Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 2063 views
  • Users 0 members are here
Options
Suggested

[8.270][FEATURE][CLOSED] Userportal/Admin Interface can not be mapped on port 443 via WAF

Alex76
Hi,

if i configure the Webinterface via WAF to Port 443 with the configured Domain and a wildcard certificate the WAF writes only:

,,Service Temporarily Unavailible" and nothing is to see in the WAF Live Log.

i have configured a DNS host with the firewall Name
i have configured the Userportal to Any Adresses and Port 1024
i have configured into the WAF:
Real Webserver: SSL, DNS Host with firewall Name, Port 1024, HTTPS
Virtual Webserver: Type: HTTPS, *.domainname.xy, mailsecurity.domainname.xy, Interface: External, Port: 443, Real Webserver: the Server from the Real One, Pass Host Header.

Now everything is green, but its not possible to connect via Hostname from internal or external over 443. The 1024 works without problem.

The Same thing will be very usefull with a admin.domainname.xy, so you can manage the firewall with a standard 443 port and don't need a extra rule if you sitting behind a firewall without access or possibility to add the rule.

The easierst way will be to make a checkbox in the User Portal and Webadmin configuration ,,use WAF" or check it direct if a WAF is running.

kind regards

Alex
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.270
    Type: FEATURE
    State: CLOSED
    Reporter: Alex76
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    after a restart i have log files from the host:

    2011:11:15-23:03:06 firewall reverseproxy: [Tue Nov 15 23:03:06 2011] [error] (110)Connection timed out: proxy: HTTPS: attempt to connect to 192.168.1.1:1024 (firewall.domainname.xy) failed
    2011:11:15-23:03:06 firewall reverseproxy: [Tue Nov 15 23:03:06 2011] [error] ap_proxy_connect_backend disabling worker for (firewall.domainname.xy)
    2011:11:15-23:03:06 firewall reverseproxy: srcip="192.168.1.133" localip="192.168.1.1" size="323" user="-" host="192.168.1.133" method="GET" statuscode="503" reason="-" extra="-" time="21000277" url="/" server="mailsecurity.domainname.xy" referer="-" cookie="-" set-cookie="-"

    2011:11:15-23:06:09 firewall reverseproxy: [Tue Nov 15 23:03:06 2011] [error] (110)Connection timed out: proxy: HTTPS: attempt to connect to 192.168.1.1:4444 (firewall.domainname.xy) failed
    2011:11:15-23:06:09 firewall reverseproxy: [Tue Nov 15 23:03:06 2011] [error] ap_proxy_connect_backend disabling worker for (firewall.domainname.xy)
    2011:11:15-23:06:09 firewall reverseproxy: srcip="192.168.1.133" localip="192.168.1.1" size="323" user="-" host="192.168.1.133" method="GET" statuscode="503" reason="-" extra="-" time="21000277" url="/" server="webadmin.domainname.xy" referer="-" cookie="-" set-cookie="-"
  • 0
    Hi Alex,

    do I understand you correctly that your goal is to have WebAdmin, End User Portal and other websites using the WAF sharing the same TCP port and the same SSL certificate?

    Regards,
    mlenk
  • 0 in reply to mle
    Hi Mlenk,

    correct, this is the idea behind this, because in a bad enviorment you have only http and https access to the internet and its easier to manage the astaro or your mail's via standard https port with a domain based WAF entry. 

    You can Configure everything, but it doesn't work [:(]

    with a Wildcard zertificate its very easy to handle this kind of problem, if astaro will fix the WAF problem.
  • 0
    Alex76:

    Just to make sure: 
    You tried to use the WAF to access your LOCAL webadmin and User portal, right?
    No second ASG involved?
  • 0
    Hi Alex,

    the problem with your setup is, that you would then be able to bypass the 'Allowed Networks' setting for WebAdmin or the End User Portal. This is why an internal firewall rule on the loopback interface rejects all access to the WebAdmin or End User Portal, which in turn lets the WAF display the 'Service Temporarily Unavailible' message. Unfortunately it is rather convoluted to implement WAF access to WebAdmin or End User Portal correctly without opening other security holes.

    Thus this feature is unsupported for now. So, please file a feature request on Astaro Gateway Feature Requests if you want to have it implemented.

    Regards,
    mlenk
Unfiltered HTML