(Lauritzl verschob die Seite UTM/APP/Reverse Proxy nach UTM/APP/Reverse Proxy v11.7) Markierung: Neue Weiterleitung |
KKeine Bearbeitungszusammenfassung |
||
| (11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
# | {{Archivhinweis|UTM/APP/Reverse_Proxy}} | ||
{{Set_lang}} | |||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{var | display | |||
| Reverse Proxy | |||
| Reverse Proxy }} | |||
{{var | head | |||
| Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen. | |||
| The goal of this tutorial is to access an internal web server via the reverse proxy. }} | |||
{{var | Webinar | |||
| Webinar | |||
| Webinar }} | |||
{{var | Webinar--cap | |||
| Securepoint OpenWeb Reverse Proxy | |||
| Securepoint OpenWeb Reverse Proxy }} | |||
{{var | Verwendungszweck | |||
| Verwendungszweck | |||
| Intended use }} | |||
{{var | Verwendungszweck--desc | |||
| Mit einem Reverse-Proxy kann man aus dem Internet heraus, den '''Zugriff auf die "internen" Webserver''' steuern. Im Gegensatz zu einer ''Portweiterleitung'', können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden. | |||
Ein weiteres Highlight bietet das '''Load-Balancing.''' Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden. | |||
| With a reverse proxy, one can control '''access to the "internal" web servers''' from the Internet. In contrast to a ''port forwarding'', dedicated filter rules can be created via the reverse proxy. In addition, with only one public IP address, several internal web servers can be addressed based on the domain. | |||
Another highlight is offered by the '''load balancing.''' Servers can be combined into groups, to which the requests are then distributed using the selected algorithm (e.g. Round-Robin). }} | |||
{{var | Voraussetzungen | |||
| Voraussetzungen | |||
| Requirements }} | |||
{{var | Voraussetzungen--desc | |||
| Für die Beispielkonfiguration werden folgende Werte angenommen: | |||
* Webserver mit der privaten IP: 10.1.0.150 | |||
* Domäne: www.ttt-point.de | |||
| The following values are assumed for the example configuration: | |||
* Web server with the private IP: 10.1.0.150 | |||
* Domain: www.ttt-point.de }} | |||
{{var | Vorbereitungen | |||
| Vorbereitungen | |||
| Vorbereitungen }} | |||
{{var | Vorbereitungen--desc | |||
| '''Achtung:'''<br>Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden. | |||
| '''Attention:'''<br>If the web server is also to be accessed via https, the port of the Userinterface must be changed first. }} | |||
{{var | User Webinterface Port ändern | |||
| User Webinterface Port ändern | |||
| Change user Webinterface port }} | |||
{{var | User Webinterface Port ändern--desc | |||
| In der Werkseinstellung ist der Port 443 für ''https'' schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.<br>Die Einstellungen dazu befinden sich im Menü {{Menu|Netzwerk|Servereinstellungen|Servereinstellungen}} im Abschnitt {{Kasten|Webserver}} | |||
| In the factory setting, port 443 for ''https'' is already occupied by the user web interface of the UTM. This must then be changed to another port.<br>The settings for this are in the menu {{Menu|Network|Appliance Settings|Appliance Settings}} in the section {{Kasten|Webserver}}. }} | |||
{{var | User Webinterface Port ändern--Bild | |||
| UTM v11.8.13 Servereinstellungen.png | |||
| UTM v12.2 Servereinstellungen-en.png }} | |||
{{var | User Webinterface Port--Regelhinweis | |||
| Ggf. müssen Portfilterregeln, die den Zugriff auf das User Webinterface erlauben angepasst werden. | |||
| If necessary, port filter rules that allow access to the user Webinterface must be adjusted. }} | |||
{{var | Speichern | |||
| Speichern | |||
| Save }} | |||
{{var | Zertifikat--desc | |||
| * Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann | |||
* Hierzu wird unter {{Menu|Authentifizierung|Zertifikate}} ein Zertifikat benötigt | |||
| * For https, the reverse proxy needs a certificate to accept the encrypted connection. | |||
* For this, a certificate is used from {{Menu|Authentication|Certificates}} }} | |||
{{var | Lokales Zertifikat--Hinweis | |||
| Wird ein lokal [[UTM/AUTH/Zertifikate#Server-_und_Clientzertifikat_erstellen | selbst erstelltes Zertifikat]] verwendet, müssen externe Nutzer beim ersten Aufruf eine Zertifikatswarnung bestätigen | |||
| If a locally [{{#var:host}}UTM/AUTH/Zertifikate#Create_server_and_client_certificate self-created certificate] is used, external users must confirm a certificate warning when calling up the certificate for the first time }} | |||
{{var | ACME-Zertifikat--Hinweis | |||
| Besser ist es, ein öffentlich ausgestelltes, käuflich erworbenes Zertifikat zu [[UTM/AUTH/Zertifikate | importieren]] oder ein [[UTM/AUTH/Zertifikate-ACME | ACME-Zertifikat]] zu erstellen | |||
| It is better to [{{#var:host}}UTM/AUTH/Certificates import] a publicly issued, purchased certificate or to create an [{{#var:host}}UTM/AUTH/Certificates-ACME ACME certificate] }} | |||
{{var | Zertifikatsname--Hinweis | |||
| '''Wichtig:''' der Name des Zertifikates muss so benannt werden wie die Domäne. <br>In diesem Beispiel wird ein Wildcard-Zertifikat {{whitebox|*.ttt-point.de}} verwendet. | |||
| '''Important:''' the name of the certificate must be named like the domain. <br>In this example, a wildcard certificate {{whitebox|*.ttt-point.de}} is used. }} | |||
{{var | | |||
| | |||
| }} | |||
{{var | Einrichtung | |||
| Einrichtung | |||
| Configuration}} | |||
{{var | Einrichtung--desc | |||
| Die Einstellungen für den Reverse Proxy befinden sich im Menü {{Menu|Anwendungen|Reverse-Proxy}}<br>Mit einem Klick auf die Schaltfläche {{Button|Reverse-Proxy Assistent|+}} öffnet sich der Assistent. | |||
| The settings for the reverse proxy are located in the menu {{Menu|Applications|Reverse-Proxy}}<br>Clicking on the button {{Button|Reverse-Proxy wizard|+}} opens the wizard. }} | |||
{{var | Assistent | |||
| Assistent | |||
| Wizard}} | |||
{{var | Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc | |||
| Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. | |||
| If the host has already been created as a network object, it can be selected directly in the drop-down menu. }} | |||
{{var | Schritt 1 Netzwerkobjekt bereits angelegt--Bild | |||
| UTM v12.1 ReverseProxy Assistent 1.png | |||
| UTM v12.1 ReverseProxy Assistent 1-en.png }} | |||
{{var | Schritt 1 Netzwerkobjekt bereits angelegt--cap | |||
| Zielserver existiert bereits als Netzwerkobjekt | |||
| Target server already exists as a network object }} | |||
{{var | Zielserver | |||
| Zielserver: | |||
| Target Server: }} | |||
{{var | Server anlegen | |||
| Server anlegen | |||
| Create server }} | |||
{{var | Schritt 1 | |||
| Schritt 1 - Intern | |||
| Step 1 - Internal }} | |||
{{var | Schritt 1--desc | |||
| Im Schritt 1 wird eingerichtet, welcher Host im internen Netzwerk über welchen Port vom Reverse-Proxy angesprochen werden soll. | |||
| In step 1, it is set up which host in the internal network is to be addressed by the reverse proxy via which port. }} | |||
{{var | Port | |||
| Port | |||
| Port }} | |||
{{var | Port--desc | |||
| Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | |||
| The web server should be accessed via an encrypted connection. }} | |||
{{var | SSL benutzen | |||
| SSL benutzen: | |||
| Use SSL: }} | |||
{{var | SSL benutzen--desc | |||
| SSL muss aktiviert sein. | |||
| SSL must be activated. }} | |||
{{var | Zielserver--Server anlegen--desc | |||
| Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt {{Button|Server anlegen|dr}} im Assistenten angelegt werden. | |||
| If the Exchange Server does not yet exist as a network object, it can be created via the selection point {{Button|new server|dr}} in the wizard. }} | |||
{{var | Schritt 1 Netzwerkobjekt anlegen--Bild | |||
| Rp-www-s1-dmz.png | |||
| Rp-www-s1-dmz-en.png }} | |||
{{var | Schritt 1 Netzwerkobjekt anlegen--cap | |||
| Zielserver existiert noch '''nicht''' als Netzwerkobjekt | |||
| Target server does '''not''' yet exist as a network object }} | |||
{{var | Servername | |||
| Servername: | |||
| Server Name: }} | |||
{{var | Servername--desc | |||
| Name des Netzwerkobjektes.<br> Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-point.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet. | |||
| Name of the network object.<br> The server name of the network object can be freely selected when creating a new object, but must not already be in use with other objects. A meaningful name conventions should be considered and kept. Since here for the Web server with the homepage the connection is configured and the goal is to be attainable later also as "www.ttt-point.de", this designation is used also for the network object. }} | |||
| Name of the network object }} | |||
{{var | IP-Adresse | |||
| IP-Adresse: | |||
| IP address: }} | |||
{{var | IP-Adresse--desc | |||
| IP-Adresse des Webservers | |||
| IP address of the webserver }} | |||
{{var | Zone | |||
| Zone: | |||
| Zone: }} | |||
{{var | Zone--desc | |||
| Zone des Netzwerkobjektes.<br>Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist. | |||
| Zone of the network object.<br>The zone is entered automatically if the IP range of the UTM is known. }} | |||
| Zone of the network object }} | |||
{{var | Zone--Hinweis | |||
| Wir empfehlen grundsätzlich Systeme, die von außen erreichbar sind, in einem eigenen Netzwerk mit eigener Zone aufzustellen. | |||
| It is recommended to set up the server in its own network with its own zone. }} | |||
{{var | Schritt 2 | |||
| Schritt 2 - Extern | |||
| Step 2 - External }} | |||
{{var | Schritt 2--desc | |||
| Eingehende Verbindung definieren | |||
| Define incoming connection }} | |||
{{var | Externer Domainname | |||
| Externer Domainname: | |||
| External domain name: }} | |||
{{var | Externer Domainname--desc | |||
| Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird | |||
| Here you enter how the server behind the UTM is addressed }} | |||
{{var | Externer Domainname--Hinweis-IP | |||
| Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden. | |||
| The public IP address that the client calls up from the Internet can also be entered here. However, it is then not possible to distinguish further individual servers via additional subdomains. }} | |||
{{var | Schritt 2--Bild | |||
| Rp-www-s2.png | |||
| Rp-www-s2-en.png }} | |||
{{var | Schritt 2--cap | |||
| Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert | |||
| Configuring external access so that the reverse proxy responds to requests }} | |||
{{var | Modus | |||
| Modus | |||
| Mode }} | |||
{{var | Modus--desc | |||
| Der Zugriff soll ausschließlich verschlüsselt über ''https'' erfolgen. | |||
| Access shall be exclusively encrypted via ''https''. }} | |||
{{var | SSL-Proxy Port | |||
| SSL-Proxy Port: | |||
| SSL-Proxy Port: }} | |||
{{var | SSL-Proxy Port--desc | |||
| Proxy-Port ist ebenfalls 443 | |||
| Proxy port is 443 as well }} | |||
{{var | SSL-Zertifikat | |||
| SSL-Zertifikat: | |||
| SSL certificate: }} | |||
{{var | SSL-Zertifikat--desc | |||
| Das zuvor angelegte Wildcard-Zertifikat | |||
| The certificate that was selected in the step ''Preparations'' is selected here. }} | |||
{{var | Weiter | |||
| Weiter | |||
| Next }} | |||
{{var | Schritt 3 | |||
| Schritt 3 - Authentifizierung | |||
| Step 3 - Authentication }} | |||
{{var | Schritt 3--Bild | |||
| Rp-www-s3.png | |||
| Rp-www-s3-en.png }} | |||
{{var | Schritt 3--cap | |||
| Keine Authentifizierung! | |||
| No authentication! }} | |||
| Authentication for access from the Internet }} | |||
{{var | Authentifizierung weiterleiten | |||
| Authentifizierung weiterleiten: | |||
| Forward authentication: }} | |||
{{var | Authentifizierung weiterleiten--val | |||
| Zugangsdaten festlegen | |||
| Provide login data}} | |||
{{var | Authentifizierung weiterleiten--desc | |||
| Der Proxy soll keine Authentifizierung durchführen | |||
| The proxy should not perform authentication }} | |||
{{var | Anmeldename | |||
| Anmeldename | |||
| Login name }} | |||
{{var | Anmeldename--desc | |||
| Leer | |||
| Blank }} | |||
{{var | Passwort | |||
| Passwort | |||
| Password }} | |||
{{var | Passwort--desc | |||
| Leer | |||
| Blank }} | |||
{{var | Authentifizierung | |||
| Authentifizierung: | |||
| Authentication: }} | |||
{{var | aus | |||
| aus | |||
| off }} | |||
{{var | Authentifizierung--desc | |||
| Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll. | |||
| Authentication is not useful for a web server that maintains the public home page. }} | |||
{{var | Fertig | |||
| Fertig | |||
| Finish }} | |||
{{var | Servergruppen | |||
| Servergruppen | |||
| Server groups }} | |||
{{var | Servergruppen--desc | |||
|* Es wird automatisch eine Servergruppe angelegt | |||
* neue Servergruppen können hinzugefügt werden | |||
* Vorhandene Servergruppen können mit weiteren Server erweitert werden | |||
| * A server group is created automatically | |||
* New server groups can be added | |||
* Existing server groups can be extended with additional servers }} | |||
{{var | Servergruppen--Hinweis--desc | |||
| Ein Portforwarding ermöglicht eine 1:1 Beziehung, die Verbindung wird an einen Server weitergeleitet. | |||
Bei einem Reverse-Proxy ist das anders, hier gibt es die Beziehungen: | |||
* 1:1 - Eine Domäne/IP : Ein Server | |||
* 1:N - Eine Domäne/IP : Mehrere Server (Load Balancing) | |||
* N:1 - Mehrere Domänen/IPs : Ein Server | |||
* N:M - Mehrere Domänen/IPs : Mehrere Server (Load Balancing) | |||
Nun ist auch klar, warum sich die Server in Gruppen befinden. Sie können, müssen aber nicht mehrere Objekte in diese Gruppen legen. | |||
| A port forwarding allows a 1:1 relationship, the connection is forwarded to a server. | |||
With a reverse proxy it is different, these are the relationships: | |||
* 1:1 - One domain/IP : One server | |||
* 1:N - One domain/IP : Multiple servers (load balancing) | |||
* N:1 - Multiple domains/IPs : One server | |||
* N:M - Multiple Domains/IPs : Multiple Servers (Load Balancing) | |||
Now it is also clear, why the servers are in groups. You can, but do not have to put multiple objects in these groups. }} | |||
{{var | Servergruppen--Hinweis | |||
| Servergruppen Hinweis | |||
| Server groups note }} | |||
{{var | Servergruppen--Bild | |||
| UTM v12.1 ReverseProxy Servergruppen.png | |||
| UTM v12.1 ReverseProxy Servergruppen-en.png }} | |||
{{var | Servergruppen--cap | |||
| Automatisch angelegte Servergruppe | |||
| Automatically created server group }} | |||
{{var | Servergruppen bearbeiten--Schaltfläche | |||
| Mit der Schaltfläche {{Button||w}} lässt sich eine Servergruppe bearbeiten. | |||
| The {{Button||w}} button can be used to edit a server group. }} | |||
{{var | Servergruppen bearbeiten | |||
| Servergruppen bearbeiten | |||
| Edit server groups }} | |||
{{var | Servergruppen bearbeiten--Bild | |||
| Rp-www-gruppe.png | |||
| Rp-www-gruppe-en.png }} | |||
{{var | Servergruppen bearbeiten--desc | |||
| Mit der Schaltfläche {{Button|Server hinzufügen|+}} lässt sich die Servergruppe erweitern. | |||
| The {{Button|Add Server|+}} button can be used to expand the server group. }} | |||
{{var | ACL Sets | |||
| ACL Sets | |||
| ACL Sets }} | |||
{{var | ACL Sets--Bild | |||
| Rp-www-acl.png | |||
| Rp-www-acl-en.png }} | |||
{{var | ACL Sets--desc | |||
| ACLs - Zugriffsrechte<br>Über ACLs lassen sich Zugriffsrechte zuweisen. | |||
| ACLs - Access rights<br>Access rights can be assigned via ACLs. }} | |||
{{var | ACL Sets--cap | |||
| | |||
| }} | |||
{{var | req_header--desc | |||
| Filter auf den Header des Clients (Es könnte z. B. der Browser bestimmt werden) | |||
| Filter on the header of the client (It could be determined, for example, the browser). }} | |||
{{var | src--desc | |||
| Gibt die Quell IP des Clients an (87.139.55.127/255.255.255.255) | |||
| Specifies the source IP of the client (87.139.55.127/255.255.255.255) }} | |||
{{var | dstdomain--desc | |||
| Gibt die Domäne/IP des Ziel-Servers an (www.ttt-point.de oder IP-Adresse) | |||
| Specifies the domain/IP of the destination server (www.ttt-point.de or IP address). }} | |||
{{var | dstdom_regex--desc | |||
| Regex auf die Ziel-Domäne (<nowiki>.*\ttt-point\.(de|com)</nowiki>) | |||
| Regex to the target domain (<nowiki>.*\ttt-point\.(en|com)</nowiki>) }} | |||
{{var | srcdomain--desc | |||
| Gibt die Domäne des Absenders an (anyideas.de) | |||
| Specifies the domain of the sender (anyideas.com) }} | |||
{{var | srcdom_regex--desc | |||
| Regex auf die Domäne (anyideas) | |||
| Regex to the domain (anyideas) }} | |||
{{var | urlpath_regex--desc | |||
| Regex für Pfade | |||
| Regex for paths }} | |||
{{var | proto--desc | |||
| Protokoll (http, https) | |||
| Protocol (http, https) }} | |||
{{var | time--desc | |||
| Zeitangabe (M T W H F 9:00-17:00) | |||
| Time specification (M T W H F 9:00-17:00) }} | |||
{{var | Days of the Week | |||
| Wochentage | |||
| Days of the Week }} | |||
{{var | Days of the Week--desc | |||
| S - Sonntag<br> | |||
M - Montag<br> | |||
T - Dienstag<br> | |||
W - Mittwoch<br> | |||
H - Donnerstag<br> | |||
F - Freitag<br> | |||
A - Samstag<br> | |||
D - jeden Werktag | |||
| S - Sunday<br> | |||
M - Monday<br> | |||
T - Tuesday<br> | |||
W - Wednesday<br> | |||
H - Thursday<br> | |||
F - Friday<br> | |||
A - Saturday<br> | |||
D - All weekdays<br> }} | |||
{{var | Sites | |||
| Sites | |||
| Sites }} | |||
{{var | Sites--Bild | |||
| Rp-www-SITE.png | |||
| Rp-www-SITE-en.png }} | |||
{{var | Sites--cap | |||
| | |||
| }} | |||
{{var | Sites--desc | |||
| Hier können nun die Zuweisungen von den ACLs, der Aktion "Allow/Deny", der Reihenfolge, den Verteilungsalgorithmus sowie der Bandbreite für dem Server erfolgen.<br> | |||
Die ACLs werden der Reihenfolge nach abgearbeitet, man kann sie entweder zulassen "Allow" oder verweigern "Deny". | |||
| Now the assignments of the ACLs, the action "Allow/Deny", the order, the distribution algorithm, as well as the bandwidth for the server can be made.<br> | |||
The ACLs are processed in order, you can either allow them "Allow" or deny them "Deny". }} | |||
{{var | Sites-Reihenfolgehinweis | |||
| Die ACLs vom Typ "Deny" sollten in der Reihenfolge vor den "Allow" ACLs kommen. | |||
| In the order, the ACLs of the type "Deny" should come before the ACLs of the type "Allow". }} | |||
{{var | Einstellungen | |||
| Einstellungen | |||
| Options }} | |||
{{var | Einstellungen--desc | |||
| Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server. | |||
| Here you can specify whether HTTP/HTTPS or both should be used, the ports and the certificate for the corresponding server. }} | |||
{{var | Einstellungen--Bild | |||
| UTM v12.2.3 Reverse Proxy-Einstellungen.png | |||
| Rp-www-einstellungen-en.png }} | |||
{{var | Einstellungen--cap | |||
| | |||
| }} | |||
{{var | Portfilter | |||
| Portfilter-Regel | |||
| Portfilter rule }} | |||
{{var | Portfilter--desc | |||
| Damit der Reverse Proxy erreichbar ist, muss folgende Portfilter-Regel vorhanden sein. Unter {{Menu|Firewall|Portfilter}} kann dies überprüft werden. Falls diese nicht vorhanden ist, wird mit {{button|Regel hinzufügen|+}} diese Regel hinzugefügt. | |||
| For the reverse proxy to be reachable, the following port filter rule must be in place. This can be checked under {{Menu|Firewall|Port filter}}. If this is not present, {{button|Add rule|+}} will add this rule. }} | |||
{{var | Portfilter HTTP--Hinweis | |||
| Gegebenenfalls muss diese Portfilterregel auch mit dem Dienst {{spc|tcp|o|-}} '''http''' erstellt werden. | |||
| If necessary, this port filter rule must also be created using the {{spc|tcp|o|-}} '''http''' service. }} | |||
{{var | Quelle | |||
| Quelle | |||
| Source }} | |||
{{var | Ziel | |||
| Ziel | |||
| Destination }} | |||
{{var | Dienst | |||
| Dienst | |||
| Service }} | |||
{{var | Aktion | |||
| Aktion | |||
| Action }} | |||
{{var | Aktiv | |||
| Aktiv | |||
| Active }} | |||
{{var | Anwendungen | |||
| Anwendungen | |||
| Application }} | |||
{{var | Reverse-Proxy | |||
| Reverse-Proxy | |||
| Reverse-Proxy }} | |||
{{var | neu--ACME-Hinweis | |||
| Hinweis auf ACME-Zertifikate | |||
| Hint to ACME certificates }} | |||
{{var | neu--Portfilterregel | |||
| [[#Portfilter-Regel | Notwendige Portfilterregel]] hinzugefügt | |||
| Added [[#Portfilter-Regel | necessary port filter rule]] }} | |||
</div>{{TOC2|cap={{#ev:youtube|AJBrDO7v5K0|||{{#var:Webinar--cap}}|cover=Video_UTM_App_ReverseProxy.png }} }}{{Select_lang}} | |||
{{Header|02.2023| | |||
* {{#var:neu--ACME-Hinweis}} | |||
* {{#var:neu--Portfilterregel}} | |||
|[[UTM/APP/Reverse_Proxy v11.7 | '''11.7''']] | |||
|{{Menu|{{#var:Anwendungen}}|{{#var:Reverse-Proxy}} }} | |||
}} | |||
---- | |||
=== {{#var:Verwendungszweck}} === | |||
<div class="Einrücken"> | |||
{{#var:Verwendungszweck--desc}} | |||
</div> | |||
=== {{#var:Voraussetzungen}} === | |||
<div class="Einrücken"> | |||
{{#var:Voraussetzungen--desc}} | |||
</div> | |||
=== {{#var:Vorbereitungen}} === | |||
<div class="Einrücken"> | |||
* {{#var:Vorbereitungen--desc}} | |||
<div class="Einrücken"> | |||
{{Einblenden|{{#var:User Webinterface Port ändern}}|{{#var:hide}}|dezent|true|id=Webinterfaceport}}{{pt3|{{#var:User Webinterface Port ändern--Bild}} }}<br>{{#var:User Webinterface Port ändern--desc}}<li class="list--element__alert list--element__warning">{{#var:User Webinterface Port--Regelhinweis}}</li>{{Button|{{#var:Speichern}} }}</div></span> | |||
<br clear=all></div></div> | |||
{{#var:Zertifikat--desc}} | |||
<li class="list--element__alert list--element__hint Einrücken">{{#var:Lokales Zertifikat--Hinweis}}</li> | |||
<li class="list--element__alert list--element__positiv Einrücken">{{#var:ACME-Zertifikat--Hinweis}}</li>{{a}} | |||
<li class="list--element__alert list--element__hint">{{#var:Zertifikatsname--Hinweis}}</li> | |||
==== {{#var:Portfilter}} ==== | |||
<div class="einrücken"> | |||
{{#var:Portfilter--desc}} | |||
{| class="sptable2 spezial pd5 tr--bc__white zh1" | |||
|- class="bold small no1cell" | |||
| || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| {{spc|drag|o|-}} || 3 || {{spc|world|o|-}} internet || {{spc|interface|o|-}} external-interface || {{spc|tcp|o|-}} https || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|} | |||
<br> | |||
{{Hinweis-neu|! {{#var:Portfilter HTTP--Hinweis}}|gelb}} | |||
</div> | |||
</div> | |||
---- | |||
=== {{#var:Einrichtung}} === | |||
<div class="Einrücken"> | |||
{{#var:Einrichtung--desc}} | |||
</div> | |||
==== {{#var:Assistent}} ==== | |||
===== {{#var:Schritt 1}} ===== | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 1 Netzwerkobjekt bereits angelegt--Bild}} |{{#var:Schritt 1 Netzwerkobjekt bereits angelegt--cap}} }} | |||
|- | |||
| {{b|{{#var:Zielserver}} }} || {{Button|www.ttt-point.de|dr}} || {{#var:Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc}} | |||
|- | |||
| {{b|{{#var:Port}} }} || {{ic|443|c}} || {{#var:Port--desc}} | |||
|- | |||
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:SSL benutzen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| {{b|{{#var:Zielserver}} }} || {{Button|{{#var:Server anlegen}}|dr}} || {{#var:Zielserver--Server anlegen--desc}} || class="Bild" rowspan="7" | {{Bild|{{#var:Schritt 1 Netzwerkobjekt anlegen--Bild}} |{{#var:Schritt 1 Netzwerkobjekt anlegen--cap}} }} | |||
|- | |||
| {{b|{{#var:Servername}} }} || {{ic|www.ttt-point.de}} || {{#var:Servername--desc}} | |||
|- | |||
| {{b|{{#var:IP-Adresse}} }} || {{ic| 10.1.0.150}} || {{#var:IP-Adresse--desc}} | |||
|- | |||
| {{b|{{#var:Zone}} }} || {{Button|dmz1|dr}} || {{#var:Zone--desc}}<br><li class="list--element__alert list--element__hint">{{#var:Zone--Hinweis}}</li> | |||
|- | |||
| {{b|{{#var:Port}} }} || {{ic|443|c}} || {{#var:Port--desc}} | |||
|- | |||
| {{b|{{#var:SSL benutzen}} }} || {{ButtonAn|{{#var:ein}} }} || {{#var:SSL benutzen--desc}} | |||
|- class="Leerzeile" | |||
| || || class="right" | {{Button|{{#var:Weiter}} }} | |||
|- class="Leerzeile" | |||
| colspan="3" | | |||
===== {{#var:Schritt 2}} ===== | |||
'''{{#var:Schritt 2--desc}}''' | |||
|- | |||
| {{b|{{#var:Externer Domainname}} }} || {{ic|www.ttt-point.de}} || {{#var:Externer Domainname--desc}}{{a|5}}<li class="list--element__alert list--element__hint">{{#var:Externer Domainname--Hinweis-IP}}</li> || class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 2--Bild}} |{{#var:Schritt 2--cap}} }} | |||
|- | |||
| {{b|{{#var:Modus}} }} || {{Button|HTTPS|dr}} || {{#var:Modus--desc}} | |||
|- | |||
| {{b|{{#var:SSL-Proxy Port}} }} || {{ic|443|c}} || {{#var:SSL-Proxy Port--desc}} | |||
|- | |||
| {{b|{{#var:SSL-Zertifikat}} }} || {{Button|<nowiki>*.ttt-point.de</nowiki>|dr}} || {{#var:SSL-Zertifikat--desc}} | |||
|- class="Leerzeile" | |||
| || || class="right" | {{Button|{{#var:Weiter}} }} | |||
|- class="Leerzeile" | |||
| colspan="3" | | |||
===== {{#var:Schritt 3}} ===== | |||
|- | |||
| {{b|{{#var:Authentifizierung weiterleiten}} }} || style="min-width:13.1em;" | {{Button|{{#var:Authentifizierung weiterleiten--val}}|dr}} || {{#var:Authentifizierung weiterleiten--desc}} || class="Bild" rowspan="5" | {{Bild|{{#var:Schritt 3--Bild}} |{{#var:Schritt 3--cap}} }} | |||
|- | |||
| {{b|{{#var:Anmeldename}} }} || {{ic| | w=5em}} || {{#var:Anmeldename--desc}} | |||
|- | |||
| {{b|{{#var:Passwort}} }} || {{ic| | w=5em}} || {{#var:Passwort--desc}} | |||
|- | |||
| {{b|{{#var:Authentifizierung}} }} || {{Button| {{#var:aus}}|dr|w=5em}} || {{#var:Authentifizierung--desc}} | |||
|- class="Leerzeile" | |||
| | || || class="right" | {{Button|{{#var:Fertig}} }} | |||
|- class="Leerzeile" | |||
| colspan="3" | | |||
{{h4| {{#var:Servergruppen}} | {{Reiter| {{#var:Servergruppen}} }} }} | |||
|- | |||
| colspan="3" class="Leerzeile"| {{#var:Servergruppen--desc}} | |||
<li class="list--element__alert list--element__hint">{{#var:Servergruppen--Hinweis--desc}}</li> | |||
{{#var:Servergruppen bearbeiten--Schaltfläche}} | |||
| class="Bild" rowspan="2" | {{Bild|{{#var:Servergruppen--Bild}} |{{#var:Servergruppen--cap}} }} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
| colspan="3" class="Leerzeile" | {{#var:Servergruppen bearbeiten--desc}} ||class="Bild" rowspan="2" | {{Bild|{{#var:Servergruppen bearbeiten--Bild}} |{{#var:Servergruppen bearbeiten--cap}} }} | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|<br>{{h4|{{#var:ACL Sets}} | {{Reiter|{{#var:ACL Sets}} }} }} | |||
|- | |||
| colspan="3" | {{#var:ACL Sets--desc}} || class="Bild" rowspan="11" | {{Bild|{{#var:ACL Sets--Bild}} |{{#var:ACL Sets--cap}} }} | |||
|- | |||
| {{Button|req_header|dr}} || || {{#var:req_header--desc}} | |||
|- | |||
| {{Button|src|dr}} || || {{#var:src--desc}} | |||
|- | |||
| {{Button|dstdomain|dr}} || || {{#var:dstdomain--desc}} | |||
|- | |||
| {{Button|dstdom_regex|dr}} || || {{#var:dstdom_regex--desc}} | |||
|- | |||
| {{Button|srcdomain|dr}} || || {{#var:srcdomain--desc}} | |||
|- | |||
| {{Button|srcdom_regex|dr}} || || {{#var:srcdom_regex--desc}} | |||
|- | |||
| {{Button|urlpath_regex|dr}} || || {{#var:urlpath_regex--desc}} | |||
|- | |||
| {{Button|proto|dr}} || || proto{{#var:proto--desc}} | |||
|- | |||
| {{Button|time|dr}} || || {{#var:time--desc}}{{Einblenden|{{#var:Days of the Week}}|{{#var:hide}}|dezent|true}}{{#var:Days of the Week--desc}}</div></span> | |||
|- class="Leerzeile" | |||
| | |||
|- class="Leerzeile" | |||
|<br>{{h4|{{#var:Sites}} | {{Reiter|{{#var:Sites}} }} }} | |||
|- | |||
| colspan="3" class="Leerzeile" | {{#var:Sites--desc}} | |||
<li class="list--element__alert list--element__hint">{{#var:Sites-Reihenfolgehinweis}}</li> | |||
| class="Bild" rowspan="2" | {{Bild|{{#var:Sites--Bild}} |{{#var:Sites--cap}} }} | |||
|- class="Leerzeile" | |||
| | |||
|- | |||
|- class="Leerzeile" | |||
|<br>{{h4|{{#var:Einstellungen}} | {{Reiter|{{#var:Einstellungen}} }} }} | |||
|- | |||
| colspan="3" class="Leerzeile"| {{#var:Einstellungen--desc}} | |||
| class="Bild" rowspan="2" | {{Bild|{{#var:Einstellungen--Bild}} |{{#var:Einstellungen--cap}} }} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
Aktuelle Version vom 29. März 2023, 11:29 Uhr
notempty
notempty
notempty Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!
notempty
Der Artikel für die neueste Version steht hier
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht
Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen.
Letzte Anpassung: 02.2023
Neu:
- Hinweis auf ACME-Zertifikate
- Notwendige Portfilterregel hinzugefügt
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Verwendungszweck
Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.
Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.
Voraussetzungen
Für die Beispielkonfiguration werden folgende Werte angenommen:
- Webserver mit der privaten IP: 10.1.0.150
- Domäne: www.ttt-point.de
Vorbereitungen
- Achtung:
Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.
In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.
Die Einstellungen dazu befinden sich im Menü Reiter Servereinstellungen im Abschnitt
Webserver
- Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
- Hierzu wird unter ein Zertifikat benötigt
In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.
Portfilter-Regel
Damit der Reverse Proxy erreichbar ist, muss folgende Portfilter-Regel vorhanden sein. Unter kann dies überprüft werden. Falls diese nicht vorhanden ist, wird mit diese Regel hinzugefügt.
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
3 |  internet |
 external-interface |
 https |
Accept | Ein |
Gegebenenfalls muss diese Portfilterregel auch mit dem Dienst 
http erstellt werden.
http erstellt werden.
Einrichtung
Die Einstellungen für den Reverse Proxy befinden sich im Menü
Mit einem Klick auf die Schaltfläche öffnet sich der Assistent.
Assistent
Schritt 1 - Intern
| Beschriftung | Wert | Beschreibung |  |
|---|---|---|---|
| Zielserver: | Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. | ||
| Port | 443 |
Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | |
| SSL benutzen: | Ein | SSL muss aktiviert sein. | |
| Zielserver: | Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt im Assistenten angelegt werden. |  | |
| Servername: | www.ttt-point.de | Name des Netzwerkobjektes. Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-point.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet. | |
| IP-Adresse: | 10.1.0.150 | IP-Adresse des Webservers | |
| Zone: | Zone des Netzwerkobjektes. Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist. | ||
| Port | 443 |
Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | |
| SSL benutzen: | Ein | SSL muss aktiviert sein. | |
Schritt 2 - ExternEingehende Verbindung definieren | |||
| Externer Domainname: | www.ttt-point.de | Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird |
 |
| Modus | Der Zugriff soll ausschließlich verschlüsselt über https erfolgen. | ||
| SSL-Proxy Port: | 443 |
Proxy-Port ist ebenfalls 443 | |
| SSL-Zertifikat: | Das zuvor angelegte Wildcard-Zertifikat | ||
Schritt 3 - Authentifizierung | |||
| Authentifizierung weiterleiten: | Der Proxy soll keine Authentifizierung durchführen |  | |
| Anmeldename | Leer | ||
| Passwort | Leer | ||
| Authentifizierung: | Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll. | ||
Servergruppen Servergruppen
| |||
|
 | ||
| Mit der Schaltfläche lässt sich die Servergruppe erweitern. |  | ||
ACL Sets ACL Sets
| |||
| ACLs - Zugriffsrechte Über ACLs lassen sich Zugriffsrechte zuweisen. |
 | ||
| Filter auf den Header des Clients (Es könnte z. B. der Browser bestimmt werden) | |||
| Gibt die Quell IP des Clients an (87.139.55.127/255.255.255.255) | |||
| Gibt die Domäne/IP des Ziel-Servers an (www.ttt-point.de oder IP-Adresse) | |||
| Regex auf die Ziel-Domäne (.*\ttt-point\.(de|com)) | |||
| Gibt die Domäne des Absenders an (anyideas.de) | |||
| Regex auf die Domäne (anyideas) | |||
| Regex für Pfade | |||
| protoProtokoll (http, https) | |||
| Zeitangabe (M T W H F 9:00-17:00) S - Sonntag
M - Montag | |||
Sites Sites
| |||
| Hier können nun die Zuweisungen von den ACLs, der Aktion "Allow/Deny", der Reihenfolge, den Verteilungsalgorithmus sowie der Bandbreite für dem Server erfolgen. Die ACLs werden der Reihenfolge nach abgearbeitet, man kann sie entweder zulassen "Allow" oder verweigern "Deny". |
 | ||
Einstellungen Einstellungen
| |||
| Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server. |  | ||