Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Virtueller Webserver

Hallo Forum,

ich habe hier im internen Netz einen eigenständigen Rechner für Hausautomation. Dieser ist lediglich über http Port 80 erreichbar. Man kann ihn über ein Webinterface mittels Browser oder über eine App.

Nun kann ich ihn über eine DNAT-Regel von aussen über einen geforwardeten Port erreichen. Allerdings würde ich gerne auf SSL umstellen. Der Webserver im Rechner unterstützt dieses nicht und die App auch nicht.

Ich habe jetzt mal die DNAT-Regel ausgeschaltet und über die Webserver Protection einen virtuellen Webserver definiert, der nach aussen über https erreichbar ist und diesen an den internen Webserver weitergeleitet.

Das funktioniert soweit per Browser über https wunderbar. Über die App allerdings nicht. In dieser App kann ich kein SSL einschalten. Gebe ich als Verbindungsstring https://..... an, so funzt das nicht.

Habt Ihr eine Idee, wie ich den internen Rechner über https ansprechen kann (über die App)? Oder muß ich warten, bis der Hersteller die App SSL-fähig macht?

Gruß
Christoph


This thread was automatically locked due to age.
Parents Reply Children
  • Das ist klar. Hatte das während der Versuche ja auch ausgeschaltet.
  • Letzteres. Wenn die App nur HTTP spricht dann spricht sie HTTP auf einem HTTPS-Port und das funktioniert nicht.

    Der Browser kann da unterscheiden und stellt automatisch um.
  • Wenn ich den virtuellen Webserver auf http hören lasse und dann auf http an den internen Rechner weiterleite, dann habe ich ja nichts gewonnen, oder?
  • Du hast halt den Vorteil gegenüber einer DNAT-Regel, dass die Web Application Firewall der UTM greift und die Verbindung aus dem Internet erstmal auf der UTM terminiert und von dort aus neu zum Server aufgebaut wird. Wenn du DNAT nutzt werden alle Pakete direkt an den Webserver geleitet - Gibt es dort eine Vulnerability kann der Webserver direkt gekapert werden. Wenn die UTM dazwischen ist wird diese gekapert (Was aber im normalen Falle nicht so leicht möglich ist wie der Server) und der Webserver und somit der Zugriff auf das interne Netz ist weiterhin nicht möglich.

    Also Scanning auf Angriffe wäre dabei und das Caching durch die UTM usw.

    Verschlüsselt ist es damit weiter nicht :-) Aber immerhin ist der Webserver geschützt ...