Zugriff auf WatchGuard Access Portal (RDP Sitzung) via NGINX

3. Dezember 2019 Werner Maier Comment

Kürzlich erreichte uns eine Erfolgsmeldung: ein Administrator hat erfolgreich _VOR_ dem Access Portal einen NGINX-Reverse-Proxy in Betrieb genommen.

Setup:

Internet Anbindung, eine Statische IP
Transfer-Netz zur WatchGuard Firewall
Portforward der Externen IP, Port 443 => auf einen NGINX-Server im Transfer-Netz (VOR der Firewall)
Aufsplitten der DNS-NAMEN im NGINX
- ein Teil geht auf das WatchGuard Access Portal,
- andere DNS-Namen werden auf andere Systeme/IPs/Ports umgeleitet

Für den NGINX wird das Modul “ngingx-extras” benötigt.

Anbei noch der Config-Ausschnitt aus dem NGINX:

server {
        listen       *:80;
        server_name servername.firma.de;
        if ($host = servername.firma.de) {
                return 301 https://$host$request_uri/;
        }
        return 404; # managed by Certbot
}
 
server {
        server_name servername.firma.de;
        error_log  /var/log/nginx/servername-error.log;
        access_log /var/log/nginx/servername-access.log;
 
        listen 443 ssl; # managed by Certbot
        ssl_certificate /etc/letsencrypt/live/firma.de/fullchain.pem; # managed by Certbot
        ssl_certificate_key /etc/letsencrypt/live/firma.de/privkey.pem; # managed by Certbot
        include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
        ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
        ssl_verify_client off;
 
        # Set global proxy settings
        proxy_read_timeout      360;
 
        proxy_http_version 1.1;
        proxy_pass_request_headers on;
 
        proxy_pass_header       Date;
        proxy_pass_header       Server;
 
        proxy_set_header        Host $host;
        proxy_set_header        X-Real-IP $remote_addr;
        proxy_set_header        Accept-Encoding "";
 
        proxy_set_header Accept-Encoding "";
        more_set_headers -s 401 'WWW-Authenticate: Basic realm="192.168.1.89"';
 
        location / {
        proxy_set_header Host $http_host;
        proxy_set_header X_FORWARDED_PROTO https;
        proxy_ssl_verify              off;
        proxy_pass https://192.168.1.89:4443/;
    }
        location /websocket-tunnel {
        proxy_read_timeout 86400;
        proxy_pass https://192.168.1.89:4443;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "Upgrade";
    }
}

Herzlichen Dank an Hr. Hildebrand für die Informationen zu diesem Artikel.

Rückfragen bitte direkt an d.hildebrand@vogelsbergklinik.de

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Ältere WatchGuard Modelle

Zubehör und weitere Services

Einzelprodukte

Zusatzmodule

Managed Services

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin

Zusatzmodule

WatchGuard Schulungen

Unsere Network Security Essentials-Schulung

Unsere Endpoint Security Essentials-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Network Security Essentials-Schulung

Endpoint Security Essentials-Schulung

Follow-Up Q&A-Session:

Weitere Events:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

Das könnte Sie auch interessieren:

Hinterlasse eine Nachricht Abbruch

BOC IT-Security GmbH