Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FritzBox hinter UTM mit https erreichen

Hallo zusammen,

ich versuche nun schon den ganzen Tag meine FritzBox hinter der UTM vom Internet aus erreichbar zu machen. Leider Ohne Erfolg.
Ist es denn richtig wenn ich das über WebServer Prodection mache?
Denke ja. Mit der Zertifikatswarnung könnte ich leben, aber die kommt nicht.
Was mache ich falsch?
Internet->Kabelmodem->UTM->FritzBox nur über https erreichen.

Viele Grüße


This thread was automatically locked due to age.
Parents
  • Der Grund warum es nicht funzt: Dein in der UTM ausgewähltes Zertifikat für den virtuellen Server ist ein *userzertifikat* (admin). Die WAF zieht sich den CommonName (CN) aus dem Zertifikat und verwendet den als Hostnamen für den SSL-Host - was in dem Fall keinen Sinn macht.

    Was Du brauchst ist ein Serverzertifikat mit dem DNS-Hostnamen im CN des Zertifikats. Solche lassen sich AFAIK nicht über den WebAdmin der UTM generieren. Du kannst dies aber mittels openssl auf der Konsole tun, Dir ein Zertifikat kaufen oder bei startssl.com kostenlos erstellen lassen  (eigene Toplevel-Domain vorausgesetzt) und in die UTM hochladen. Für den CN verwendest Du dann den Hostnamen, mit dem Deine Fritzbox von außen erreichbar sein soll (ggfs. der DDNS Hostname).

    Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.
  • Der Grund warum es nicht funzt: Dein in der UTM ausgewähltes Zertifikat für den virtuellen Server ist ein *userzertifikat* (admin). Die WAF zieht sich den CommonName (CN) aus dem Zertifikat und verwendet den als Hostnamen für den SSL-Host - was in dem Fall keinen Sinn macht.

    Was Du brauchst ist ein Serverzertifikat mit dem DNS-Hostnamen im CN des Zertifikats. Solche lassen sich AFAIK nicht über den WebAdmin der UTM generieren. Du kannst dies aber mittels openssl auf der Konsole tun, Dir ein Zertifikat kaufen oder bei startssl.com kostenlos erstellen lassen  (eigene Toplevel-Domain vorausgesetzt) und in die UTM hochladen. Für den CN verwendest Du dann den Hostnamen, mit dem Deine Fritzbox von außen erreichbar sein soll (ggfs. der DDNS Hostname).

    Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.


    --------Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.
    ------------

    Genau das habe ich anscheinend gesucht. Dann werd ichs jetzt mal mit DNAT versuchen...

    Bis gleich ;-)
Reply
  • Der Grund warum es nicht funzt: Dein in der UTM ausgewähltes Zertifikat für den virtuellen Server ist ein *userzertifikat* (admin). Die WAF zieht sich den CommonName (CN) aus dem Zertifikat und verwendet den als Hostnamen für den SSL-Host - was in dem Fall keinen Sinn macht.

    Was Du brauchst ist ein Serverzertifikat mit dem DNS-Hostnamen im CN des Zertifikats. Solche lassen sich AFAIK nicht über den WebAdmin der UTM generieren. Du kannst dies aber mittels openssl auf der Konsole tun, Dir ein Zertifikat kaufen oder bei startssl.com kostenlos erstellen lassen  (eigene Toplevel-Domain vorausgesetzt) und in die UTM hochladen. Für den CN verwendest Du dann den Hostnamen, mit dem Deine Fritzbox von außen erreichbar sein soll (ggfs. der DDNS Hostname).

    Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.


    --------Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.
    ------------

    Genau das habe ich anscheinend gesucht. Dann werd ichs jetzt mal mit DNAT versuchen...

    Bis gleich ;-)
Children
  • Bah man, DANT gefunden eingerichtet und
    es geht natürlich ned.
    Anbei ein Screenshot von der Einrichtung.

    Im Log hab ich nix gefunden, aber kein Wunder, bei dem Log durcheinander  ;-)
    Habe im Firewall Log gesucht.

    Tx
  • --------Ohne Webserver Protection geht das Ganze übrigens viel einfacher mittels einer DNAT Regel.
    ------------

    Genau das habe ich anscheinend gesucht. Dann werd ichs jetzt mal mit DNAT versuchen...

    Bis gleich ;-)


    Natürlich ist das einfacher, aber wofür brauchst du dann eine UTM? Das kannst du auch direkt mit der FB machen.

    Ein einfaches dnat auf der UTM bietet genausoviel oder besser wenig Schutz wie eine FB. Wenn du verschlüsselte Verbindungen durch nattest kann auch das IPS der UTM keinen Schutz leisten. 

    Außerdem werden nun mal die meisten Angriffe auf dem Anwendungs Layer durchgeführt und da schützt nur eine WAF.

    Für den privat Bereich kann man natürlich darüber streiten ob soviel Sicherheit notwendig ist. Wenn für dich ein DNAT reicht ist das OK, bedenke nur das du nicht wesentlich mehr Schutz hast als wenn die FB vorne steht. Die Flood Detection ist natürlich auch besser.

    Jeder muss selber entscheiden wieviel Schutz er benötigt [;)]

    vg
    mod
  • Natürlich ist das einfacher, aber wofür brauchst du dann eine UTM? Das kannst du auch direkt mit der FB machen.

    Ein einfaches dnat auf der UTM bietet genausoviel oder besser wenig Schutz wie eine FB. Wenn du verschlüsselte Verbindungen durch nattest kann auch das IPS der UTM keinen Schutz leisten. 

    Außerdem werden nun mal die meisten Angriffe auf dem Anwendungs Layer durchgeführt und da schützt nur eine WAF.

    Für den privat Bereich kann man natürlich darüber streiten ob soviel Sicherheit notwendig ist. Wenn für dich ein DNAT reicht ist das OK, bedenke nur das du nicht wesentlich mehr Schutz hast als wenn die FB vorne steht. Die Flood Detection ist natürlich auch besser.

    Jeder muss selber entscheiden wieviel Schutz er benötigt [;)]

    vg
    mod



    Hi, hast schon recht. Ich hab die UTM hauptsächlich als Webfilter für die Kids und deren Besuche ;-) um zu Filtern. (und weil ich Spielkind bin ...)
    Ansonsten hatte ich früher nur die FritzBox und die hat auch gereicht....
    Danach das TMG und das hätte ich immer noch, wenn die die Filter weiter aktualisieren würden. Aber ist nicht mehr. Ansonsten ist das TMG schon "DAS" Ding für mich gewesen.
    Jetzt läuft auf der TMG Appliance halt mein UAG ;-)



    Bye