Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 2064 views
  • Users 0 members are here
Options
Suggested

[8.270][FEATURE][CLOSED] Userportal/Admin Interface can not be mapped on port 443 via WAF

Alex76
Hi,

if i configure the Webinterface via WAF to Port 443 with the configured Domain and a wildcard certificate the WAF writes only:

,,Service Temporarily Unavailible" and nothing is to see in the WAF Live Log.

i have configured a DNS host with the firewall Name
i have configured the Userportal to Any Adresses and Port 1024
i have configured into the WAF:
Real Webserver: SSL, DNS Host with firewall Name, Port 1024, HTTPS
Virtual Webserver: Type: HTTPS, *.domainname.xy, mailsecurity.domainname.xy, Interface: External, Port: 443, Real Webserver: the Server from the Real One, Pass Host Header.

Now everything is green, but its not possible to connect via Hostname from internal or external over 443. The 1024 works without problem.

The Same thing will be very usefull with a admin.domainname.xy, so you can manage the firewall with a standard 443 port and don't need a extra rule if you sitting behind a firewall without access or possibility to add the rule.

The easierst way will be to make a checkbox in the User Portal and Webadmin configuration ,,use WAF" or check it direct if a WAF is running.

kind regards

Alex
Parents
  • 0
    Hi Alex,

    the problem with your setup is, that you would then be able to bypass the 'Allowed Networks' setting for WebAdmin or the End User Portal. This is why an internal firewall rule on the loopback interface rejects all access to the WebAdmin or End User Portal, which in turn lets the WAF display the 'Service Temporarily Unavailible' message. Unfortunately it is rather convoluted to implement WAF access to WebAdmin or End User Portal correctly without opening other security holes.

    Thus this feature is unsupported for now. So, please file a feature request on Astaro Gateway Feature Requests if you want to have it implemented.

    Regards,
    mlenk
Reply
  • 0
    Hi Alex,

    the problem with your setup is, that you would then be able to bypass the 'Allowed Networks' setting for WebAdmin or the End User Portal. This is why an internal firewall rule on the loopback interface rejects all access to the WebAdmin or End User Portal, which in turn lets the WAF display the 'Service Temporarily Unavailible' message. Unfortunately it is rather convoluted to implement WAF access to WebAdmin or End User Portal correctly without opening other security holes.

    Thus this feature is unsupported for now. So, please file a feature request on Astaro Gateway Feature Requests if you want to have it implemented.

    Regards,
    mlenk
Children
No Data
Unfiltered HTML