Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 1426 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webadmin über den integrierten ReverseProxy

Stephan Hoch
Hallo zusammen,

ich würde gerne die Adminoberfläche über den ReverseProxy bereitstellen, da ich
den ReverseProxy sowieso für einige Dienste hinter der Sophos nutze.
Zertifikat mit entsprechender URL ist erstellt. Das funktioniert auch soweit.
Aber ich kann nicht zugreifen.

Ich habe im LiveLog der FW immer einen abgewiesenen Verbindungsversuch von der 
eigenen internen IP-Adresse. Das bedeutet, der ReverseProxy ansich funktioniert. 
Leider verhindert die FW dem Zugriff. Ich habe auch schon testweise, den Zugriff von 
any freigegeben. Aber auch dann habe ich die gleiche abgewiesene Verbindung.

Was kann ich tun, um die Oberfläche bereitzustellen?

mfg

PS: Sophos ist die neueste 9...


This thread was automatically locked due to age.
  • 0
    Hi Stephan und herzlich Willkommen.

    Kannst du einmal deinen Log Eintrag schicken.

    Stelle jetzt mal die Frage, warum du das via Reserve Proxy zur Verfügung stellen willst bzw. in welche Richtung willst du es mit dem Proxy schützen?
    So kann man sich schnell den Ast unter den Beinen weg sägen.

    Nice greetings
  • 0
    Hallo GuyFawkes und danke!

    2014:04:08-20:09:06 firewall ulogd[7607]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60005" outitf="lo" srcmac="0:0:0:0:0:0" srcip="192.168.50.1" dstip="192.168.50.1" proto="6" length="60" tos="0x00" prec="0x00" ttl="64" srcport="60245" dstport="4444" tcpflags="SYN" 


    Das ist einer der Log-Einträge.... Zu diesem Zeitpunkt habe ich versucht von außen auf die entsprechende URL zuzugreifen. Der Reverse-Proxy ansich scheint zu funktionieren.


    Naja, ich schütze einige interne Dienste mit dem Proxy für den Zugriff von außen. Dafür darf Port 443 natürlich nicht von anderen Diensten genutzt werden. Leider kann ich auch nicht immer andere Ports als 80/443 nutzen. Aus diesem Grund wollte ich das Webinterface auch "einfach" hinter eine URL hängen um von außen darauf zugreifen zu können. 

    Dafür habe ich mir einen neuen virtuellen Server mit einem entsprechenden Zertifikat erstellt, diesen auch an das externe Interface gebunden. Dann habe ich einen Real-Webserver mit der internen IP der Sophos, Zugriff über https und Port 4444 eingerichtet...

    Gruß

    Edit: warum versucht die Sophos denn 192.168.x über das loopback Interface zu senden...
  • 0
    @Stephan Hoch

    Das, was du vorhast, ist leider nicht möglich.

    Der Zugriff über den Reverse-Proxy auf den WebAdmin der UTM wird aus sicherheitstechnischen Gründen grundsätzlich gesperrt.

    Wenn durch einen Bug im Reverse-Proxy der WebAdmin kompromittiert würde,
    so hätte ein Angreifer die Möglichkeit VOLLEN Zugriff auf die Konfiguration der UTM zu bekommen.

    Das Gleiche gilt für den Zugriff auf den WebAdmin über den WebProxy der UTM.

    Wenn du beispielsweise den WebProxy im Standardmodus betreibst,
    den Proxy beim Client im Browser einträgst und dann versuchst auf den WebAdmin zuzugreifen, so wird diese Verbindung ebenfalls blockiert.

    Die UTM baut bei einem solchen Verbindungsversuch eine Verbindung zu sich selbst auf ( daher siehst du auch das Loopback-Interface in deinen Log-Einträgen ).

    Wenn diese Verbindung NICHT blockiert würde,
    so bräuchte man nur den Proxy im Browser eintragen und bekäme selbst dann Zugriff zum WebAdmin ( Anzeige der WebAdmin-Anmeldeseite ), wenn das Netz,
    aus dem man kommt, nicht in den "Allowed Networks" des WebAdmins eingetragen wäre.

    Es würden dann die "Allowed Networks" gar nicht "greifen".

    Gruß, Datax
  • 0
    Moin Datax,

    ich bin mir des Risikos, den Zugriff auf die Weboberfläche von außen zuzulassen, durchaus bewusst. Wenn ich den Zugang über den Reverse-Proxy zulassen würde, habe ich natürlich keine Kontrolle mehr über die IP-Adressen, die zugreifen.

    Das die UTM einen Verbindungsversuch zu sich selbst aufbaut, ist klar. Ich wunderte mich nur das Sie da auch über lo probiert hat und nicht über das interne physikalische Interface...

    Schade das es nicht funktioniert, aber danke für deine Antwort.


    Gruß
  • 0
    @Stephan Hoch

    Nichts zu danken :-)!

    Gruß, Datax
Unfiltered HTML