Mycroft2K 11 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Aktuell hab ich noch ein 26er Subnet von A1 (62 Öffentliche IP Adressen auf einen langsamen 4Mbits SDSL Anschluss) Jetzt hätten wir die Möglichkeit auf einen Glasfaseranschluss(leider nicht von A1) hier ist nur der kleine Tarif mit einer fixen öffentlichen IP leistbar (159 Euro) 2 IPs und mehr kosten dann sage und schreibe 1000 Euro aufwärts pro Monat. Mit SNI Kann ich unter Apache mehrere SSL Hostnames auf einer IP laufen lassen das funktioniert auch aber wie könnte ich das mit meinen Exchange und Smarthome Server machen. hab auf den Apache das ganze so mal probiert das hat leider nicht funktioniert. <VirtualHost 10.10.6.250:443> ServerName smarthome.domain.at SSLProxyEngine On ProxyRequests Off ProxyPreserveHost on <Proxy *> AddDefaultCharset off Order deny,allow Allow from all SSLRequireSSL </Proxy> ProxyPass / http://192.168.1.1:443/ ProxyPassReverse / http://192.168.1.1:443/ </VirtualHost> oder ist es nach wie vor so wenn man mehrere Server hat mit SSL zwingend für jeden eine Öffentliche IP braucht. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Du braucht auf jeden Fall einen Reverse-Proxy. Wenn der Tunnel dort endet, müssen hier alle öffentlichen Zertifikate drauf. Intern leitet man dann entweder per HTTP weiter oder mit einem anderen (internen) Zertifikat per SSL. Das geht. Z.B. auch mit dem IIS. Ich meine, diese Anleitung ist ein Einstieg. ab IIS8 kann auch SNI verwendet werden. Mit Apache kenne ich nicht wirklich aus. URLRewrite habe ich neulich mal bei einem internen Server benutzt, um dem SSL beizubringen. Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Sowohl Apache als auch IIS gehen als Reverse Proxy. Ich habe z.B. einen mit Nginx laufen. Zitieren Link zu diesem Kommentar
Mycroft2K 11 Geschrieben 5. Februar 2019 Autor Melden Teilen Geschrieben 5. Februar 2019 heißt ich muss zwingend die SSL Zertifikate am Proxy installieren gibt es keine Möglichkeit das die durchgereicht werden Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 vor 7 Minuten schrieb Mycroft2K: heißt ich muss zwingend die SSL Zertifikate am Proxy installieren gibt es keine Möglichkeit das die durchgereicht werden Bei IIS und Apache müssen die Zertifikate installiert werden. Bei Nginx geht es auch ohne, siehe http://blog.le-vert.net/?p=224. Es gibt auch ein simpleres Tool dafür: https://github.com/inconshreveable/slt. Würde ich aber nicht empfehlen. Du hättest dann in den Logs vom Proxy keine vernünftigen Einträge. Und die Zertifikate auf dem Proxy zu installieren macht deren Erneuerung einfacher. Deine Beispielkonfiguration vom Apache sieht gut aus, es fehlt nur das Zertifikat und "ProxyRequests" ist auf "Off". Ich setze jeweils noch folgende Optionen: RequestHeader set X-Forwarded-Port "443" RequestHeader set X-Forwarded-Proto "https" RequestHeader set Ssl-Offloaded "1" Damit wissen die Anwendungen, dass die Anfragen über SSL kommen, auch wenn es auf dem Proxy terminiert ist. Ohne diese Einstellungen kann es Redirect-Loops geben, wenn die Anwendungen HTTPS erfordern. Zitieren Link zu diesem Kommentar
Mycroft2K 11 Geschrieben 5. Februar 2019 Autor Melden Teilen Geschrieben 5. Februar 2019 @mwiederkehr thx für die info mit Nginx werde ich mir genauer ansehen für mich wäre es schöner wenn nur am Server direkt die Zertifikate installiert werden müssen sonst hab ich doppelte arbeit einmal Server und dann noch Proxy da intern im netz das ganze ohne Proxy laufen lassen möchte. fein Remote Desktop funktioniert auch über den apache proxy hab jetzt Apache file so und ich kann jetzt tatsächlich drauf zugreifen <VirtualHost 10.10.6.250:443> ServerName smarthome.domain.at SSLEngine On SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 SSLCertificateFile /etc/myssl/smarthome.domain.at/smarthome.domain.at.crt SSLCertificateKeyFile /etc/myssl/smarthome.domain.at/sslkey.key SSLCertificateChainFile /etc/myssl/smarthome.domain.at/Geotrust.crt SSLCACertificateFile /etc/myssl/smarthome.domain.at/1_root_bundle.crt SSLProxyEngine On ProxyRequests On ProxyPreserveHost On ProxyPass / https://192.168.1.1:443/ ProxyPassReverse / https://192.168.1.1:443/ </VirtualHost> Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Wieso nicht alles (auch intern) über den Proxy? Ist alles eine Frage der DNS Auflösung. Zitieren Link zu diesem Kommentar
Mycroft2K 11 Geschrieben 5. Februar 2019 Autor Melden Teilen Geschrieben 5. Februar 2019 @Dukel Da der Proxy/Firewall/Exchange virtualisiert ist wäre hier ja doppelter Traffic (für Remotedesktop-Gateway ist zwingend das richtige Zertifikat am Server nötig sonst wird die Verbindung abgelehnt) somit hätte ich doppelte arbeit zum warten der Zertifikate läuft bis jetzt im TEST mit Nginx gut würde dann bei mir so aussehen Lan-->Firewall -->Proxy--> Firewall-->Exchange Ohne den Proxy gehts dann so Lan-->Firewall-->Exchange @mwiederkehr hab auch slt getestet funktioniert auch würde dann aber zusätzlich noch Apache brauchen für den normalen Traffic Nginx war ein sehr guter TIPP einziges Manko an der Sache ist wohl das ich damit leben muss das auf der Destination seite immer die IP von nginx drinnen steht oder gibt es da auch noch eine Lösung? muss wohl auch noch einen vServer für VPN mieten der ISP Sperrt die ports 25,80,110,443 eingehend ist ja ein Witz Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 6. Februar 2019 Melden Teilen Geschrieben 6. Februar 2019 vor 8 Stunden schrieb Mycroft2K: für Remotedesktop-Gateway ist zwingend das richtige Zertifikat am Server nötig sonst wird die Verbindung abgelehnt Mit der Option "SSL-Bridging" sollte es auch über HTTP gehen. vor 8 Stunden schrieb Mycroft2K: einziges Manko an der Sache ist wohl das ich damit leben muss das auf der Destination seite immer die IP von nginx drinnen steht oder gibt es da auch noch eine Lösung? Wenn Du SSL auf dem Nginx terminierst, kann dieser den "X-Forwarded-For"-Header setzen und dort die IP des Clients eintragen. Viele Webanwendungen verstehen das bzw. lassen sich konfigurieren, diese IP in die Logs zu schreiben. Eine andere Lösung wäre "Direct Server Return". Dabei setzt der Proxy bei weitergeleiteten Anfragen die Absender-IP auf die Client-IP. In den Logs erscheint dann die richtige IP und die Antworten gehen direkt raus. Das geht beim Nginx soweit ich gesehen habe nur mit der kostenpflichtigen Version. Wenn Du Dich auf diesem Level bewegst, würde ich mir eine kommerzielle Lösung wie Citrix NetScaler oder KEMP LoadMaster ansehen. vor 9 Stunden schrieb Mycroft2K: muss wohl auch noch einen vServer für VPN mieten der ISP Sperrt die ports 25,80,110,443 eingehend ist ja ein Witz Was? Dann würde ich mich eher nach einem anderen ISP umsehen. Wenn ich Internet bezahle, will ich Internet, und nicht eine Teilmenge davon. Zitieren Link zu diesem Kommentar
Mycroft2K 11 Geschrieben 6. Februar 2019 Autor Melden Teilen Geschrieben 6. Februar 2019 vor 7 Stunden schrieb mwiederkehr: Was? Dann würde ich mich eher nach einem anderen ISP umsehen. Wenn ich Internet bezahle, will ich Internet, und nicht eine Teilmenge davon. Ja was willst machen bei Glasfaser bist leider den Anbieter total ausgeliefert der Ausbaut und in den AGBs steht eben Server betrieb auf den Ports verboten. alle die auf xDSL und co anbieten geht eben nicht mehr Bandbreite SDSL auf 2DA 4Mbits hier wäre noch ein Upgrade auf 8Mbits durch einen 4DA Anschluss möglich. Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 6. Februar 2019 Melden Teilen Geschrieben 6. Februar 2019 vor 26 Minuten schrieb Mycroft2K: Ja was willst machen bei Glasfaser bist leider den Anbieter total ausgeliefert der Ausbaut und in den AGBs steht eben Server betrieb auf den Ports verboten. Mein Beileid. Kommt ganz auf den Anbieter an. Bei uns gibt es vom lokalen Anbieter Glasfaser mit 1 GBit/s symmetrisch und fixer IP für unter 100 Euro/Monat. Dann bleibt wohl nur ein vServer als externer Proxy. Entweder per VPN angebunden, oder Du verwendest auf dem lokalen Proxy höhere Ports. Dann sollte ein einfacher vServer mit ein paar iptables-Regeln genügen. (Oder natürlich Du lagerst alle extern erreichbaren Server aus...) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 6. Februar 2019 Melden Teilen Geschrieben 6. Februar 2019 Als Alternative irgendwo ´ne Root-Kiste mieten und nach Hause routen? Ich habe Glas mit 250Mbit für 250€ Zitieren Link zu diesem Kommentar
Mycroft2K 11 Geschrieben 6. Februar 2019 Autor Melden Teilen Geschrieben 6. Februar 2019 vor 8 Minuten schrieb mwiederkehr: Bei uns gibt es vom lokalen Anbieter Glasfaser mit 1 GBit/s symmetrisch und fixer IP für unter 100 Euro/Monat. wohl ein Schweizer oder was würdest als VPN empfehlen OpenVPN oder was anderes? vor 12 Minuten schrieb Nobbyaushb: Als Alternative irgendwo ´ne Root-Kiste mieten und nach Hause routen? glaub dafür reicht ein vServer auch hab bei strato jetzt mal einen bestellt zum testen 6 Euro im Monat Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 6. Februar 2019 Melden Teilen Geschrieben 6. Februar 2019 vor 27 Minuten schrieb Mycroft2K: wohl ein Schweizer oder Ja. Dafür ist bei uns bekanntlich alles anderer teurer. vor 27 Minuten schrieb Mycroft2K: was würdest als VPN empfehlen OpenVPN oder was anderes? IPsec wäre auch eine Option, je nach verwendeter Firewall. Zitieren Link zu diesem Kommentar
Mycroft2K 11 Geschrieben 6. Februar 2019 Autor Melden Teilen Geschrieben 6. Februar 2019 IPsec würde auch gehen hast da zufällig eine Anleitung für Anfänger hab mich mit dem nie beschäftigt Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.