Versionen im Vergleich

Alte Version 4

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

This article describes how a Reverse Proxy can be configured on a Unified Firewall. 

Info

As of January 2023, Websockets are not supported.



Requirements:

...

...

  • or later
  • A configured and functional Internet connection on the Unified Firewall
  • A configured and functional web server
  • SSL certificate of a public certification authority (CA) in PKCS12 format.
  • Web browser for configuring the Unified Firewall

    The following browsers are supported

...

  • :
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Scenario:

1. Die ) The Unified Firewall ist direkt mit dem Internet verbundenis directly connected to the Internet

  • The Unified Firewall establishes the Internet connection. It has the public IP address Die Unified Firewall baut die Internet-Verbindung auf. Diese hat die öffentliche IP-Adresse 81.81.81.1, die mit dem DNS-Namen web-server.lancom.de verknüpft ist..
  • A web server on the local network of the Unified Firewall has the IP address Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.200 soll aus dem Internet per HTTPS erreichbar sein.

Image Removed

2. Ein Router vor der Unified Firewall baut die Internet-Verbindung auf

  • and should be reached from the Internet via HTTPS.

Image Added


2) The router upstream from the Unified Firewall establishes the Internet connection

  • A router upstream from the Unified Firewall establishes the Internet connection. It has the public IP address Ein vorgeschalteter Router vor der Unified Firewall baut die Internet-Verbindung auf. Dieser hat die öffentliche IP-Adresse 81.81.81.1, die mit dem DNS-Namen web-server.lancom.de verknüpft ist.
  • The Unified Firewall and the upstream router are both members of the intermediate network Die Unified Firewall und der vorgeschaltete Router sind beide Mitglied im Transfer-Netzwerk 192.168.0.0/24. Die In this network, the Unified Firewall hat dort die IP-Adresse has the IP address 192.168.0.254.
  • Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse A web server on the local network of the Unified Firewall has the IP address 192.168.1.200 soll aus dem Internet per HTTPS erreichbar sein and should be reached from the Internet via HTTPS.
Info
Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben.

This scenario also includes the “parallel” solution as described in this article.

Image AddedImage Removed



Procedure:

Die Einrichtung bei Szenario 1 und 2 ist grundsätzlich gleich. Bei Szenario 2 muss zusätzlich noch ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden.

The setups for scenarios 1 and 2 are basically the same. For scenario 2, you additionally have to set up port forwarding on the upstream router.


1) Configuring the Reverse Proxy on a Unified Firewall (scenario 1 and 1. Einrichtung des Reverse-Proxy auf der Unified Firewall (Szenario 1 und 2)

1.1 Öffnen Sie die Weboberfläche der ) Open the configuration of the Unified Firewall im Browser und wechseln in das Menü in a browser and go to the menu UTM → Reverse - Proxy → Reverse - Proxy -EinstellungenSettings.

1.2 Aktivieren Sie den Reverse-Proxy über den Schiebe-Regler und klicken auf Speichern) Activate the Reverse Proxy via the slider and click Save.

1.3 Wechseln Sie in das Menü Backends und klicken auf das "Plus-Zeichen", um ein neues Backend zu erstellen) Go to the menu Backends and click on the "Plus symbol" to create a new Backend.

1.4 Passen Sie folgende Parameter an und klicken auf Speichern) Change the following parameters and click Create:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Assign a meaningful name for the Backend.
  • Server: Hinterlegen Sie die IP-Adresse des Servers im lokalen Netzwerk samt Port-Angabe und dem URL-Pfad und fügen diesen über das "Plus-Zeichen" hinzu.Enter the IP address of the server in the local network as well as the port and the URL path and add the entry by clicking on the "Plus symbol".
Info

Optionally you can activate SSL encryption to encrypt the connection between the Unified Firewall and the server in the local network

Info

Optional können Sie die SSL-Verschlüsselung aktivieren, damit die Verbindung zwischen dem Server und der Unified Firewall im lokalen Netzwerk verschlüsselt ist.

1.5 Wechseln Sie in das Menü Frontends und klicken auf das "Plus-Zeichen", um ein neues Frontend zu erstellen) Go to the menu Frontends and click on the "Plus symbol" to create a new Frontend.

1.6 Stellen Sie sicher, dass der Schiebe-Regler aktiviert ist, passen folgende Parameter an und klicken auf Speichern:

  • Domäne oder IP-Adresse: Geben Sie die öffentliche IP-Adresse oder den DNS-Namen an, unter der der Server erreichbar sein soll. 
  • Verbindung: Wählen Sie im Dropdownmeü die Internet-Verbindung der Unified Firewall aus,
  • Port: Geben Sie den Port an, über den der Server aus dem Internet erreichbar sein soll.
  • SSL: Ein Zugriff aus dem Internet sollte auf jeden Fall verschlüsselt erfolgen. Aktivieren Sie die Option daher.
  • Zertifikat: Wählen Sie im Dropdown-Menü das SSL-Zertifikat aus, welches zur Authentifizierung verwendet werden soll. Dieses muss im Vorfeld im Menü Zertifikatsverwaltung → Zertifikate importiert werden.
Info

Das SSL-Zertifikat muss von einer öffentlichen Zertifizierungsstelle (CA) stammen, damit ein Zugriff von beliebigen Teilnehmern möglich ist. Die Stamm-Zertifikate von bekannten Zertifizierungsstellen sind im Regelfall bereits in den Zertifikats-Speichern der Geräte vorhanden.

Das Zertifikat kann daher nicht auf der Unified Firewall erstellt werden. In diesem Fall müsste das Zertifikat exportiert und bei jedem Teilnehmer, dem ein Zugriff auf den Server ermöglicht werden soll, importiert werden. 

  • Proxy-Pfade: Wählen Sie im Dropdown-Menü bei Backend das in Schritt 4. erstellte Backend aus und geben bei URL den URL-Pfad an, auf den der Zugriff erlaubt werden soll. Fügen Sie den Eintrag über das "Plus-Zeichen" hinzu.
  • Blockierte Pfade: Hinterlegen Sie optional einen oder mehrere URL-Pfad(e), auf die kein Zugriff möglich sein soll. Fügen Sie den Eintrag über das "Plus-Zeichen" hinzu.

Image Removed

1.7 Die Konfiguration des Reverse-Proxy auf der Unified Firewall ist damit abgeschlossen.

2. Einrichtung des Portforwarding auf einem vorgeschalteten LANCOM Router (nur Szenario 2)

Info

Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

2.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.

Image Removed

2.2 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Anfangs-Port: Hinterlegen Sie den Port, der weitergeleitet werden soll (in diesem Beispiel der Port 443 für HTTPS).
  • End-Port: Hinterlegen Sie den Port, der weitergeleitet werden soll (in diesem Beispiel der Port 443 für HTTPS).
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router (in diesem Beispiel hat die Unified Firewall die IP-Adresse 192.168.0.254).
  • Protokoll: Wählen Sie im Dropdown-Menü das zugehörige Protokoll aus (bei HTTPS wird TCP verwendet). 

Image Removed

) Make sure, that the slider is active, change the following parameters and click Create:

  • Domain or IP address: Enter the public IP address or the DNS name where the server should be reachable. 
  • Connection: In the dropdown-menu select the Internet connection of the Unified Firewall.
  • Port: Enter the Port to be used for contacting the server from the Internet.
  • SSL: It is recommended to encrypt access from the Internet to the server. Therefore activate the option.
  • Certificate: In the dropdown-menu select the SSL certificate to be used for authentication. It has to be imported in the menu Certificate Management → Certificates beforehand.
Info

The SSL certificate has to be obtained from a public certification authority (CA) in order for any party to gain access to the server. The root certificate of known public certificate authorities is usually included in the certificate store of end devices.

Thus the certificate cannot be created on a Unified Firewall. In this case the certificate would have to be exported on the Unified Firewall and imported to the end device of each party, which should have access to the server.

  • Proxy Paths: In the dropdown-menu select the Backend created in step 4) and enter the URL access should be allowed to. Add the entry by clicking on the "Plus symbol".
  • Blocked Paths: Optionally, enter one or more URLs the access should not be allowed to. Add the entry by clicking on the "Plus symbol". 

Image Added

1.7) The configuration of the Reverse Proxy on the Unified Firewall is thereby complete. 



2) Setting up port forwarding on an upstream LANCOM router (scenario 2 only)


Info

If you are using a router from another manufacturer, approach them for information about the appropriate procedure.

2.1) Open the configuration for the LANCOM router in LANconfig and switch to the menu item IP Router → Masqu. → Port forwarding table.

Image Added

2.2) Create a new entry and adjust the following parameters:

  • First port: Enter the port to be forwarded (in this example port 443 for HTTPS).
  • Last port: Enter the port to be forwarded (in this example port 443 for HTTPS).
  • Intranet address: Enter the IP address of the Unified Firewall in the intermediate network between the Unified Firewall and the LANCOM router (the Unified Firewall has the IP address 192.168.0.254 in this example).
  • Protocol: Select the associated protocol from the drop-down menu (HTTPS uses TCP). 

Image Added

2.3) This concludes the configuration of the router. Write the configuration back to the router2.3 Die Konfiguration des Routers ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.