Jump to content

SSL Verbindung auf 2 Server von WAN aus


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen

 

Ich habe zwei 2003 Server, einer ist ein DC inkl. IIS und der andere ist normal in der Domäne eingebunden, auch mit IIS. Auf dem DC ist zusätzlich Exchange 2003 installiert und über SSL erreichbar. Nun sollte ich vom WAN aus zusätzlich per SSL auf den zweiten Server auf eine Web-Applikation zugreifen können.

 

Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT. (Firewallseitig müsste es also gehen, Zyxel USG 200)

 

Wenn ich Exchange über Port 443 und Applikation über Port 8443 konfiguriere ist das kein Problem, wie mache ich dies mit dem selben Port?

 

Habe zwei verschiedene Host (A Record) erstellt. Z. Bsp. test1.domain.ch und test2.domain.ch, die aber auf die gleiche IP verweisen.

 

Muss ich was mit den Hostheaderwerten machen?

 

Danke zum voraus.

Link zu diesem Kommentar

Hallo zusammen

 

Danke für eure Antworten.

 

Habe das Ganze nun gelöst:

Mit Hostheaderwerten funktioniert das schon, jedoch entweder oder. (Server1 oder Server2) Die Firewall hat zwar kein reines NAT, und ich kann SSL auf beide Server umleiten, die Firewall nimmt dann jedoch einfach den zuerst konfigurierten Weg.

 

Schlussendlich bin ich aber nicht um eine 2. öffentliche IP herumgekommen. So funktioniert das ganze natürlich einwandfrei.

Link zu diesem Kommentar

Hallo matthe,

 

Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT.
Wenn Du an der Firewall keine Adressübersetzung machst, dann müssten doch alle Server öffentliche IP-Adressen haben und das ganze Problem würde gar nicht existieren.

Mit "nur eine Fixe IP" meinst Du vermutlich, dass Du bisher nur eine (feste) _öffentliche_ IP-Adresse hattest. Deine Aussage bzgl. NAT scheint also nicht zu stimmen.

 

 

Mit Hostheaderwerten funktioniert das schon, jedoch entweder oder. (Server1 oder Server2) Die Firewall hat zwar kein reines NAT, und ich kann SSL auf beide Server umleiten, die Firewall nimmt dann jedoch einfach den zuerst konfigurierten Weg.
Wieder so eine Aussage, die die Vermutung nahe legt, dass Du weder die grundlegenden Konzepte noch die konkrete Funktionalität der USG wirklich verstanden hast.

1) Was ist denn für Dich "reines NAT"?

2) Ganz offenkundig hast Du auf der USG versuchsweise mehrere sich inhaltlich überschneidende sog. "virtuelle Server" angelegt. Mit vServern macht man auf der USG sog. Destination-NAT (und ggf. Porttranslation).

Die USG macht an dieser Stelle aber keine Hostheader Inspection! Du kannst hier zwar zuvor definierte Objekte verwenden, die wie FQDNs aussehen, jedoch sind dies lediglich "Stellvertreter" für die objektorientierte Konfiguration.

Der Umstand, dass die Firewall "einfach den zuerst konfigurierten Weg" nimmt, ist darin begründet, dass der zweite vServer nicht korrekt initialisiert werden kann, weil der zuvor angelegte vServer bereits das Socket belegt. Im Logfile der USG sollte eine entsprechende Fehlermeldung zu finden sein. Leider erfolgt keine Prüfung auf Konflikte beim Anlegen oder Modifizieren eines vServers.

 

Gruß

s.k.

bearbeitet von s.k.
Link zu diesem Kommentar

hallo s.k.

 

Du hast natürlich recht, habe mich ziemlich doof ausgedrückt.

 

1.

Zitat von matthe

Ich habe aber nur eine Fixe IP, jedoch in der Firewall kein NAT.

Wenn Du an der Firewall keine Adressübersetzung machst, dann müssten doch alle Server öffentliche IP-Adressen haben und das ganze Problem würde gar nicht existieren.

Mit "nur eine Fixe IP" meinst Du vermutlich, dass Du bisher nur eine (feste) _öffentliche_ IP-Adresse hattest. Deine Aussage bzgl. NAT scheint also nicht zu stimmen.

Ja, 1 fixe öffentliche IP

 

2.

1) Was ist denn für Dich "reines NAT"?

Meinte damit eigentlich wie man es auf älteren resp. nicht OO Firewalls kannte. SUA/NAT; Many to One, Many to Many, usw

 

3.

2) Ganz offenkundig hast Du auf der USG versuchsweise mehrere sich inhaltlich überschneidende sog. "virtuelle Server" angelegt. Mit vServern macht man auf der USG sog. Destination-NAT (und ggf. Porttranslation).

Die USG macht an dieser Stelle aber keine Hostheader Inspection! Du kannst hier zwar zuvor definierte Objekte verwenden, die wie FQDNs aussehen, jedoch sind dies lediglich "Stellvertreter" für die objektorientierte Konfiguration.

Der Umstand, dass die Firewall "einfach den zuerst konfigurierten Weg" nimmt, ist darin begründet, dass der zweite vServer nicht korrekt initialisiert werden kann, weil der zuvor angelegte vServer bereits das Socket belegt.

Jup, so hab ichs gemacht. Und kein reines NAT wäre dann des DNAT.

 

Ich weiss, im Nachhinein sehr unprofessionell geschrieben.

 

Und das mit den Hostheader wäre eigentlich auch klar, dass das nicht geht. Da ja Firewalls den Inhalt nicht prüfen. Hatte mich da beirren lassen, als ich jeweils nur einer der zwei vServer im DNAT aktiv hatte.

 

Danke für die Richtigstellung!

 

lg matthe

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...