Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Application Security für Windows Home Server 2011

Hallo,

ich versuche gerade den Windows Homeserver 2011 nicht über NAT sondern über die Web Application Security ins Web zu leiten.

Auf meinem Astaro läuft die 8.970 UTM 9 Beta.

Den http Pfad mit Virtuellen Server und Echten Server hab ich hinbekommen.
Man kann deutlich erkennen das der Server auf https umleitet.

Hier meine http Einstellungen. Einstellung Echter http Server:

Typ: HOST
IPv4: interne IPAdresse
Schnittstelle: Intern
Typ: PLAIN(http)
Port: 80

Einstellung Virtueller Server:

Typ: PLAIN(http)
Domäne: ***xx.homeserver.com
Schnittstelle: Externe Schnittstelle(wan)
Port:80
Echterwebserver: Häckchen nur beim echten http Server
Firewall Profil: Basic Protection
Häckchen bei Host Header durchreichen 


This thread was automatically locked due to age.
Parents
  • Hi, dies ist meine WHS 2011 HTTP/S Reverse-Proxy Konfiguration. Für dem SSL host benutze ich ein wildcard cert für meine Domain, damit ich noch mehr virtuelle Server über SSL und Port 443 betreiben kann (jDownloader). Für die backend server host objekte benutze ich 'DNS Host' objekte die das ASG selbst zur internen IP des servers auflöst (statische DNS einträge). Ich benutze keines der 'firewall' Profile oder deren Einstellungen da die meisten davon die WHS Remote Access Seite kaputt machten, besonders Features die das HTML modifizieren (SQL injection, Cross Site Scripting, URL Hardening). Ich hatte eine funktionierende Konfiguration mit AV Scanning, aber die machte Probleme mit großen Dateien (max scanning size).

    Was definitiv nicht funktioniert, ist Remote Desktop über die WHS Seite in Kombination mit dem Reverse-Proxy. Ich habe es auch nicht mit einer zusätzlichen DNAT-Regel hinbekommen. Ohne Proxy mit DNAT allein, geht's. Das mache ich inzwischen aber einfach über das HTML 5 Portal des ASG ;-)..

    Zu Deinem Problem: Vermutlich hast Du das ASG User Portal oder SSL VPN auf Port 443?


    Ignoriere das Ausrufezeichen, sieht nach einem Bug aus denn es funktioniert trotzdem einwandfrei.





Reply
  • Hi, dies ist meine WHS 2011 HTTP/S Reverse-Proxy Konfiguration. Für dem SSL host benutze ich ein wildcard cert für meine Domain, damit ich noch mehr virtuelle Server über SSL und Port 443 betreiben kann (jDownloader). Für die backend server host objekte benutze ich 'DNS Host' objekte die das ASG selbst zur internen IP des servers auflöst (statische DNS einträge). Ich benutze keines der 'firewall' Profile oder deren Einstellungen da die meisten davon die WHS Remote Access Seite kaputt machten, besonders Features die das HTML modifizieren (SQL injection, Cross Site Scripting, URL Hardening). Ich hatte eine funktionierende Konfiguration mit AV Scanning, aber die machte Probleme mit großen Dateien (max scanning size).

    Was definitiv nicht funktioniert, ist Remote Desktop über die WHS Seite in Kombination mit dem Reverse-Proxy. Ich habe es auch nicht mit einer zusätzlichen DNAT-Regel hinbekommen. Ohne Proxy mit DNAT allein, geht's. Das mache ich inzwischen aber einfach über das HTML 5 Portal des ASG ;-)..

    Zu Deinem Problem: Vermutlich hast Du das ASG User Portal oder SSL VPN auf Port 443?


    Ignoriere das Ausrufezeichen, sieht nach einem Bug aus denn es funktioniert trotzdem einwandfrei.





Children
  • Hi,

    Vielen Dank für die Tips. Die waren Goldrichtig. Das Userportal und die SSL VPN waren auf 443 eingestellt. Nachdem ich das gändert habe funktionierts.[:D]

    Allerdings musste ich die Oberfläche des ASG Interfaces auf Englisch zurück stellen. Im Deutschen fehlen ein Paar knöpfe im Bereich der Userportal Einstellungen, um Änderungen speichern zu können.[:S]

    Das coole was ich herausgefunden hab ist das das Certificat des WHS in der Astaro ohne Probleme und Certificatsfehler funktioniert. Durch DynDns hab ich noch eine weitere Domain für andere zwecke. Dennoch die Microsoft Domain funktioniert sehr gut mit dem ASG.

    Danke nochmals.

    Gruss Matze