Skip to end of metadata
Go to start of metadata


Beschreibung:

Soll ein Server im lokalen Netzwerk (etwa ein Web-Server) aus dem Internet erreichbar gemacht werden, kann ein Portforwarding verwendet werden. Dabei kann der gleiche Port allerdings nur einmal verwendet werden. Werden mehrere Domains auf einem Web-Server betrieben, muss ein Reverse-Proxy verwendet werden. Dieser erkennt die angefragte Domain und leitet diese an den entsprechenden Server weiter. Mit einem Reverse-Proxy kann zudem eine Last-Verteilung und eine Ausfallsicherheit realisiert werden, wenn im Backend mehrere Server hinterlegt werden.

In diesem Artikel wird beschrieben wie der Reverse-Proxy auf einer Unified Firewall eingerichtet wird.


Voraussetzungen:

  • LANCOM R&S® Unified Firewall mit Firmware ab Version 10.2
  • Bereits eingerichtete und funktionsfähige Internet-Verbindung auf der Unified Firewall
  • Bereits eingerichteter und funktionsfähiger Web-Server
  • Vorhandenes SSL-Zertifikat einer öffentlichen Zertifizierungsstelle (CA) im PKCS12 Format
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

1. Die Unified Firewall ist direkt mit dem Internet verbunden

  • Die Unified Firewall baut die Internet-Verbindung auf. Diese hat die öffentliche IP-Adresse 81.81.81.1, die mit dem DNS-Namen web-server.lancom.de verknüpft ist.
  • Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.200 soll aus dem Internet per HTTPS erreichbar sein.


2. Ein Router vor der Unified Firewall baut die Internet-Verbindung auf

  • Ein vorgeschalteter Router vor der Unified Firewall baut die Internet-Verbindung auf. Dieser hat die öffentliche IP-Adresse 81.81.81.1, die mit dem DNS-Namen web-server.lancom.de verknüpft ist.
  • Die Unified Firewall und der vorgeschaltete Router sind beide Mitglied im Transfer-Netzwerk 192.168.0.0/24. Die Unified Firewall hat dort die IP-Adresse 192.168.0.254.
  • Ein Web-Server im lokalen Netzwerk der Unified Firewall mit der IP-Adresse 192.168.1.200 soll aus dem Internet per HTTPS erreichbar sein.
Dieses Szenario beinhaltet auch die "Parallel"-Lösung wie in diesem Artikel beschrieben.



Vorgehensweise:

Die Einrichtung bei Szenario 1 und 2 ist grundsätzlich gleich. Bei Szenario 2 muss zusätzlich noch ein Portforwarding auf dem vorgeschalteten Router eingerichtet werden.


1. Einrichtung des Reverse-Proxy auf der Unified Firewall (Szenario 1 und 2)

1.1 Öffnen Sie die Weboberfläche der Unified Firewall im Browser und wechseln in das Menü UTM → Reverse-Proxy → Reverse-Proxy-Einstellungen.

1.2 Aktivieren Sie den Reverse-Proxy über den Schiebe-Regler und klicken auf Speichern.

1.3 Wechseln Sie in das Menü Backends und klicken auf das "Plus-Zeichen", um ein neues Backend zu erstellen.

1.4 Passen Sie folgende Parameter an und klicken auf Speichern:

  • Name: Vergeben Sie einen aussagekräftigen Namen für das Backend.
  • Server: Hinterlegen Sie die IP-Adresse des Servers im lokalen Netzwerk samt Port-Angabe und dem URL-Pfad und fügen diesen über das "Plus-Zeichen" hinzu.

Optional können Sie die SSL-Verschlüsselung aktivieren, damit die Verbindung zwischen dem Server und der Unified Firewall im lokalen Netzwerk verschlüsselt ist.

1.5 Wechseln Sie in das Menü Frontends und klicken auf das "Plus-Zeichen", um ein neues Frontend zu erstellen.

1.6 Stellen Sie sicher, dass der Schiebe-Regler aktiviert ist, passen folgende Parameter an und klicken auf Speichern:

  • Domäne oder IP-Adresse: Geben Sie die öffentliche IP-Adresse oder den DNS-Namen an, unter der der Server erreichbar sein soll. 
  • Verbindung: Wählen Sie im Dropdownmeü die Internet-Verbindung der Unified Firewall aus,
  • Port: Geben Sie den Port an, über den der Server aus dem Internet erreichbar sein soll.
  • SSL: Ein Zugriff aus dem Internet sollte auf jeden Fall verschlüsselt erfolgen. Aktivieren Sie die Option daher.
  • Zertifikat: Wählen Sie im Dropdown-Menü das SSL-Zertifikat aus, welches zur Authentifizierung verwendet werden soll. Dieses muss im Vorfeld im Menü Zertifikatsverwaltung → Zertifikate importiert werden.

Das SSL-Zertifikat muss von einer öffentlichen Zertifizierungsstelle (CA) stammen, damit ein Zugriff von beliebigen Teilnehmern möglich ist. Die Stamm-Zertifikate von bekannten Zertifizierungsstellen sind im Regelfall bereits in den Zertifikats-Speichern der Geräte vorhanden.

Das Zertifikat kann daher nicht auf der Unified Firewall erstellt werden. In diesem Fall müsste das Zertifikat exportiert und bei jedem Teilnehmer, dem ein Zugriff auf den Server ermöglicht werden soll, importiert werden. 

  • Proxy-Pfade: Wählen Sie im Dropdown-Menü bei Backend das in Schritt 4. erstellte Backend aus und geben bei URL den URL-Pfad an, auf den der Zugriff erlaubt werden soll. Fügen Sie den Eintrag über das "Plus-Zeichen" hinzu.
  • Blockierte Pfade: Hinterlegen Sie optional einen oder mehrere URL-Pfad(e), auf die kein Zugriff möglich sein soll. Fügen Sie den Eintrag über das "Plus-Zeichen" hinzu.

1.7 Die Konfiguration des Reverse-Proxy auf der Unified Firewall ist damit abgeschlossen.



2. Einrichtung des Portforwarding auf einem vorgeschalteten LANCOM Router (nur Szenario 2)

Sollte ein Router eines anderen Herstellers verwendet werden, erfragen Sie die Vorgehensweise bei dem jeweiligen Hersteller.

2.1 Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln in das Menü IP-Router → Maskierung → Port-Forwarding-Tabelle.

2.2 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Anfangs-Port: Hinterlegen Sie den Port, der weitergeleitet werden soll (in diesem Beispiel der Port 443 für HTTPS).
  • End-Port: Hinterlegen Sie den Port, der weitergeleitet werden soll (in diesem Beispiel der Port 443 für HTTPS).
  • Intranet-Adresse: Hinterlegen Sie die IP-Adresse der Unified-Firewall im Transfernetz zwischen Unified Firewall und LANCOM Router (in diesem Beispiel hat die Unified Firewall die IP-Adresse 192.168.0.254).
  • Protokoll: Wählen Sie im Dropdown-Menü das zugehörige Protokoll aus (bei HTTPS wird TCP verwendet). 

2.3 Die Konfiguration des Routers ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.