Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 38 subscribers
  • Views 1448 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webadmin über den integrierten ReverseProxy

Stephan Hoch
Hallo zusammen,

ich würde gerne die Adminoberfläche über den ReverseProxy bereitstellen, da ich
den ReverseProxy sowieso für einige Dienste hinter der Sophos nutze.
Zertifikat mit entsprechender URL ist erstellt. Das funktioniert auch soweit.
Aber ich kann nicht zugreifen.

Ich habe im LiveLog der FW immer einen abgewiesenen Verbindungsversuch von der 
eigenen internen IP-Adresse. Das bedeutet, der ReverseProxy ansich funktioniert. 
Leider verhindert die FW dem Zugriff. Ich habe auch schon testweise, den Zugriff von 
any freigegeben. Aber auch dann habe ich die gleiche abgewiesene Verbindung.

Was kann ich tun, um die Oberfläche bereitzustellen?

mfg

PS: Sophos ist die neueste 9...


This thread was automatically locked due to age.
Parents
  • 0
    @Stephan Hoch

    Das, was du vorhast, ist leider nicht möglich.

    Der Zugriff über den Reverse-Proxy auf den WebAdmin der UTM wird aus sicherheitstechnischen Gründen grundsätzlich gesperrt.

    Wenn durch einen Bug im Reverse-Proxy der WebAdmin kompromittiert würde,
    so hätte ein Angreifer die Möglichkeit VOLLEN Zugriff auf die Konfiguration der UTM zu bekommen.

    Das Gleiche gilt für den Zugriff auf den WebAdmin über den WebProxy der UTM.

    Wenn du beispielsweise den WebProxy im Standardmodus betreibst,
    den Proxy beim Client im Browser einträgst und dann versuchst auf den WebAdmin zuzugreifen, so wird diese Verbindung ebenfalls blockiert.

    Die UTM baut bei einem solchen Verbindungsversuch eine Verbindung zu sich selbst auf ( daher siehst du auch das Loopback-Interface in deinen Log-Einträgen ).

    Wenn diese Verbindung NICHT blockiert würde,
    so bräuchte man nur den Proxy im Browser eintragen und bekäme selbst dann Zugriff zum WebAdmin ( Anzeige der WebAdmin-Anmeldeseite ), wenn das Netz,
    aus dem man kommt, nicht in den "Allowed Networks" des WebAdmins eingetragen wäre.

    Es würden dann die "Allowed Networks" gar nicht "greifen".

    Gruß, Datax
Reply
  • 0
    @Stephan Hoch

    Das, was du vorhast, ist leider nicht möglich.

    Der Zugriff über den Reverse-Proxy auf den WebAdmin der UTM wird aus sicherheitstechnischen Gründen grundsätzlich gesperrt.

    Wenn durch einen Bug im Reverse-Proxy der WebAdmin kompromittiert würde,
    so hätte ein Angreifer die Möglichkeit VOLLEN Zugriff auf die Konfiguration der UTM zu bekommen.

    Das Gleiche gilt für den Zugriff auf den WebAdmin über den WebProxy der UTM.

    Wenn du beispielsweise den WebProxy im Standardmodus betreibst,
    den Proxy beim Client im Browser einträgst und dann versuchst auf den WebAdmin zuzugreifen, so wird diese Verbindung ebenfalls blockiert.

    Die UTM baut bei einem solchen Verbindungsversuch eine Verbindung zu sich selbst auf ( daher siehst du auch das Loopback-Interface in deinen Log-Einträgen ).

    Wenn diese Verbindung NICHT blockiert würde,
    so bräuchte man nur den Proxy im Browser eintragen und bekäme selbst dann Zugriff zum WebAdmin ( Anzeige der WebAdmin-Anmeldeseite ), wenn das Netz,
    aus dem man kommt, nicht in den "Allowed Networks" des WebAdmins eingetragen wäre.

    Es würden dann die "Allowed Networks" gar nicht "greifen".

    Gruß, Datax
Children
No Data
Unfiltered HTML