https Reverse Proxy für Sicheren CCU Zugriff von Unterwegs

[sct]

Hi Paul,

da ja Portforwarding (auch mit Passwort) unsicher ist wollte ich das auch mal ausprobieren.

Aber leider....

Es wird unbedingt die Online Version der Anleitung hier http://www.lxccu.com/manuals:apache-rev ... oxy-manual empfohlen!

...ergibt 404 NOT FOUND.

Besten Dank
SCT

[Gluehwurm]

Aber leider....

Was hindert Dich auf der Webseite selber die Anleitung zu suchen?

Gruß
Bruno

[sct]

Aber leider....

Was hindert Dich auf der Webseite selber die Anleitung zu suchen?

Danke Bruno. Habe ich gemacht. Der Standort der Anleitung wurde offenbar auf dem Server verschoben. Die neue URL lautet: https://www.lxccu.com/doku.php?id=manua ... oxy-manual

Nach einem kurzen Überfliegen der Anleitung muß ich aber feststellen dass es Probleme geben wird wenn man bereits einen Apache am Laufen hat, der ohne Zertifikat frei ohne https aus dem Internet abrufbar ist (z.B. eigene Homepage, Bildergallerie etc.).

Ciao
SCT

[grissli1]

Warum soll es da Probleme geben? Den Reverse Proxy ruft man ja dann über 443 oder einen anderen beliebigen Port auf. Habe damit keine Probleme.

Viele Grüße
Chris

Gesendet von meinem P027 mit Tapatalk

[erik]

Kann die für privat kostenlose sophos utm empfehlen. Die hat eine sehr gute waf an board.

[sct]

Warum soll es da Probleme geben? Den Reverse Proxy ruft man ja dann über 443 oder einen anderen beliebigen Port auf. Habe damit keine Probleme.

Die Probleme entstehen dann weil man von der Anleitung abweichen muß. Und wenn man (so wie ich) nicht wirklich weiss, was man da konkret tut, ist man ziemlich allein bzw. muß sich tief in Apache einarbeiten. Das ist nicht einfach mal so in der Mittagspause erledigt. Ich sag ja nicht dass die Probleme unlösbar sind, aber für einen Amateur/Halblaien wie mich mit erhöhtem Aufwand verbunden.

Dasselbe gilt sinngemäß für mich auch für SG UTM. Das ist Unternehmenssoftware und erfordert entsprechend Einarbeitung und Installationsaufwand.

Am besten wäre es wenn der WebUI Zugang sicherer gemacht werden würde, damit Port-Forwarding wieder funktioniert. Port-Forwarding ist schnell eingerichtet und man/ich weiß auch was ich da tue.

Ciao
SCT

[Familienvater]

Hi,

wenn Dein Port 443 zu Hause von einem Apache "blockiert" ist, was hinder Dich daran, einen Reverse-Proxy z.B. auf Port 8443 aufzusetzen, und dort die Authentifizierung zu machen? Selbst wenn die CCU eine kugelsichere WebUI und Authentifizierung hätte, Du könntest in dem Fall auch nicht Port 443 nehmen, weil der ja von Deinem Apache belegt ist.

Ich würde einfach Port 443 auf den Reverse-Proxy forwarden, und dort entscheidet die Konfig über den Hostnamen im Request, auf welchen Webserver hinter dem Proxy umgebogen wird, isses der Apache-Host, dann liefert man die Daten aus, isses die CCU, dann liefert man die CCU Webseiten aus. Mache ich zu Hause nicht anders, hinter Port 443 hängt ein nginx mit Let's Encrypt "Multihost"-Zertifikat, und wenn ich https://ccu.xyz.test aufrufe, und mich erfolgreich Anmelde, dann habe ich die WebUI, bei https://esxi.xyz.test/ui# kommt die WebUI von meinem ESXI, und bei https://ccudev.xyz.test kommt die WebUI der Entwickler-CCU usw. Das sind alles virtuelle Hosts im nginx, jeder hat seine eigene Config, inkl. eigener htaccess-Files usw.

Und die "traurige" Nachricht: wenn man keine Ahnung hat, und es selbst nicht kann, dann zahlt man ggf. 30 € pro Jahr und kauft sich die Funktionalität, oder man "kauft" sich die Konfig-Leistung bei jemand ein, der einmalig dafür ggf. ein vielfaches der Jahresgebühr haben will.

Der Familienvater

[sct]

Und die "traurige" Nachricht: wenn man keine Ahnung hat, und es selbst nicht kann, dann zahlt man ggf. 30 € pro Jahr und kauft sich die Funktionalität, oder man "kauft" sich die Konfig-Leistung bei jemand ein, der einmalig dafür ggf. ein vielfaches der Jahresgebühr haben will.

Das ist die "traurige" Nachricht. Die "ganz traurige Nachricht" ist aber, dass selbst ich mit einem artverwandten Beruf - ich bin embedded SW-Entwickler in der Automobilindustrie für Steuergeräte - mir es nicht wirklich zutraue so einen Proxy aufzusetzen. Diese ganze Materie ist inzwischen so komplex geworden dass ich das Thema "Systemadministration" als eigenes, hochspezialisiertes Berufsbild identifiziere. Sprich, für Zuhause ist so ein LAMP-Server schon lange nichts mehr.

[Familienvater]

Hi,

nur weil Du SW-Entwickler bist, heißt das ja nicht, das Du alles und jede Softwaretechnik können musst.
Und da z.B. nginx u.a. auch ein Loadbalancer ist, sehe ich das eher im Netzwerkbereich, also ähnlich wie Du ein Skill im Bereich Systemadministration. Aber, mit viel Google und Stack-Overflow habe ich es auch geschafft, natürlich bleibt immer das "ungute" Gefühl evtl. unabsichtlich irgendwo ein riesiges Loch reingerissen zu haben, das kann einem aber auch bei einer VPN-Konfig passieren etc, nur VPN geht nicht einfach von jedem Rechner, Reverse Proxy schon.
Also bleibt halt selber machen mit ungutem Gefühl, oder mit sicheren? Gefühl einen (externen) Dienstleister bezahlen, oder auf Bequemlichkeit verzichten und VPN nutzen, oder einfach das Haus (und damit die Programmierung) so automatisch machen, das man normalerweise nicht alle 5 min von extern eingreifen muss.

Der Familenvater

[erik]

Ports einreissen in den router ist kein spass und wenn man nicht wirklich sicher ist, was man macht, sollte man dies auch nicht machen.
Ein apache webserver ist recht aufwändig zu konfigurieren und ein falsches Zeichen führt zu Problemen, das die Konfig nicht geladen wird.

Die Sophos utm bindet ein recht umfangreiches produkt mit einer sehr guten web gui, inkl. Hilfetexte.

Hier die quick & Dirty schritte, die ccu2 mittels utm zu sichern.

O Sich bei sophos registrieren, 50 ip lizenz bekommen und iso herunter laden
O Iso virtuell oder auf Hardware installieren
O lizenz einspielen
O in der web application firewall die ccu2 als webserver definieren
O virtuellen webserver in der waf definieren und die ccu2 definieren. Ssl der waf nutzen und port 443 binden.
O autentifizerung der waf einschalten.
O nun die ip der utm auf port 443 öffnen. Es sollte die passwortabfrage erscheinen und nach authentifizerung die ccu2
O nun kann im router port 443 auf die utm geöffnet.


(Angaben ohne Gewehr)