Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 38 subscribers
  • Views 4961 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virtueller Webserver

ChristophKlahn
Hallo Forum,

ich habe hier im internen Netz einen eigenständigen Rechner für Hausautomation. Dieser ist lediglich über http Port 80 erreichbar. Man kann ihn über ein Webinterface mittels Browser oder über eine App.

Nun kann ich ihn über eine DNAT-Regel von aussen über einen geforwardeten Port erreichen. Allerdings würde ich gerne auf SSL umstellen. Der Webserver im Rechner unterstützt dieses nicht und die App auch nicht.

Ich habe jetzt mal die DNAT-Regel ausgeschaltet und über die Webserver Protection einen virtuellen Webserver definiert, der nach aussen über https erreichbar ist und diesen an den internen Webserver weitergeleitet.

Das funktioniert soweit per Browser über https wunderbar. Über die App allerdings nicht. In dieser App kann ich kein SSL einschalten. Gebe ich als Verbindungsstring https://..... an, so funzt das nicht.

Habt Ihr eine Idee, wie ich den internen Rechner über https ansprechen kann (über die App)? Oder muß ich warten, bis der Hersteller die App SSL-fähig macht?

Gruß
Christoph


This thread was automatically locked due to age.
  • 0
    Wenn du WAF einsetzt darf es keine DNAT Regel für Port 80 oder 443 geben.
  • 0 in reply to traxxus_01
    Das ist klar. Hatte das während der Versuche ja auch ausgeschaltet.
  • 0 in reply to ChristophKlahn
    Letzteres. Wenn die App nur HTTP spricht dann spricht sie HTTP auf einem HTTPS-Port und das funktioniert nicht.

    Der Browser kann da unterscheiden und stellt automatisch um.
  • 0 in reply to sliss_01
    Wenn ich den virtuellen Webserver auf http hören lasse und dann auf http an den internen Rechner weiterleite, dann habe ich ja nichts gewonnen, oder?
  • 0 in reply to ChristophKlahn
    Du hast halt den Vorteil gegenüber einer DNAT-Regel, dass die Web Application Firewall der UTM greift und die Verbindung aus dem Internet erstmal auf der UTM terminiert und von dort aus neu zum Server aufgebaut wird. Wenn du DNAT nutzt werden alle Pakete direkt an den Webserver geleitet - Gibt es dort eine Vulnerability kann der Webserver direkt gekapert werden. Wenn die UTM dazwischen ist wird diese gekapert (Was aber im normalen Falle nicht so leicht möglich ist wie der Server) und der Webserver und somit der Zugriff auf das interne Netz ist weiterhin nicht möglich.

    Also Scanning auf Angriffe wäre dabei und das Caching durch die UTM usw.

    Verschlüsselt ist es damit weiter nicht :-) Aber immerhin ist der Webserver geschützt ...
  • 0
    Hallo Sliss,

    tja, die Erklärung ist eindeutig :-). Werde das dann mal umstellen :-) Ich habe aber zusätzlich eine FullNAT-Regel gemacht, damit ich mit meinem iPhone und der externen Adresse weiterhin auf den internen Server zugreifen kann.

    Kann die dann bestehen bleiben? Ich tausche also nur die DNAT-Regel gegen die Webserver-Protection aus...?

    Gruß
    Christoph
  • 0 in reply to ChristophKlahn
    FullNAT? Ich gehe davon aus, dass du die DNAT-Regel für Port 80 meinst?
    So lange die aktiv ist, wird die Webserver-Protection umgangen (DNAT passiert vor allem anderen). 

    Wenn die DNAT-Regel für das IPhone funktioniert, dann kann man das auch mit der Webserver-Protection realisieren. 

    Viele Grüße
    Stefan
  • 0
    Hm, Full-NAT und DNAT sind zwei unterschiedliche Ideen. Ich vermute mal, er nutzt das Full-NAT für einkommenden sonstwas-Port auf interner Server und richtiger-Port.
  • 0 in reply to K.N.
    Nein,

    in meiner App ist die externe-IP (dynDNS) mit einem gewissen Port in den Verbindungseinstellungen hinterlegt.

    Die FullNAT-Regel leitet die Anfrage um, wenn ich mich im internen Netz befinde.

    Die DNAT-Regel ist für den Zugriff aus dem Internet.

    Gruß
    Christoph
Unfiltered HTML