Ankündigung

**makki** · 02.03.2009, 00:55

Es gab da mal nen (AFAIR fehlgeschlagenen) Ansatz mit nem Apache Reverse Proxy..

Der HS kann kein HTTPS, finden manche schade ist aber so. Ich hab das anderweitig gelöst (Ciso IOS SSL-VPN)..
Wenn es da neue Erkenntnisse mit Squid oder Apache gibt würds mich interessieren.

Makki

**eckerho1** · 02.03.2009, 08:53

Hi
Greife auch via VPN zu, aber IPSEC.

Warum möchtest Du https machen?
Dies verschlüsselt Dir zwar die Uebertragung, aber der Zugriff für einen potentiellen Hacker auf den Server wird dadurch nicht erschwert.

Gruss, Holger

**bjo** · 02.03.2009, 08:58

VPN statt https

hallo,
nimm eine neuere Fritzbox als Router bei denen kannst du VPN leicht einrichten und gut ist!

**Gaston** · 02.03.2009, 12:03

Das Problem mit VPN ist dass man nicht unabhängig ist, man also nicht mal schnell aus dem Hotel ohnen eigenen PC drauf zugreifen kann.

Ich habe den HS per HTTPS über squid als PoC (Proof of Concept) laufen. PoC bedeutet dabei dass die aktuelle Konfiguration nicht zum produktiven Einsatz geeignet ist (zumindest so wie ich es möchte).

Leider glaube ich auch nicht dass ich z.Zt. die Zeit habe dies zu ändern, kann also nur sagen dass es im Prinzip funktioniert.

Als Grundlage kann folgende Seite diesenen: ConfigExamples/Reverse/OutlookWebAccess - Squid Web Proxy Wiki

Dieses Setup setzt voraus dass man im Browser einen SSL Proxy konfigurieren kann was aber auch nicht immer der Fall ist. deshalb strebe ich eine Lösung an bei der man https://mein-dyndns-name:xxxx/hs als url angibt. Dies weiderum benötigt dann im squid einen url rewriter der https in http umwandelt.

Gruss,
Gaston

**thokes** · 02.03.2009, 18:49

Hallo,

wie gesagt - ich suche nach einer Lösung, die ich von jedem Internet-fähigen PC aus umsetzen kann. Einzige Bedingung soll eben nur ein Webbrowser sein.

**eckerho1** · 02.03.2009, 19:43

SSL VPN würde da gehen, benötigt nur Java auf dem PC, das haben ja die meisten installiert.
Grosser Nachteil: Firewals die das können sind relativ teuer.

**thokes** · 02.03.2009, 21:27

hi eckerho1,

bin im Moment etwas verwirrt, was die Herstellerangaben zu den Security-Eigenschaften ihrer Produkte angeht:

ist z.B. "VPN und Remote Access mit SSL, IPSec, L2TP over IPSec und PPTP" nicht gleichzusetzen mit "SSL VPN".

Thomas

**Tru** · 02.03.2009, 21:50

Zugriff auf den HS aus dem I-Net mittels Webbrowser per https-Protokoll

Ich denke das müsste recht gut mittels Apache und dem ReverseProxy Modul gehen z.B. auf einem Dualhomed Server. Neben der Konfig für SSL wird ein Statement der Art benötigt:
ProxyPass / http://<HS-Adresse>/

Vermutlich dürfte entscheidend sein, dass für die Umsetzung "/" auf "/" verwendet wird und nicht etwa "/subdir" auf "/", weil sonst absolute Pfade in HTML-Dokumenten nicht korrekt behandelt werden könnten.

Ich selbst verwende dieses Konstrukt für private Zwecke um via Namebased-Virtualhosting auf einem Dualhomed Apache unter 3 verschiedenen Namen über HTTPS auf 3 verschiedene interne Webserver zu verbinden. Darunter ist aber kein HS.

Othmar

**eckerho1** · 03.03.2009, 07:51

Zitat von thokes Beitrag anzeigen

hi eckerho1,

ist z.B. "VPN und Remote Access mit SSL, IPSec, L2TP over IPSec und PPTP" nicht gleichzusetzen mit "SSL VPN".

Alles sind VPN Protokolle, aber nur "VPN und Remote Access mit SSL" ist gleichzusetzen mit SSL VPN.
Ich empfinde aber nur IPSEC als machbar und gleichzeitig sicher da zu seinem Aufbau mehr Informationen als nur eine ID und ein Passwort verlangt werden, benötigt aber einen eigenen Client und kommt somit für Deine Anforderung nicht in Frage.

**makki** · 05.03.2009, 23:25

Apache Reverse-Proxy (-> Suche) geht leider nicht so ohne weiteres. Squid, wie Gaston schon schreibt ist ebenso nicht ganz schmerzfrei und erfordert das eingeben eines HTTPS-Proxy am Client, problematisch in Internetcafe, Hotel etc.
Mit nem Cisco (IOS-Router) und Web-VPN/SSL-VPN (oder wie auch immer man es nennt) gehts relativ schmerzfrei den HS in HTTPS zu verpacken und eine Authentisierung davorzulegen (ohne Client, Java-grütze o.ä.), zumindest wenn man sich ein bisschen damit auskennt.
Ich nutze das aber offengestanden sehr selten und weiss daher nicht ob es evtl. im Detail irgendwo hakt..

Makki

**Gaston** · 06.03.2009, 08:52

Zitat von makki Beitrag anzeigen

Apache Reverse-Proxy (-> Suche) geht leider nicht so ohne weiteres. Squid, wie Gaston schon schreibt ist ebenso nicht ganz schmerzfrei und erfordert das eingeben eines HTTPS-Proxy am Client, problematisch in Internetcafe, Hotel etc.

Mit squid kann man sobald ide Proxy Lösung funlktioniert einen url rewriter einsetzen. Im Internetcafé gibt man dann eine:

https://<squid-server-adresse>:<squid-https-port>/hs

squid macht mit der configuration dann daraus

https://<private-homeserver-adresse>/hs

Da der HS kein https kann muss man eine rewriter eionsetzen der aus https, http macht:

http://<private-homeserver-adresse>/hs

Dann klappts.

Gruss,
Gaston

**Michel** · 06.03.2009, 11:15

Kein https, aber ich mach´s via OpenVPN.

Fritzbox - Firmware ein wenig angepasst, Client auf den Rechner und los geht´s.
Vollkommen unproblematisch und stabil.

Zusätzlich hat man, je nach Konfiguration und wenn man möchte, auch Zugriff auf sein gesamtes LAN daheim. Clients sind auch für Windows Mobile PDA´s und Linux verfügbar.

Ankündigung

Zugriff auf den HS aus dem I-Net mittels Webbrowser per https-Protokoll

HS/FS Zugriff auf den HS aus dem I-Net mittels Webbrowser per https-Protokoll

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar