12
Watchguard: HTTPS-Website parallel zu VPN auf :443
Hallo zusammen!
Ich habe im ehrenamtlichen Bereich aktuell eine Watchguard M200 (FW 12.5.2) am laufen, leider ohne gültige Subscription. Ist nicht ideal, fehlende Subscription und niedrigere Firmware-Version sind Sicherheitsrisiken, ist bewusst. Für den ehrenamtlichen Bereich ist die FW auch eigentlich viel zu groß dimensioniert, es ging hier bei der Beschaffung einfach nur um die Menge der Möglichen VPN-Verbindungen, hier werden viele benötigt.
Das soll aber hier jetzt bitte kein Thema sein.
Problemstellung:
Wir haben hier SSL-VPN auf Port 443 am laufen, aktuell kam eine Anforderung, dass ein Dienst auch über eine HTTPS-Seite erreichbar sein soll. Das bekomme ich auch hin, jedoch läuft dann der SSL-VPN nicht mehr. Die Ports scheinen sich ins Gehege zu kommen. Ich selbst komme bezüglich Webproxy eher aus dem Bereich Sophos. Ich habe die Seite aktuell über einen anderen Port mit HTTPS am laufen, schöner wäre es jedoch ohne Port-Angabe (also 443).
Habe ich hier Möglichkeiten, das umzusetzen oder bräuchte ich dafür Beispielsweise eine gültige Subscription?
Vielen Dank vorab!
Gruß!
Ich habe im ehrenamtlichen Bereich aktuell eine Watchguard M200 (FW 12.5.2) am laufen, leider ohne gültige Subscription. Ist nicht ideal, fehlende Subscription und niedrigere Firmware-Version sind Sicherheitsrisiken, ist bewusst. Für den ehrenamtlichen Bereich ist die FW auch eigentlich viel zu groß dimensioniert, es ging hier bei der Beschaffung einfach nur um die Menge der Möglichen VPN-Verbindungen, hier werden viele benötigt.
Das soll aber hier jetzt bitte kein Thema sein.
Problemstellung:
Wir haben hier SSL-VPN auf Port 443 am laufen, aktuell kam eine Anforderung, dass ein Dienst auch über eine HTTPS-Seite erreichbar sein soll. Das bekomme ich auch hin, jedoch läuft dann der SSL-VPN nicht mehr. Die Ports scheinen sich ins Gehege zu kommen. Ich selbst komme bezüglich Webproxy eher aus dem Bereich Sophos. Ich habe die Seite aktuell über einen anderen Port mit HTTPS am laufen, schöner wäre es jedoch ohne Port-Angabe (also 443).
Habe ich hier Möglichkeiten, das umzusetzen oder bräuchte ich dafür Beispielsweise eine gültige Subscription?
Vielen Dank vorab!
Gruß!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6600820866
Url: https://administrator.de/contentid/6600820866
Printed on: May 3, 2024 at 00:05 o'clock
12 Comments
Latest comment
Menüpunkte haben sich geändert. Sind jetzt zusammengefasst. Was ist mit
VPN: Mobile VPN / Mobile VPN with SSL / Configure
Data channel + Configuration channel (TCP) ändern.
Bei deiner ist es vermutlich eine Ebene höher. Mit späteren Firebox Versionen war VPN auf einmal "weg". Generell geht sollte das immer gehen.
Wenn so umgesetzt, muss auf den Client nur der Port geändert werden. Könnten die Leute auch selber, wenn sie den WG Client nehmen. Da steht der ja nur dahinter eingetragen. Anleitung/ Anruf sollte da reichen.
PS: Die Firewall Policy noch anpassen. Oft ja als Alias zusammengefasst.
bei Mobile IPsec kommt das - meine ich - aus den Angaben zu Mobile VPN IPSec Policies.
Da ihr ja eh schon SSL habt, müsste die Regel leicht zu finden sein.
So oder so muss der Client angespasst werden. Es sei denn, ihr buch vlt. 2. IP dazu. 1 Dienst = 1 Port. Aber das weisst du ja
VPN: Mobile VPN / Mobile VPN with SSL / Configure
Data channel + Configuration channel (TCP) ändern.
Bei deiner ist es vermutlich eine Ebene höher. Mit späteren Firebox Versionen war VPN auf einmal "weg". Generell geht sollte das immer gehen.
Wenn so umgesetzt, muss auf den Client nur der Port geändert werden. Könnten die Leute auch selber, wenn sie den WG Client nehmen. Da steht der ja nur dahinter eingetragen. Anleitung/ Anruf sollte da reichen.
PS: Die Firewall Policy noch anpassen. Oft ja als Alias zusammengefasst.
bei Mobile IPsec kommt das - meine ich - aus den Angaben zu Mobile VPN IPSec Policies.
Da ihr ja eh schon SSL habt, müsste die Regel leicht zu finden sein.
So oder so muss der Client angespasst werden. Es sei denn, ihr buch vlt. 2. IP dazu. 1 Dienst = 1 Port. Aber das weisst du ja
Danke für die Info!
Daran habe ich auch schon gedacht, aber da die Clients auf knapp 400k m² verteilt und die Nutzer in der Regel nicht IT-Affin sind (Teils privat-Rechner, teils Rechner und Tablets auf Fahrzeugen verlastet), ist das ein recht großer Aufwand. Ich würde gerne für VPN, wie auch für die Webseite den gleichen Port 443 nutzen, wenn möglich.
Im beruflichen Umfeld habe ich das auch auf Sophos, hier gibt es keine Probleme.
Gruß
Daran habe ich auch schon gedacht, aber da die Clients auf knapp 400k m² verteilt und die Nutzer in der Regel nicht IT-Affin sind (Teils privat-Rechner, teils Rechner und Tablets auf Fahrzeugen verlastet), ist das ein recht großer Aufwand. Ich würde gerne für VPN, wie auch für die Webseite den gleichen Port 443 nutzen, wenn möglich.
Im beruflichen Umfeld habe ich das auch auf Sophos, hier gibt es keine Probleme.
Gruß
Ach ja, welchen Client nehmt ihr? WG oder einen anderen?
Die neueren WG SSL sind bei anderen Fireboxen im Download mit dabei. Da es aber auch nur OpenVPN ist gehen neure Clients normal auch mit älterer Firebox!
Der würde auch gehen. Vorteil ist hier auch:
So hab bei mir einfach die WG Config so 1:1 eingespielt. Es geht nur anch Ordnernamen und Inhalt. Man kann die Verbindung auch umbenennen.
Vorteil von OpenVPN Client ist, dass man mehrere Configs dann im Tree hat. Man kann wählen. Platziert man beim Rollout die neue Config dort, ist es sofort verfügbar.
Der WG zieht sich die bei Änderungen automatisch. Du musst ja wie gesagt ja den Port ändern.
Die neueren WG SSL sind bei anderen Fireboxen im Download mit dabei. Da es aber auch nur OpenVPN ist gehen neure Clients normal auch mit älterer Firebox!
Der würde auch gehen. Vorteil ist hier auch:
C:\Users\Crusher\OpenVPN\config\Mobile VPNSo hab bei mir einfach die WG Config so 1:1 eingespielt. Es geht nur anch Ordnernamen und Inhalt. Man kann die Verbindung auch umbenennen.
Vorteil von OpenVPN Client ist, dass man mehrere Configs dann im Tree hat. Man kann wählen. Platziert man beim Rollout die neue Config dort, ist es sofort verfügbar.
Der WG zieht sich die bei Änderungen automatisch. Du musst ja wie gesagt ja den Port ändern.
Zitat von @SirMangoo:
Danke für die Info!
Daran habe ich auch schon gedacht, aber da die Clients auf knapp 400k m² verteilt und die Nutzer in der Regel nicht IT-Affin sind (Teils privat-Rechner, teils Rechner und Tablets auf Fahrzeugen verlastet), ist das ein recht großer Aufwand. Ich würde gerne für VPN, wie auch für die Webseite den gleichen Port 443 nutzen, wenn möglich.
Im beruflichen Umfeld habe ich das auch auf Sophos, hier gibt es keine Probleme.
Gruß
Danke für die Info!
Daran habe ich auch schon gedacht, aber da die Clients auf knapp 400k m² verteilt und die Nutzer in der Regel nicht IT-Affin sind (Teils privat-Rechner, teils Rechner und Tablets auf Fahrzeugen verlastet), ist das ein recht großer Aufwand. Ich würde gerne für VPN, wie auch für die Webseite den gleichen Port 443 nutzen, wenn möglich.
Im beruflichen Umfeld habe ich das auch auf Sophos, hier gibt es keine Probleme.
Gruß
Oder umdrehen? Portforwarding und dann intern auf 443 Service leiten? Dann wäre nur die neue Seite betroffen.
Wir nutzen auch Flächendeckend OpenVPN, andere biete ich nicht an. Damit ist das Handling auf den PCs, wie auch Tablets und anderen Mobilgeräten gleich. Die Config lade ich jeweils von der Watchguard und sende diese mit detaillierten Anleitungen an die User, auf den Tablets haben wir mal alle aus dem bereich an einen Ort kommen lassen, da habe ich die dann zentral eingerichtet.
Inwiefern meinst du das?
Zitat von @Crusher79:
Oder umdrehen? Portforwarding und dann intern auf 443 Service leiten? Dann wäre nur die neue Seite betroffen.
Oder umdrehen? Portforwarding und dann intern auf 443 Service leiten? Dann wäre nur die neue Seite betroffen.
Inwiefern meinst du das?
https://www.boc.de/watchguard-info-portal/2019/03/howto-snat-port-forwar ...
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
Frage! Wie arbeitet ihr? Weboberfäche oder mit dem Config-Tool? Die Masken sehen da leicht anders aus. Man kann die WG mit beiden einrichten ....
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
Frage! Wie arbeitet ihr? Weboberfäche oder mit dem Config-Tool? Die Masken sehen da leicht anders aus. Man kann die WG mit beiden einrichten ....
Zitat von @SirMangoo:
Im beruflichen Umfeld habe ich das auch auf Sophos, hier gibt es keine Probleme.
Im beruflichen Umfeld habe ich das auch auf Sophos, hier gibt es keine Probleme.
2 Dienste hinter 1 Port?
Oder schreib mal kurz wie du es bei der Sophos meinst/ darunter verstehst. Ich kann hier nicht ganz folgen !
Watchguard aktuell per Web
Vergiss das letzte. Ich habe gerade noch mal geschaut, das läuft über verschiedene WAN-IPs. Hier habe ich leider nur eine.
Zitat von @Crusher79:
2 Dienste hinter 1 Port?
Oder schreib mal kurz wie du es bei der Sophos meinst/ darunter verstehst. Ich kann hier nicht ganz folgen !
2 Dienste hinter 1 Port?
Oder schreib mal kurz wie du es bei der Sophos meinst/ darunter verstehst. Ich kann hier nicht ganz folgen !
Vergiss das letzte. Ich habe gerade noch mal geschaut, das läuft über verschiedene WAN-IPs. Hier habe ich leider nur eine.
Zitat von @Crusher79:
https://www.boc.de/watchguard-info-portal/2019/03/howto-snat-port-forwar ...
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
https://www.boc.de/watchguard-info-portal/2019/03/howto-snat-port-forwar ...
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
SNAT ist aber schon eingerichtet
Zitat von @Crusher79:
https://www.boc.de/watchguard-info-portal/2019/03/howto-snat-port-forwar ...
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
Frage! Wie arbeitet ihr? Weboberfäche oder mit dem Config-Tool? Die Masken sehen da leicht anders aus. Man kann die WG mit beiden einrichten ....
https://www.boc.de/watchguard-info-portal/2019/03/howto-snat-port-forwar ...
https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fir ...
Frage! Wie arbeitet ihr? Weboberfäche oder mit dem Config-Tool? Die Masken sehen da leicht anders aus. Man kann die WG mit beiden einrichten ....
Wenn du die Möglichkeit hast, immer per Watchguard Systemmanager arbeiten
Hi,
2 Dienste auf einem Port ist schwierig, irgendein Proxy muss sich den Verkehr angucken und dann einmal auf das VPN-Gerät und einmal auf den Dienst. Ich denke nicht, das du das mit dem Proxy der WG selber hinbekommst.
Ich würde den Dienst einfach auf einen anderen Port binden, der Aufruf wäre dann zum Beispiel bei Port 4433: https://Name.de:4433
Das wäre am einfachsten
2 Dienste auf einem Port ist schwierig, irgendein Proxy muss sich den Verkehr angucken und dann einmal auf das VPN-Gerät und einmal auf den Dienst. Ich denke nicht, das du das mit dem Proxy der WG selber hinbekommst.
Ich würde den Dienst einfach auf einen anderen Port binden, der Aufruf wäre dann zum Beispiel bei Port 4433: https://Name.de:4433
Das wäre am einfachsten
Mit einem vorgeschalteten nginx bzw. Reverse-Proxy wäre das machbar.
Cheers briggs
Cheers briggs
