''' {{ButtonAus|{{#var:aus}} }})</small> || {{#var:SSL benutzen--desc}} | | {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:Ja}} }} <small>('''Default:''' {{ButtonAus|{{#var:aus}} }})</small> || {{#var:SSL benutzen--desc}} | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} }} {{Hinweis- | | colspan="3" | <br>{{Kasten|{{#var:Erweiterte Einstellungen}} }} {{Hinweis-box|{{#var:neu--Optionen}}|gr|12.4|status=neu}}<p>{{Hinweis-box|{{#var:Erweiterte Einstellungen--Hinweis}}|g|fs__icon=em2}}</p> | ||
|- | |- | ||
| {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}} | | {{b|{{#var:Standard TLS Einstellungen verwenden}} }} || {{ButtonAn|{{#var:Ja}} }} || {{#var:Standard TLS Einstellungen verwenden--desc}} | ||
| Zeile 104: | Zeile 104: | ||
| {{b|{{#var:Minimale TLS Version}} }} || {{Button| {{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}} | | {{b|{{#var:Minimale TLS Version}} }} || {{Button| {{#var:Standardwert verwenden}}|dr|class=mw13}} || {{#var:Minimale TLS Version--desc}} | ||
|- | |- | ||
| {{b|{{#var:Cipher-Suite}} }} || {{ic| Standardwert verwenden|cb|class=available}} || {{#var:Cipher-Suite--desc}}<li class="list--element__alert list--element__warning">{{#var:Cipher-Suite--Hinweis}}</li> | | {{b|{{#var:Cipher-Suite}} }} || {{ic| Standardwert verwenden|cb|class=available}} || {{#var:Cipher-Suite--desc}}<li class="list--element__alert list--element__warning">{{#var:Cipher-Suite--Hinweis}}</li><li class="list--element__alert list--element__warning">{{#var:Cipher-Suite Angabe}}</li> | ||
{{#var:Cipher-Suite Angabe--Beispiel}} | |||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| || || class="right" | {{Button|{{#var:Weiter}} }} | | || || class="right" | {{Button|{{#var:Weiter}} }} | ||
Version vom 28. September 2023, 08:49 Uhr
Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen
Letzte Anpassung zur Version: 12.3.6 (03.2023)
Neu:
- Erweiterte TLS-Einstellungen
- Notwendige Portfilterregel hinzugefügt (02.2023)
Zuletzt aktualisiert:
- 05.2023
Dieser Artikel bezieht sich auf eine Beta-Version
Verwendungszweck
Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.
Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.
Voraussetzungen
Für die Beispielkonfiguration werden folgende Werte angenommen:
- Webserver mit der privaten IP: 10.1.0.150
- Domäne: www.ttt-point.de
Vorbereitungen
- Achtung:
Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.
In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Bereich Servereinstellungen im Abschnitt
Webserver
- Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
- Hierzu wird unter ein Zertifikat benötigt
In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
3 |  internet |
 external-interface |
 https |
Accept | Ein |
Assistent
Schritt 1 - Intern
Unter kann über die Schaltfläche im Header der Assistent geöffnet werden.
| Beschriftung | Wert | Beschreibung | [[Datei: ]] |
|---|---|---|---|
| Zielserver | Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. | ||
| Port: | 443 | Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | |
| SSL benutzen | Ein | Legt fest, ob SSL verwendet werden kann | |
| Zielserver | Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt im Assistenten angelegt werden. |  | |
| Servername | www.ttt-point.de | Name des Netzwerkobjektes. Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-pint.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet. | |
| IP-Adresse | 10.1.0.150/--- | IP-Adresse des Webservers | |
| Zone des Netzwerkobjektes. Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist. | |||
| Port: | 443 | Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | |
| SSL benutzen | Ja (Default: aus) | Legt fest, ob SSL verwendet werden kann | |
Erweiterte Einstellungen notemptyNeue Konfigurations-Optionen ab v12.3.6 notempty Diese TLS Einstellungen gelten für die Verbindung zwischen dieser Appliance und dem (lokalen) Server. Für TLS Einstellungen zwischen den Clients und dieser Appliance gelten die Einstellungen im Dialog Bereich Reverse-Proxy | |||
| Standard TLS Einstellungen verwenden: | Ja | Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu | |
| Minimale TLS Version | Es lassen sich die veralteten TLS-Versionen 1.1 und 1.0 auswählen | ||
| Standardwert verwenden | Um direkt ein OpenSSL Sicherheitslevel zu verwenden, kann die Notation @SECLEVEL=N im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht.
| ||
Schritt 2 - ExternEingehende Verbindung definieren | |||
| Externer Domainname: | www.ttt-point.de | Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird. |
[[Datei: ]] |
| Modus | Zu nutzender Modus | ||
| SSL-Proxy Port: | 443 | Port für den SSL-Proxy des entsprechenden Servers | |
| SSL-Zertifikat | Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: Vorbereitungen) | ||
Schritt 3 - Extern (Global) | |||
| Authentifizierung weiterleiten: | Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter. Der Proxy soll keine Authentifizierung durchführen Die Zeichenfolge kann URL-Escapes enthalten (z. B. %20 für Leerzeichen). Das bedeutet auch, dass % als %% geschrieben werden muss. |
[[Datei: ]] | |
| Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter. Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet. Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar. Eine Authentifizierung ist bei dieser Option nicht erforderlich. | |||
| Proxy - und Authentifizierung-Header werden unverändert weitergeleitet. Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben. | |||
| Anmeldename | |||
| Passwort | |||
| Authentifizierung | Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll. | ||
|
| |||
| Die Anordnung in Servergruppen ermöglicht es, verschiedene Beziehungen im Reverse Proxy darzustellen: |  | ||
| Mit der Schaltfläche lässt sich die Servergruppe erweitern notempty Neu ab v12.7.0 |
[[Datei: ]] | ||
ACL Sets ACL Sets
| |||
| Über ACLs lassen sich Zugriffsrechte zuweisen. |  | ||
| Filter auf den Header des Clients Es muss der Name des Headers und der Regex, der auf den Wert des Headers matcht übergeben werden | |||
| Gibt die Quell IP des Clients in CIDR Notierung an | |||
| Gibt die Domäne/IP des Ziel-Servers an | |||
| Regex auf die Ziel-Domäne | |||
| Gibt die Domäne des Absenders an | |||
| Regex auf die Quell-Domäne. Die Quell-Domäne wird über einen Reverse IP Lookup ermittelt (via IP-Adresse des Clients) | |||
| Ein Regex Ausdruck, der auf die URL hinter der Ziel-Domäne matcht | |||
| protoProtokoll | |||
| Definiert einen Zeitraum, zu dem die Webseite aufgerufen werden muss S - Sonntag
M - Montag | |||
| Bei einer vorhandenen Servergruppe kann über die Schaltfläche ein Site hinzugefügt werden. notempty Neu ab v14.1.1 Falls ungültige Konfigurationen vorliegen, werden diese mit einer Warnung () versehen. Beim Hovern über diese Warnung wird außerdem eine kurze Beschreibung des Problems gezeigt. |
[[Datei: ]] | ||
Einstellungen Einstellungen
| |||
| Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server. |  | ||