FritzBox hinter UTM mit https erreichen

Der Grund warum es nicht funzt: Dein in der UTM ausgewähltes Zertifikat für den virtuellen Server ist ein *userzertifikat* (admin). Die WAF zieht sich den CommonName (CN) aus dem Zertifikat und verwendet den als Hostnamen für den SSL-Host - was in dem Fall keinen Sinn macht.

Was Du brauchst ist ein Serverzertifikat mit dem DNS-Hostnamen im CN des Zertifikats. Solche lassen sich AFAIK nicht über den WebAdmin der UTM generieren. Du kannst dies aber mittels openssl auf der Konsole tun, Dir ein Zertifikat kaufen oder bei startssl.com kostenlos erstellen lassen  (eigene Toplevel-Domain vorausgesetzt) und in die UTM hochladen. Für den CN verwendest Du dann den Hostnamen, mit dem Deine Fritzbox von außen erreichbar sein soll (ggfs. der DDNS Hostname).

Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.

Der Grund warum es nicht funzt: Dein in der UTM ausgewähltes Zertifikat für den virtuellen Server ist ein *userzertifikat* (admin). Die WAF zieht sich den CommonName (CN) aus dem Zertifikat und verwendet den als Hostnamen für den SSL-Host - was in dem Fall keinen Sinn macht.

Was Du brauchst ist ein Serverzertifikat mit dem DNS-Hostnamen im CN des Zertifikats. Solche lassen sich AFAIK nicht über den WebAdmin der UTM generieren. Du kannst dies aber mittels openssl auf der Konsole tun, Dir ein Zertifikat kaufen oder bei startssl.com kostenlos erstellen lassen  (eigene Toplevel-Domain vorausgesetzt) und in die UTM hochladen. Für den CN verwendest Du dann den Hostnamen, mit dem Deine Fritzbox von außen erreichbar sein soll (ggfs. der DDNS Hostname).

Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.

Der Grund warum es nicht funzt: Dein in der UTM ausgewähltes Zertifikat für den virtuellen Server ist ein *userzertifikat* (admin). Die WAF zieht sich den CommonName (CN) aus dem Zertifikat und verwendet den als Hostnamen für den SSL-Host - was in dem Fall keinen Sinn macht.

Was Du brauchst ist ein Serverzertifikat mit dem DNS-Hostnamen im CN des Zertifikats. Solche lassen sich AFAIK nicht über den WebAdmin der UTM generieren. Du kannst dies aber mittels openssl auf der Konsole tun, Dir ein Zertifikat kaufen oder bei startssl.com kostenlos erstellen lassen  (eigene Toplevel-Domain vorausgesetzt) und in die UTM hochladen. Für den CN verwendest Du dann den Hostnamen, mit dem Deine Fritzbox von außen erreichbar sein soll (ggfs. der DDNS Hostname).

Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.

--------Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.
------------

Genau das habe ich anscheinend gesucht. Dann werd ichs jetzt mal mit DNAT versuchen...

Bis gleich ;-)

Bah man, DANT gefunden eingerichtet und
es geht natürlich ned.
Anbei ein Screenshot von der Einrichtung.

Im Log hab ich nix gefunden, aber kein Wunder, bei dem Log durcheinander  ;-)
Habe im Firewall Log gesucht.

Tx

--------Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.
------------

Genau das habe ich anscheinend gesucht. Dann werd ichs jetzt mal mit DNAT versuchen...

Bis gleich ;-)

Natürlich ist das einfacher, aber wofür brauchst du dann eine UTM? Das kannst du auch direkt mit der FB machen.

Ein einfaches dnat auf der UTM bietet genausoviel oder besser wenig Schutz wie eine FB. Wenn du verschlüsselte Verbindungen durch nattest kann auch das IPS der UTM keinen Schutz leisten. 

Außerdem werden nun mal die meisten Angriffe auf dem Anwendungs Layer durchgeführt und da schützt nur eine WAF.

Für den privat Bereich kann man natürlich darüber streiten ob soviel Sicherheit notwendig ist. Wenn für dich ein DNAT reicht ist das OK, bedenke nur das du nicht wesentlich mehr Schutz hast als wenn die FB vorne steht. Die Flood Detection ist natürlich auch besser.

Jeder muss selber entscheiden wieviel Schutz er benötigt [;)]

vg
mod

Natürlich ist das einfacher, aber wofür brauchst du dann eine UTM? Das kannst du auch direkt mit der FB machen.

Ein einfaches dnat auf der UTM bietet genausoviel oder besser wenig Schutz wie eine FB. Wenn du verschlüsselte Verbindungen durch nattest kann auch das IPS der UTM keinen Schutz leisten. 

Außerdem werden nun mal die meisten Angriffe auf dem Anwendungs Layer durchgeführt und da schützt nur eine WAF.

Für den privat Bereich kann man natürlich darüber streiten ob soviel Sicherheit notwendig ist. Wenn für dich ein DNAT reicht ist das OK, bedenke nur das du nicht wesentlich mehr Schutz hast als wenn die FB vorne steht. Die Flood Detection ist natürlich auch besser.

Jeder muss selber entscheiden wieviel Schutz er benötigt [;)]

vg
mod

Hi, hast schon recht. Ich hab die UTM hauptsächlich als Webfilter für die Kids und deren Besuche ;-) um zu Filtern. (und weil ich Spielkind bin ...)
Ansonsten hatte ich früher nur die FritzBox und die hat auch gereicht....
Danach das TMG und das hätte ich immer noch, wenn die die Filter weiter aktualisieren würden. Aber ist nicht mehr. Ansonsten ist das TMG schon "DAS" Ding für mich gewesen.
Jetzt läuft auf der TMG Appliance halt mein UAG ;-)



Bye