Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 5048 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF mehrmals Port 443 verwenden

TBcosinus
Hallo Sophos-User,

lt. diesem etwa älteren Thread => https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/59479

ist es ja nicht möglich über die WAF von außen zwei verschiedene Webserver über https/443 nach draußen freizuschalten. Gibt es da mittlerweile einen Workaround für? Oder ist das grundsätzlich nicht möglich? Etwas eigenes zu basteln Richtung reverse proxy mit squid wollte ich erstmal vermeiden wenn's geht...


This thread was automatically locked due to age.
  • 0
    Das ist möglich, allerdings benötigst du u.U. ein Wildcard- oder zumindest SAN-Zertifikat.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Oh geht das tatsächlich? [:)]

    Das benötigte Zertifikat kann ich mir ja mit der Sophos erstellen lassen, oder?
  • 0
    Das ging schon immer, seit es die WAF gibt. Nur nicht mit mehreren unterschiedlichen Zertifikaten.
    Ob das inzwischen unterstützt wird (Stichwort: SNI - Server Name Indication), weiß ich allerdings nicht.

    Ob du das Zertifikat mit der UTM erstellen kannst, musst du testen. Ansonsten halt unter Linux oder Windows mit OpenSSL, oder eins kaufen, wenn du die Zertifikatswarnungen loswerden willst.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Na, die Zertifikatswarnungen sind erstmal sekundär. In den Threads, die ich gefunden hab, wurde immer gesgat, dass es grundsätzlich nicht geht.

    hab mir jetzt in der Sophos ein Zertifikat erstellt mit *.domain.com statt www.domain.com, mal sehen ob das beim Umstellen nachher klappt.

    Vielen Dank für den Tipp! [:)]
  • 0
    Da hab ich mich wohl doch zu früh gefreut [:(]

    Mal eben getestet, zwei interne Webserver über WAF nach draußen zu bringen per https über das Zertifikat *.domain.com, diese Meldung kam:

    The virtual web server domain name 'External (WAN) (Address):443:*.domain.com' is already in use by the domain list attribute of the virtual webserver object 'test1'.
  • 0
    Du musst bei dem virtuellen Server die *.domain.com rauslöschen und stattdessen den tatsächlich zu nutzenden Namen eingeben, also z.B. mein-server1.domain.com.

    Dann kannst du einen zweiten virt. Server anlegen, der z.B. auf den Namen mein-server2.domain.com lauscht...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Ok nochmals danke für den Tipp, ich orpbiers aus [:)]
Unfiltered HTML