This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't enable virtual webservers due to AD SSO

Hello, all,

I have three cameras that I access via cam1.domain.tld:12345cam2.domain.tld:12346 and cam3.domain.tld:12347.  In order to do this, I had to change the default port on each of the cameras, and I had to create a DNAT rule for each camera.  I also created an IIS HTTP Redirect that sends cams.domain.tld to cam1.domain.tld:12345.  I'm glad it all works, but it seems a bit more complex than it needs to be.

Desired end state
I'd like to access the cameras via simple URLs; e.g. cam1.domain.tldcam2.domain.tld and cam3.domain.tld.  Beyond the cameras, I'd like *.domain.tld to be served by my IIS server.

I created Plaintext (HTTP) real web servers on port 80.  I also created Plaintext (HTTP) virtual webservers on port 80 of the External (Address) interface.

Problem
I'm using AD SSO for my web filtering authentication, so, when I try to enable the virtual webservers, I get the following message, and the virtual webservers won't get enabled:

The TCP port '80' is already in use by the AD SSO interfaces.


Question
Is there any way for me to use simple external URLs for my cameras and keep my web filtering config simple?  I can't disable web filtering, and I'd like to keep using AD SSO for it.

Any help would be greatly appreciated!


This thread was automatically locked due to age.
Parents
  • I'm guessing that this is a home-use situation and that you have only a single public IP.  If that's not the case, I might do this differently.

    With a single IP, the only way a DNAT can separate traffic is by changing ports.  In any case, the port on the camera doesn't need to change as each DNAT can change 1234x to 80 and route the traffic correctly.

    With the reverse proxy no port changing is needed as the FQDN is examined to determine which Virtual Server it qualifies for.  Make a Real Server for camera 1 and then a Virtual Server using it with cam1.domain.tld in 'Domains', etc. for the other two.  In public DNS for domain.tld, just assign the same IP for cam1, cam2 and cam3.  In your Windows Server DNS, create a Forward-Lookup Zone for domain.tld and assign the actual internal IP to cam1, cam2 and cam3.  Is that what you were looking for?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • I'm guessing that this is a home-use situation and that you have only a single public IP.  If that's not the case, I might do this differently.

    With a single IP, the only way a DNAT can separate traffic is by changing ports.  In any case, the port on the camera doesn't need to change as each DNAT can change 1234x to 80 and route the traffic correctly.

    With the reverse proxy no port changing is needed as the FQDN is examined to determine which Virtual Server it qualifies for.  Make a Real Server for camera 1 and then a Virtual Server using it with cam1.domain.tld in 'Domains', etc. for the other two.  In public DNS for domain.tld, just assign the same IP for cam1, cam2 and cam3.  In your Windows Server DNS, create a Forward-Lookup Zone for domain.tld and assign the actual internal IP to cam1, cam2 and cam3.  Is that what you were looking for?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Hi, Bob,

    Thank you for the quick response!  Yes, you are correct; this is a Home-Use situation with a single public IP.

    I changed the ports on the cameras, because it was the quickest way to get all the cameras working with the same profile on both internal and external clients.

    I have four real servers; e.g. cam1cam2cam3, and webserver. I also have four virtual servers; e.g. cam1.dom.tld -> cam1cam2.dom.tld -> cam2cam3.dom.tld -> cam3 and *.dom.tld -> webserver.

    In public DNS, I have one (A) record pointing to my single IP; UTM dynamically updates the (A) record.  All my other hosts are CNAMES pointing to my (A) record.  My internal Windows DNS has (for example) cam1.dom.tld (A) 192.168.1.1cam2.dom.tld (A) 192.168.1.2cam3.dom.tld (A) 192.168.1.3 and www.dom.tld (A) 192.168.1.4.

    I don't pass host headers or use (for now) any firewall profile for the cameras (I do both for the web server).

    If I correctly understood your suggestion, then that's exactly what I've done (with the exception of using custom camera ports).  I would like to reset my camera ports to TCP/80 and remove the DNAT rules from the equation.  The problem is that the WAF complains about the port being in use by AD SSO.

    Did I misunderstand your suggestion?  Any idea what I might be doing wrong (or completely missing)?

    Best regards,
    Edgar

    UTM 9 Home Use