Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 38 subscribers
  • Views 2633 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

User Portal auf 2 Interfaces öffnen

runnel
Hallo Leute 

Ich habe folgende Aufgabe bekommen. 
Das Userportal soll von internen Netzwerk erreichbar sein. Hier ist der Port 443. 
Weiter soll das Portal aus den Internet her auch auf den Port 443 erreichbar sein. Das Portal darf nicht auf allen Interfaces erreichbar sein. Also die Bindung auf Any ist nicht möglich. 
Hinzu kommt, dass das Portal vom Internet aus gesehen auf eine zusätzliche IP hören soll, also nicht auf die Standard IP des Interfaces. 
Es handelt sich um feste IPs. 

Ich habe es mit einer Full-NAT Regel und mit der WAF probiert. Leider funktionierte es nicht. 
Bei der WAF bekam ich nur ein 403 ( Zugriff verweigert). Im Userportal ist any und die externe/interne IP für den Zugriff erlaubt. 

Hat das schon mal einer gemacht? [:O]


This thread was automatically locked due to age.
  • 0
    [LIST=1]
    • Network Definition erstellen (Network Group, z.B. "User Portal access networks") mit allen Netzwerken von denen aus das UP erreichbar sein soll (Internet (Any External), LAN, ...)
    • Network Definition erstellen (Network Group, z.B. "User Portal listen addresses") mit allen IP Adressen auf denen das UP erreichbar sein soll (Externe UTM IP, LAN IP, XYZ IP, ...)
    • "User Portal access networks" unter UP als "Allowed Networks" eintragen
    • Unter "Advanced" die "Listen Address" auf "Any" setzen und Port z.B. auf 1443
    • DNAT erstellen: "User Portal access networks" >> HTTPS >> "User Portal listen addresses" / Change service to 1443 (bzw. den in "Advanced" gesetzen Port)
      • [/LIST]
  • 0 in reply to UrsWeiss
    Moin, über den NAT-Umweg kann man auch die WAF dazu missbrauchen, den Traffic zu tunneln.

    - zusätzliche Adresse auf dem internen Interface definieren
    - userportal-listen-adress auf dieses Interface(zusätzliche Adresse) setzen, Port ist frei wählbär, z.B. 2323
    - hostname up.test.lan
    - definition erstellen "fake-local-address", hier wählt meine eine IP aus einem lokalen Bereich, der nicht verwendet wird
    - DNAT-Regel erstellen: Select: alle-lokalen-adressen->2323->fake-local-adress->>> intern(zusätzliche adresse)
    - real-webserver erstellen: fake-local-address, https, 2323
    - zertifikat erstellen: up.test.lan
    - virtual webserver erstellen für jedes gewünschte interface: https,443,eben erstelltes zertifikat und real webserver wählen
    - userportal immer per hostname des zertifikates aufrufen, sonst gibt es einen http 403 als antwort

    Die Firewallregeln, bzw. erlaubten Netze des Userportals überlasse ich euch [H]
Unfiltered HTML