Jump to content

1 Öffentliche IP mehrere interne Server mit SSL


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Aktuell hab ich noch ein 26er Subnet von A1 (62 Öffentliche IP Adressen auf einen langsamen 4Mbits SDSL Anschluss)
Jetzt hätten wir die Möglichkeit auf einen Glasfaseranschluss(leider nicht von A1) hier ist nur der kleine Tarif mit einer fixen öffentlichen IP
leistbar (159 Euro) 2 IPs und mehr kosten dann sage und schreibe 1000 Euro aufwärts pro Monat.

 

Mit SNI Kann ich unter Apache mehrere SSL Hostnames auf einer IP laufen lassen das funktioniert auch aber wie könnte ich das mit meinen
Exchange und Smarthome Server machen. 

 

hab auf den Apache das ganze so mal probiert das hat leider nicht funktioniert.

 

<VirtualHost 10.10.6.250:443>
	ServerName smarthome.domain.at
	SSLProxyEngine On
	ProxyRequests Off
	ProxyPreserveHost on
	<Proxy *>
		AddDefaultCharset off
		Order deny,allow
		Allow from all
		SSLRequireSSL
	</Proxy>
	ProxyPass / http://192.168.1.1:443/
	ProxyPassReverse / http://192.168.1.1:443/
</VirtualHost>

 

netz.PNG.bc271ff76bb4476d23f9d207273702aa.PNG

 

oder ist es nach wie vor so wenn man mehrere Server hat mit SSL zwingend für jeden eine Öffentliche IP braucht.

 

Link zu diesem Kommentar

Du braucht  auf jeden Fall einen Reverse-Proxy. Wenn der Tunnel dort endet, müssen hier alle öffentlichen Zertifikate drauf. Intern leitet man dann entweder per HTTP weiter oder mit einem anderen (internen) Zertifikat per SSL.

Das geht. Z.B. auch mit dem IIS. Ich meine, diese Anleitung ist ein Einstieg. ab IIS8  kann auch SNI verwendet werden.

Mit Apache kenne ich nicht wirklich aus. URLRewrite habe ich neulich mal bei einem internen Server benutzt, um dem SSL beizubringen.

Link zu diesem Kommentar
vor 7 Minuten schrieb Mycroft2K:

heißt ich muss zwingend die SSL Zertifikate am Proxy installieren gibt es keine Möglichkeit das die durchgereicht werden

Bei IIS und Apache müssen die Zertifikate installiert werden. Bei Nginx geht es auch ohne, siehe http://blog.le-vert.net/?p=224. Es gibt auch ein simpleres Tool dafür: https://github.com/inconshreveable/slt.

 

Würde ich aber nicht empfehlen. Du hättest dann in den Logs vom Proxy keine vernünftigen Einträge. Und die Zertifikate auf dem Proxy zu installieren macht deren Erneuerung einfacher.

 

Deine Beispielkonfiguration vom Apache sieht gut aus, es fehlt nur das Zertifikat und "ProxyRequests" ist auf "Off".

 

Ich setze jeweils noch folgende Optionen:

RequestHeader set X-Forwarded-Port "443"
RequestHeader set X-Forwarded-Proto "https"
RequestHeader set Ssl-Offloaded "1"

Damit wissen die Anwendungen, dass die Anfragen über SSL kommen, auch wenn es auf dem Proxy terminiert ist. Ohne diese Einstellungen kann es Redirect-Loops geben, wenn die Anwendungen HTTPS erfordern.

Link zu diesem Kommentar

@mwiederkehr thx für die info mit Nginx werde ich mir genauer ansehen für mich wäre es schöner wenn nur am Server direkt die Zertifikate installiert werden
müssen sonst hab ich doppelte arbeit einmal Server und dann noch Proxy da intern im netz das ganze ohne Proxy laufen lassen möchte.

fein Remote Desktop funktioniert auch über den apache proxy 

 

hab jetzt  Apache file so und ich kann jetzt tatsächlich drauf zugreifen

<VirtualHost 10.10.6.250:443>
	ServerName smarthome.domain.at
	SSLEngine On
	SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2	
	SSLCertificateFile /etc/myssl/smarthome.domain.at/smarthome.domain.at.crt
	SSLCertificateKeyFile /etc/myssl/smarthome.domain.at/sslkey.key
	SSLCertificateChainFile /etc/myssl/smarthome.domain.at/Geotrust.crt
	SSLCACertificateFile /etc/myssl/smarthome.domain.at/1_root_bundle.crt
	SSLProxyEngine On
	ProxyRequests On
	ProxyPreserveHost On
	ProxyPass / https://192.168.1.1:443/
	ProxyPassReverse / https://192.168.1.1:443/
</VirtualHost>

 

Link zu diesem Kommentar

@Dukel Da der Proxy/Firewall/Exchange virtualisiert ist wäre hier ja doppelter Traffic (für Remotedesktop-Gateway ist zwingend das richtige Zertifikat am Server nötig sonst wird die Verbindung abgelehnt)
somit hätte ich doppelte arbeit zum warten der Zertifikate läuft bis jetzt im TEST mit Nginx gut 

würde dann bei mir so aussehen Lan-->Firewall -->Proxy--> Firewall-->Exchange
Ohne den Proxy gehts dann so Lan-->Firewall-->Exchange

 

@mwiederkehr hab auch slt getestet funktioniert auch würde dann aber zusätzlich noch Apache brauchen für den normalen Traffic Nginx war ein sehr guter TIPP
einziges Manko an der Sache ist wohl das ich damit leben muss das auf der Destination seite immer die IP von nginx drinnen steht oder gibt es da auch noch eine Lösung?

 

muss wohl auch noch einen vServer für VPN mieten der ISP Sperrt die ports  25,80,110,443 eingehend ist ja ein Witz 

 

Link zu diesem Kommentar
vor 8 Stunden schrieb Mycroft2K:

für Remotedesktop-Gateway ist zwingend das richtige Zertifikat am Server nötig sonst wird die Verbindung abgelehnt

Mit der Option "SSL-Bridging" sollte es auch über HTTP gehen.

 

vor 8 Stunden schrieb Mycroft2K:

einziges Manko an der Sache ist wohl das ich damit leben muss das auf der Destination seite immer die IP von nginx drinnen steht oder gibt es da auch noch eine Lösung?

Wenn Du SSL auf dem Nginx terminierst, kann dieser den "X-Forwarded-For"-Header setzen und dort die IP des Clients eintragen. Viele Webanwendungen verstehen das bzw. lassen sich konfigurieren, diese IP in die Logs zu schreiben.

 

Eine andere Lösung wäre "Direct Server Return". Dabei setzt der Proxy bei weitergeleiteten Anfragen die Absender-IP auf die Client-IP. In den Logs erscheint dann die richtige IP und die Antworten gehen direkt raus. Das geht beim Nginx soweit ich gesehen habe nur mit der kostenpflichtigen Version. Wenn Du Dich auf diesem Level bewegst, würde ich mir eine kommerzielle Lösung wie Citrix NetScaler oder KEMP LoadMaster ansehen.

 

vor 9 Stunden schrieb Mycroft2K:

muss wohl auch noch einen vServer für VPN mieten der ISP Sperrt die ports  25,80,110,443 eingehend ist ja ein Witz

Was? :neutral2: Dann würde ich mich eher nach einem anderen ISP umsehen. Wenn ich Internet bezahle, will ich Internet, und nicht eine Teilmenge davon.

Link zu diesem Kommentar
vor 7 Stunden schrieb mwiederkehr:

Was? :neutral2: Dann würde ich mich eher nach einem anderen ISP umsehen. Wenn ich Internet bezahle, will ich Internet, und nicht eine Teilmenge davon.

Ja was willst machen bei Glasfaser bist leider den Anbieter total ausgeliefert der Ausbaut und in den AGBs steht eben Server betrieb auf den Ports verboten.
alle die auf xDSL und co anbieten geht eben nicht mehr Bandbreite SDSL auf 2DA 4Mbits hier wäre noch ein Upgrade auf 8Mbits durch einen 4DA Anschluss möglich.

 

 

Link zu diesem Kommentar
vor 26 Minuten schrieb Mycroft2K:

Ja was willst machen bei Glasfaser bist leider den Anbieter total ausgeliefert der Ausbaut und in den AGBs steht eben Server betrieb auf den Ports verboten.

Mein Beileid. Kommt ganz auf den Anbieter an. Bei uns gibt es vom lokalen Anbieter Glasfaser mit 1 GBit/s symmetrisch und fixer IP für unter 100 Euro/Monat.

 

Dann bleibt wohl nur ein vServer als externer Proxy. Entweder per VPN angebunden, oder Du verwendest auf dem lokalen Proxy höhere Ports. Dann sollte ein einfacher vServer mit ein paar iptables-Regeln genügen. (Oder natürlich Du lagerst alle extern erreichbaren Server aus...)

Link zu diesem Kommentar
vor 8 Minuten schrieb mwiederkehr:

Bei uns gibt es vom lokalen Anbieter Glasfaser mit 1 GBit/s symmetrisch und fixer IP für unter 100 Euro/Monat.

wohl ein Schweizer oder ;-) was würdest als VPN empfehlen OpenVPN oder was anderes?

 

vor 12 Minuten schrieb Nobbyaushb:

Als Alternative irgendwo ´ne Root-Kiste mieten und nach Hause routen?

glaub dafür reicht ein vServer auch hab bei strato jetzt mal einen bestellt zum testen 6 Euro im Monat

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...