Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 38 subscribers
  • Views 10293 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FritzBox hinter UTM mit https erreichen

t14u
Hallo zusammen,

ich versuche nun schon den ganzen Tag meine FritzBox hinter der UTM vom Internet aus erreichbar zu machen. Leider Ohne Erfolg.
Ist es denn richtig wenn ich das über WebServer Prodection mache?
Denke ja. Mit der Zertifikatswarnung könnte ich leben, aber die kommt nicht.
Was mache ich falsch?
Internet->Kabelmodem->UTM->FritzBox nur über https erreichen.

Viele Grüße


This thread was automatically locked due to age.
  • 0
    Was hast Du denn konfiguriert?
  • 0 in reply to K.N.
    Hi, aktuell das hier in den Bildern.
    Grüße
  • 0
    Wie rufst Du denn die Adresse von extern auf?

    https://FQDN_der_firewall/MarkusFB ?

    Und was genau funktioniert nicht? Was sagt der Webbrowser? 
    Was sagen die Logfiles?
  • 0
    Es muss das gleiche Zertifikat im virtuellen Webserver und in der FritzBox für HTTPS verwendet werden.

    Alternativ stellst du den virt. Webserver auf HTTPS mit beliebigem Zertifikat und den echten Webserver auf HTTP.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to tim2611_01
    Wie rufst Du denn die Adresse von extern auf?

    https://FQDN_der_firewall/MarkusFB ?

    Und was genau funktioniert nicht? Was sagt der Webbrowser? 
    Was sagen die Logfiles?


    Ich rufe den auf mit https://ExterneIP_Adresse

    Logfiles durchsuche ich gleich, ich denke es liegt an den Zertifikaten.

    Tx
  • 0
    Der Grund warum es nicht funzt: Dein in der UTM ausgewähltes Zertifikat für den virtuellen Server ist ein *userzertifikat* (admin). Die WAF zieht sich den CommonName (CN) aus dem Zertifikat und verwendet den als Hostnamen für den SSL-Host - was in dem Fall keinen Sinn macht.

    Was Du brauchst ist ein Serverzertifikat mit dem DNS-Hostnamen im CN des Zertifikats. Solche lassen sich AFAIK nicht über den WebAdmin der UTM generieren. Du kannst dies aber mittels openssl auf der Konsole tun, Dir ein Zertifikat kaufen oder bei startssl.com kostenlos erstellen lassen  (eigene Toplevel-Domain vorausgesetzt) und in die UTM hochladen. Für den CN verwendest Du dann den Hostnamen, mit dem Deine Fritzbox von außen erreichbar sein soll (ggfs. der DDNS Hostname).

    Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.
  • 0
    Hi t14u,

    der Name über den du aus dem Inet zugreifst muss zu dem Namen im Zertifikat passen was an die UTM gebunden ist. Das Zertifikat was du an die UTM gebunden hast kann nicht funktionieren.

    Erstelle ein neues Zertifikat (öffentlich oder privat) mit einem dns hostname der auf deine externe IP zeigt. Beispiel: fb.domain.tld. Wenn du eine dynamische IP hast ist es sinnvoll mit dyndns Namen zu arbeiten. 

    Das Zertifikat auf der FB hat damit nichts zu tun. Die müssen nicht gleich sein. Du kannst von der utm zur fb auf http oder https weiterleiten.

    Bei einer http weiterleitung wird https auf der utm terminiert und dann unverschlüsselt über http auf die fb weiter geleitet. Bei einer HTTPS Weiterleitung kannst du das selbstsignierte Zertifikat der FB in die UTM unter import ca importieren. Dann hast du es sauber.

    vg
    mod
  • 0 in reply to scorpionking
    Es muss das gleiche Zertifikat im virtuellen Webserver und in der FritzBox für HTTPS verwendet werden.

    Alternativ stellst du den virt. Webserver auf HTTPS mit beliebigem Zertifikat und den echten Webserver auf HTTP.


    Geht es denn nicht mit einem ignorieren der Zertifikate? Portweiterleitung auf der UTM oder so, wie es mein Kabelmodem schon zur UTM macht?

    Im WebApplicationLog steht folgendes:
    008024 2014] [url_hardening:error] [pid 10349:tid 4080737136] [client 191.233.101.135:1156] Hostname in HTTP request (178.26.von.mir) does not match the server name (astaro)
    2014:11:17-15:27:10 ASTARO reverseproxy: id="0299" srcip="191.233.101.135" localip="192.168.0.10" size="209" user="-" host="191.233.101.135" method="GET" statuscode="403" reason="-" extra="-" exceptions="-" time="1746" url="/" server="astaro" referer="-" cookie="-" set-cookie="-" 

    (das .von.mir habe ich eingesetzt ;-)

    Tx
  • 0
    Hallo zusammen,

    hat sich ein wenig überschnitten. Das was trollvottel sagt ist soweit richtig. Nur ein kurzer Hinweis. Man kann ganz einfach im Zertifikatsmanagement der UTM ein zertifikat selber erzeugen. Siehe angehängter Screenshot.

    Das kann man dann einfach bei der Konfiguration des virtuellen Webservers einbinden. Ein offizielles Zertifikat ist natürlich dei schönere variante.

    vg
    mod
  • 0 in reply to t14u
    Geht es denn nicht mit einem ignorieren der Zertifikate? Portweiterleitung auf der UTM oder so, wie es mein Kabelmodem schon zur UTM macht?


    Tx


    Geht leider nicht. Der Name muss passen. Einen Namen "admin" kann man nicht im inet registrieren. Alternativ könntest du auch in der UTM ein Zertifikat mit der IP Adresse als cn eerstellen und zuweisen. Das macht aber nur Sinn wenn du eine statische IP hast.

    €dit
    Portweiterleitung geht auch. Dann brauchst du nur ein dnat einzurichten. Die sicherere Metode ist aber die WAF verwenden.

    vg
    mod
Unfiltered HTML