Jump to content

Recommended Posts

vor 1 Minute schrieb NorbertFe:

Naja. Pauschalurteile sind halt immer irgendwie "doof" ;)

ich finde ICH nicht pauschal. andere können das ja anders machen.:grins2:

Bei mir stehen in der DMZ grundsätzliche keine Windowsserver, sondern maximal Loadbalancer/Reverseproxys die dann verbinden.

In anderen Umgebungen mag es sinnvolle andere Lösungen geben.

Link to post
vor 2 Stunden schrieb NorbertFe:

Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;)

 

<scnr>

           ... so wie "mañana" nicht "morgen" heißt - es heißt "nicht heute" ... ?  ;-) :aetsch2:

</scnr>

Edited by BOfH_666
  • Like 1
  • Haha 1
Link to post
vor 2 Stunden schrieb NorbertFe:

Ich hab mal im Studium gelernt, dass „grundsätzlich“ nicht immer bzw. nicht nie bedeutet. ;)

Für die Juristen bedeutet es: Die Regel ist so, aber es gibt Ausnahmen. Es ist also eine Abschwächung der Aussage.
Ich wollte ja keine Pauschalaussage treffen :grins2:

vor 3 Stunden schrieb cj_berlin:

...und ein Loadbalancer macht das automatisch sicherer?

 

Von den 50% der Unix-Linux-Webserver weltweit, die von HeartBleed betroffen waren, werden die meisten hinter Loadbalancern gestanden haben...

natürlich nicht.
Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins.

Außerdem kann ich am vorgelagerten LB/reverseproxy bei vielen Protokollen noch eine extra Authentifizierung einbauen

 

Also: automatisch macht es nichts sicherer, aber es bringt zahlreiche Möglichkeiten, das ganze System sicherer zu machen.

Link to post
vor 54 Minuten schrieb magheinz:

Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins.

Mit Pre-Auth: einverstanden. Wenn ein Proxy aber alles 1:1 weiter gibt, bringt er nicht viel. Bei der ProxyLogon-Lücke hätte so ein Proxy nichts geholfen. (Aber man hätte mit ihm schnell und zentral den Zugriff auf die anfällige Datei blockieren können, als raus kam, welche es ist.)

  • Like 1
Link to post
vor 38 Minuten schrieb mwiederkehr:

Mit Pre-Auth: einverstanden. Wenn ein Proxy aber alles 1:1 weiter gibt, bringt er nicht viel. Bei der ProxyLogon-Lücke hätte so ein Proxy nichts geholfen. (Aber man hätte mit ihm schnell und zentral den Zugriff auf die anfällige Datei blockieren können, als raus kam, welche es ist.)

Man kann mit einem Reverse Proxy einzelne Adressen (powershell, ecp, oab,...) erlauben oder verbieten.

Link to post
vor 11 Minuten schrieb Dukel:

Man kann mit einem Reverse Proxy einzelne Adressen (powershell, ecp, oab,...) erlauben oder verbieten.

Sonst wäre es ja ein reiner Loadbalancer...

Aber ja, mit einem reverseproxy kannst du natürlich alle Zugriffe Steuern, verändern etc.

z.B. terminieren die SSL-Verbindungen bei uns am Ha-proxy.

Von dort werden nur ganz bestimmte Verbindungen weitergereicht.

 

Allerdings wird Exchange demnächst hinter die netscaler wandern und alle https-Verbindungen werden, soweit möglich, mit einem zweiten Faktor abgesichert.

vor 6 Stunden schrieb NorbertFe:

Rein interessehalber: Warum?

Weil ha-proxy genau dafür da ist.

nginx ist in erster Linie ein Webserver.

Link to post
vor 13 Minuten schrieb magheinz:

Sonst wäre es ja ein reiner Loadbalancer...

 

Was ist ein "Reiner" Loadbancer?

Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...).

Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer?

Link to post
vor 4 Minuten schrieb Dukel:

 

Was ist ein "Reiner" Loadbancer?

Ein LB verteilt zugriffe auf mehrere Backendsysteme. Je nach OSI Schicht gibt es dabei unterschiedliche Möglichkeiten einzugreifen (SSL, Urls,...).

Nginx kann auch TCP/UDP weiterleiten und verteilen. Ist das jetzt ein ReverseProxy, Webserver oder Loadbalancer?

The basic definitions are simple:

  • A reverse proxy accepts a request from a client, forwards it to a server that can fulfill it, and returns the server’s response to the client.
  • A load balancer distributes incoming client requests among a group of servers, in each case returning the response from the selected server to the appropriate client.

hab ich bei nginx geklaut:

https://www.nginx.com/resources/glossary/reverse-proxy-vs-load-balancer/

 

nginx kann halt noch viel mehr. Wer viel mehr kann macht auch viel mehr Fehler.

Link to post
Posted (edited)

Hallo nochmal,

 

mit dem Kemp hatte ich bereits Probleme das ganze zum laufen zu bekommen.

Nebenbei habe ich das Ganze noch über den NGINX Proxy Manager versucht.

Ich habe am Ende drei Seiten die ich erreichen will:

1) Mein RDP-Gateway / bzw https://subdomain/rdweb

2) Meine QNAP

3) Meinen Exchange

 

Ich habe also jetzt folgendes gemacht:

 

Die Ports für HTTP & HTTPS für den NGINX Proxy Manager freigeben.

Für das RDP-Gateway habe ich eine Subdomain erstellt "TS01.domäneXY.de

Für meine QNAP habe ich eine Subdomain erstellt "QNAP.domäneXY.de

 

Damit wollte ich jetzt erstmal testen.

Allerdings bekomme ich die beiden Seiten von außen nicht aufgerufen...

Habt ihr noch irgendeine Idee was ich vielleicht falsch mache ?

Wenn ich die HTTPS Freigaben direkt auf das GW oder die QNAP lege, erreiche alles von außen...

 

So sieht meine Konfig aus:
image.thumb.png.be4dffb22e7c69418b73fd7c96efdfc3.png

Edited by Alman2
Update
Link to post

Man erkennt nicht viel an der Config.

Entweder die externen Namen auf die jeweiligen Servern zeigen lassen oder die Url Teile (/rdweb zum RDS Host, /owa&/ecp&... zum Exchange, /qnap zur Storage) auf die jeweiligen Server.

Für erstes muss DNS passen.

 

EDIT:

So in der Art:

location /mapi {
    proxy_pass https://exchange01;
}
location /owa {
    proxy_pass https://exchange01;
}
location /rdweb {
    proxy_pass https://rds01;
}
Edited by Dukel
Link to post
vor 9 Minuten schrieb Dukel:

Man erkennt nicht viel an der Config.

Naja, da gibt es auch nicht soviel zu sehen:

image.png.452c2a7f95bbdbf1325f490f05e54639.png

 

image.png.6b41bc8f2fef6a7d5953d0f06c013352.png

 

Also bei Forward Hostname kann ich schon mal keine komplette URL angeben. Das sieht dann hinterher so aus:

https://qnap.domäneXY.de:8081/cgi-bin/:80

Dass das nirgendwo hin führt ist ja klar.

Ich kenne mich mit Linux auch nicht so gut aus, daher fand ich diesen Proxy-Manager mit GUI ganz cool, allerdings weiß ich nicht wie ich Deinen Vorschlag mit der config umsetzen kann.

Mit den Custom Locations habe ich auch schon versucht zu spielen aber das klappt leider auch nicht.

Wie müsste ich vorgehen um das im DNS zu erledigen ? Wobei ich hier das Problem habe, dass die QNAP nicht Mitglied der Domäne ist.

Den Exchange habe ich noch gar nicht hinzugefügt, dass wollte ich erst machen wenn die anderen beiden klappen.

 

Hab das Gefühl das ich knapp dran bin aber noch irgendeine Kleinigkeit fehlt...

image.png.1b323ba5a32985f766b1874548b28c87.png

Link to post
Posted (edited)

Ja die URL's zeigen alle auf den R-Proxy. Wenn ich an der Destination URL rumspiele bekomme ich auch unterschiedliche Ergebnisse von außen. Und wenn ich einen Host auf Disable stelle, erreiche auch nichts mehr, also müsste die Kommunikation mit dem R-Proxy funktionieren.

Und die Seiten lassen sich intern so öffnen 

 

[edit] wie gesagt, nehme ich dem R-Proxy die Freigaben für HTTP & HTTPS weg und gebe sie zb direkt der QNAP oder dem RDG, komme ich von außen auch genau mit den URL's drauf die ich hier auch benutze. 

Irgendwas stimmt nicht mit der Weiterleitung vom R-Proxy zu den Websites...

 

[edit2] sry ist schon spät... Logs gibt es in dem GUI auf jeden Fall nicht

Edited by Alman2
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...