Weiterleitung

[thorstensd]

Hallo,

Ich bin neu hier im Forum und beisse mir gerade an einem speziellen Problem die Zähne aus.
Nach 2 Tagen googlen und Tutorials lesen und vielen ? über dem Kopf dachte ich, es wäre an der Zeit jemand zu fragen, der sich damit auskennt
Ich möchte gerne einen internen Webserver (SSL Verbindung) innerhalb eines bestimmten VLANs für einen l2l VPN Tunnel verfügbar machen. Hierzu habe ich einen Debian Whezzy Server in einem für den Tunnel erreichbaren VLAN stehen. Das Ziel VLAN ist für den Tunnel nicht erreichbar (und auch megaaufwendig zu konfigurieren, da DMZ). Der DMZ Server Antwortet auf https nur über das inside interface der Firewall (ist auch aus Sicherheitsgründen so gewollt). Der Proxyserver kann auf den Zielserver in der DMZ von innen per https zugreifen.

Ich hoffe das ist irgendwie verständlich geschieben.

Schematisch:
Client -> VLAN 5 ProxyServer Weiterleitung -> VLAN99 DMZ ZielServer (und der gleiche weg zurück)

Natürlich gibt es viele möglichkeiten dies umzusetzen, eine Proxy Weiterleitung wäre jedoch die bevorzugte.

Ich habe hierzu folgendes gebastelt (50mal gelöscht, modifiziert und erfolglos neu gebastelt):

Code: Alles auswählen

### SSL Host ###
<VirtualHost *:443>

ServerName proxyserver.local.intern
ServerAdmin webmaster@local.intern

ErrorLog /var/log/apache2/error.log
CustomLog /var/log/apache2/access.log combined

Header always set X-Frame-Options SAMEORIGIN

Header set Server Apache

Header unset X-AspNet-Version
Header unset X-OWA-Version
Header unset X-Powered-By

RequestHeader unset Expect early

ProxyRequests Off
ProxyPreserveHost On

SSLProxyEngine on
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
SSLProxyCheckPeerExpire off

ProxyPass / https://proxyserver.ocal.intern
ProxyPassReverse / https://zielserver.local.intern


DocumentRoot /var/www

<Directory />
    Order deny,allow
    Deny from all
</Directory>

<Directory /var/www>
    DirectoryIndex index.php index.html
    Options -Indexes +FollowSymLinks
    Order allow,deny
    Allow from all
</Directory>

<Proxy *>
        SetEnv proxy-nokeepalive 1
        SetEnv force-proxy-request-1.0 1
        Order deny,allow
        Allow from all
</Proxy>

  SSLEngine on
        SSLCertificateFile    /etc/ssl/certs/proxyserver.local.intern.pem
        SSLCertificateKeyFile /etc/ssl/private/proxyserver.local.intern.key

  BrowserMatch "MSIE [2-6]" \
    nokeepalive ssl-unclean-shutdown \
    downgrade-1.0 force-response-1.0
  # MSIE 7 and newer should be able to use keepalive
  BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>

Mein 1. Test ist bereits gescheitert. Ich versuchte mit einem Client innerhalb des VLANs, welches Zugriff auf das DMZ VLAN hat meinen Proxy über https://proxyserver.local.intern aufzurufen.

Ergebnis: Seiten-Lade Fehler, Verbindung fehlgeschlagen

Die conf liegt in sites-available und wurde mit a2ensites bekannt gemacht. der Apache2 natürlich auch nach jeder Änderung restartet.

Vielleich hat ja jemand eine Idee oder Ratschlag.

Grüße Thorsten

[BenutzerGa4gooPh]

Hallo zurück und willkommen im DF!

Client -> VLAN 5 ProxyServer Weiterleitung -> VLAN99 DMZ ZielServer (und der gleiche weg zurück)

Und wer oder was routet zwischen den VLANs? Wo ist Trunk, wo untagged?
Hast du mal ohne höhere Protokolle und Verschlüsselung Verbindungen getestet?
Dann reine Verbindung mit Verschlüsselung?
Sind somit die FW und ihre verschiedenen Sicherheiszonen sowie evtl. Forwarding richtig konfiguriert?
Danach könnten man über Server reden ...

Dein Netzwerkbeschreibung ist offenbar ausbaufähig. Schlecht für Antworten ...

Lies dich mal hier ein: https://www.administrator.de/wissen/vla ... tml#toc-11
Dann sinnvolles DMZ-Konzept, dann Netzplan (analog Link, ASCII-Skizze reicht jedoch) posten und Ergebnisse eigener Tests (s. o.) und genaue Beschreibung wo es denn klemmt.

[thorstensd]

Hallo,

Danke für deine Antwort. Ich habe leider nicht alles dokumentiert bzgl. des Netzes, war aber auch nicht so beabsichtigt, da ich davon ausging, dass man mir einfach mal abnimmt, dass das routing und die Vlans, VPNs und Trunks bzw die Zugriffe hierauf entsprechend meiner Beschreibung auch passen. Ansonsten wäre ich ja in ein Cisco Forum gegangen

Inzwischen hat es sich Gottseidank endlich erledigt, hatte aus versehen ein falsches/Fehlerhaftes Zertifikat gegriffen.
Nachdem ich dass dann nach vielen Stunden gemerkt habe, hats dann auch direkt geklappt.

Kleine Info für zukünftige Hilfesuchende, das Skript oben klappt soweit. Servername = Proxyhost, Proxypass und revers der Zielhost und die certs müssen auf den Proxy Host lauten. Über diese 4 Punkte war ich mir nie 100% im klaren was meine Lösungsuche in die Länge zog.

Besten Dank dennoch

Grüße Thorsten