Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2360 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro V8 Webaplication Security

gidos
Webaplicaton Security ist ja eine super geniale neue Funktion unter Astaro V8.
Nun kann man verschiedene Webserver im internen Netz via unterschiedlichen FQDN Name über Port80 oder 443 ansprechen.
Soweit perfekt.
Hat jemand schon rausgefunden oder eine Ahnung ob man auch das UserPortal oder das SSL VPN über die gleiche Funktion zurverfügung stellen kann.
https://ssl.domain.de soll auf die Astaro verlinkt werden
https://test.domian.de soll auf einen internen WebServer verlinkt werden (funktioniert bereits)

Wäre dies allenfalls eine BetaRequest Anfrage?


This thread was automatically locked due to age.
  • 0
    Hi Gidos,

    geht nicht; der Grund dafür ist, dass unterschiedliche Dienste an Port 443 gebunden werden müssen. Mehr Infos gibts im v8 Beta Forum dazu.

    Was gehen würde: zwei IP Adressen, davon eine auf ssl. auflösen lassen, eine auf test.
    Dann UserPortal + SSL VPN an die erste, WAF auf die zweite IP binden.

    SSL VPN funktioniert prinzipbedingt nicht durch die WAF durch.

    LG
    Christian
  • 0
    Ok, besten Dank für die Infos. Ich gebe ma die Hoffnung nicht auf, vielleicht wird da ja noch irgendwie in die Trickkiste gegriffen und dies auch behoben.

    Problem ist, dass ich die Astaro hinter einem Cable Anschluss Betreibe. Da bekomme ich eine IP. Diese IP kann ich dank WebApplication Security nun von aussen auf mehrer interne virtuellen WebServern leiten. Wenn nun die Astaro selber auch als virtueller WebServer angespreochen werden könnte wäre alles perfekt.
  • 0
    Ich betreibe zu Hause das gleiche Setup (naja, fast, aber die Details sind nicht relevant). Du kannst natürlich das Ganze entsprechend betreiben, aber Du musst dann die Ports, auf denen bspw. das UserPortal und SSL VPN lauschen, anpassen. 
    Sofern Du hier auf einen anderen Port als 443 ausweichst, ist das kein Problem.

    LG
    Christian
  • 0 in reply to christianlouis
    Ja das ist korrekt, lass eich SSL und das UserPortal über einen anderen Port laufen gehts. Ich wollte einfach die "normalen" SSL Server und auch das SSL über Port 443 laufen lassen. Versuche mal noch über einen internen Proxy, der nimmt als virtueler WebServer den request über die astaro entgegen und leitet es auf den entsprechenden richtigen port auf die astaro weiter.
    Ist ein Versuch wert.

    Hintergrund:
    Ich arbeite an verschiedenen Orten wo halt nur Port 80 und 443 offen sind, darum möchte ich eben, dass auch Astaro SSL zugriff über Port 443 und nicht zb 8443 funktioniert.
  • 0
    Hi Gidos,

    also, der Zugriff aufs User-Portal könnte klappen. Das Problem bei SSL VPN ist folgendes: Die WAF bricht den SSL Tunnel auf und prüft, ob die SSL beinhaltende Payload auch wirklich HTTP ist (anders könnten auch die gesamten Sicherheitsfunktionen nicht greifen). Diese Prüfung wird aber bei OpenVPN fehlschlagen und auch ein interner Proxy wird Dir hier nichts bringen (denn der Traffic, der den Proxy erreicht wird ja auch vorab durch die WAF geprüft).

    Die einzige Chance, die ich sehe, ist dass Du entweder die Kombination UserPortal/OpenVPN auf Port 80 legst (und dennoch HTTPS nutzt), auf die WAF verzichtest oder die WAF auf Port 80 (wahlweise mit oder ohne HTTPS) legst.

    Christian
  • 0
    Hi Christian

    Meinst du als WAF die Funktion Webaplication Security?
    Was ich gerade noch bemerkt habe ist, dass ich mit Webapplication Security zwar mehrmals den Port 80 verwendne kann aber bei Port 443 motzt es, dass dieser schon verwendet wird bei der zweiten konfiguration. 
    Scheint so, dass diese Funktion noch in den Kinderschuhen steckt, aber genial ist sie.
  • 0
    Hi Gidos,

    genau. Das Baby hatte verschiedene Namen, von "reverse proxy" über "Web Application Firewall (WAF)" bis zum Menüpunktnamen "Webapplication Security".

    Du kannst prinzipbedingt auch nur einen virtual Host pro IP anlegen. Der Grund dafür ist recht einfach: SSL greift vor Virtual Hosts und benötigt ein Serverzertifikat, dass zurückgeliefert wird. Darin steht ein Servername; mehrere Servernamen abhängig von der angesprochenen Ziel-URL / des Ziel-Hostnamen gehen nicht.

    blog ntic de revolunet  Hosting multiple SSL vhosts on a single IP/Port/Certificate with Apache2

    erklärt das Ganze ein bisschen besser.

    Da Du aber nur ein Zertifikat und damit einen Hostnamen hinterlegen kannst, geht auch nur ein virtual host pro Kombination aus Port und IP.

    Du kannst ja mal für Dich überlegen, ob OpenVPN ALS, gehostet auf einem internen Server mit Portweiterleitung oder als Real Server der Webapplication Security eine Alternative für Dich sein kann: http://sourceforge.net/projects/openvpn-als/.

    LG
    Christian
  • 0
    @Christian

    Also baut WAF auf Apache auf und aus diesem Grunde läuft es nicht. Ok erst dachte wir haben uns falsch verstanden, da mein WebServer hinter der Astaro auch ein Apache ist. Auf diesem habe ich bereits zwei IP für SSL vergeben. Schön wäre es nun gewesen, astaro kann dies genau gleich wie bei dem "normalen" HTTP handeln. 
    OpenVPN ALS ist tatsächlich ne gute wahl, ich selber setzte das "ur" Produkt SSL Explorer ein. Aber ich wollte eben webmail und andere Dienste die via HTTPS laufen über den standartPort 443 freigeben. Ist halt für Anwender einfacher, als erst eine Browser VPN Verbindung herzustellen.
    Werde aber den Nachfolger des SSL Explorer trozdem mal anschauen, vielleicht sind da auch mehr als zwei gleichzeitige Verbindung möglich. Somit hätte ich wieder ein Problem weniger.
  • 0 in reply to gidos
    Hallo Christian

    Ich habe nun von der Beta Version auf die Version 8 upgedatet. Soweit alles perfekt. Doch mit der Lizenz habe ich nun ein Problem. Die HomeUSer Lizenz hat kein WebSecurity Funktion drin. Gibt es eine Möglichkeit, dass ich an so eine Lizenz komme? Wir haben uns ja mal darüber unterhalten und da hast du geschrieben, dass die Home User Version alles kann.

    Danke für dein Antwort
  • 0
    Gidos,

    schau doch mal hier:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/102/t/69825

    In a nutshell: die Home User License wird die WAS unterstützen, jedoch sind die Home User Keys noch nicht v8 fähig, weil sie noch im alten Lizenzmodell sind. An einer automatischen Konvertierung wird gearbeitet.

    LG
    Christian
Unfiltered HTML