Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verständnisfrage WAF

Hallo zusammen,

ich habe ein paar Fragen zur WAF, da ich unseren Webserver schützen möchte.

Unser Webserver kann via HTTP angesprochen werden, darüber hinaus kann man sich in einen Kundenbereich einloggen, dies geschieht dann via HTTPS.

Nun meine Fragen:

Den Webserver muss ich doch zuerst unter "WAF" -> "Virtual Web Servers" anlegen?

Und zwar einmal als "Type" - > "Plain (HTTP)" und als "Type" ->  "SSL (HTTPS)".

Und genau an dieser Stelle habe ich das Verständnisproblem. Gebe ich SSL an, muss ein Zertifikat ausgewählt werden.

Heißt das, dass ich unser bestehendes SSL-Zertifikat vom Webserver importieren und auswählen muss?

Gruß

Christian


This thread was automatically locked due to age.
  • Korrekt - hier muss vorher das Zertifikat des Servers in die ASG importiert werden. 

    Vor dem virtuellen Webserver muss noch der reale Webserver auf der ASG angelegt werden - dieser wird dann im virtuellen Server verlinkt.
  • Danke erstmal für deine Antwort.

    Der virtuelle und der reale Webserver sind aber schon ein und derselbe Eintrag, oder?

    Gruß

    Christian
  • Nein - du hast für beide je einen Karteireiter im Webadmin.

    Der virtuelle Server repräsentiert die öffentliche Seite mit der offiziellen Ip. Er verweist dann auf die internen realen Server ( ein oder mehrere Server mit Loadbalancing). Beide müssen über die jeweiligen Karteireiter separat konfiguriert werden.

    Schau mal in die Hilfe - da ist das glaub ich ganz gut beschrieben.
  • Alles klar, ich denke es verstanden zu habe [:)]

    Vielen Dank!
  • So ganz scheine ich es doch nicht verstanden zu haben...

    Was ich bisher getan habe:

    - Auf unserem Webserver habe ich das Zertifikat exportiert und auf der Astaro importiert (unter WAF > Certificate Management > Certificates)

    - Unter WAF > Real Web Servers habe ich den Webserver 2x angelegt. 1x als Type Plain (HTTP) und 1x als Typ SSL (HTTPS)

    - nun wollte ich unter WAF > Virtual Web Servers auch wieder zwei Einträge konfigurieren. Und zwar einmal einen Type Plain (HTTP) und einmal einen Type SSL (HTTPS)

    - für den Type SSL müsste ich ja dann unter Certificate das importierte Zertifikat des Webservers auswählen können. Dies steht leider nicht zur Auswahl.

    Was mache ich falsch?

    Gruß

    Hunter
  • Hast du vielleicht den private key des Zertifikats nicht mit hochgeladen?
  • Klasse, danke für den Tipp! Jetzt kann ich auch das Zertifikat auswählen [:)]

    Mein weiteres Vorgehen wäre doch jetzt:

    - unter WAF > zwei virtuelle Web Server generieren, einmal als HTTP, einmal als HTTPS
    - unter Interface wähle ich das externe Interface aus
    - muss ich in den Regeln noch etwas konfigurieren?

    Gruß

    Christian
  • Es läuft soweit...

    Jedoch mit einer Einschränkung:

    Ich habe unter WAF > Virtual Web Servers zwei Einträge erstellt, einmal für HTTPS und einmal für HTTP.

    Den virtuellen HTTP-Webserver kann ich aktivieren, den virtuellen HTTPS-Webserver leider nicht. 

    Hier bekomme ich die Info: The TCP port "443" is already in use by the SSL VPN port number.

    [:S]

    Benötige ich den HTTPS-Eintrag am End gar nicht?

    Gruß

    Christian
  • Wenn du SSL-VPN aktiviert hat ist die Meldung klar....verwendet den gleichen Port.

    SSL-VPN abdrehen und gut ist (wenn nicht notwendig - eh klar), oder den Port vom SSL-VPN ändern (unter Settings, was dann bei den Clients geändert werden muss weiß ich jetzt aber nicht)

    Gruß M$
  • Ok. Das erklärt einiges, da wir SSL-VPN nutzen.

    Jetzt sehe ich ein Problem, dass ich bekomme, wenn ich den Port für´s SSL-VPN ändere: 

    Da der Port 443 ja meist freigeschaltet ist, habe ich doch ein Problem, wenn ich beim Kunden sitze, in dessen WLAN hänge und über den Astaro-VPN-Client eine Verbindung zur Astaro über den geänderten Port, nennen wir ihn 123, aufbauen möchte.

    Dies wird nicht möglich sein, da der besagte Port beim Kunden wohl nicht freigeschaltet ist. 

    Folglich könnte ich mich nicht mehr einwählen, jedoch würde mein WAF funktionieren. Ganz toll...

    Gruß

    Christian