{"id":2242,"date":"2008-12-16T23:35:00","date_gmt":"2008-12-16T22:35:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/sichere-fernwartung-einer-x-edge\/"},"modified":"2016-08-23T14:46:12","modified_gmt":"2016-08-23T12:46:12","slug":"sichere-fernwartung-einer-x-edge","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2008\/12\/sichere-fernwartung-einer-x-edge\/","title":{"rendered":"Sichere Fernwartung einer X Edge"},"content":{"rendered":"<p>Um eine <strong>entfernt stehende Firebox X Edge<\/strong> auch per HTTPS direkt \u00fcber das Internet administrieren zu k\u00f6nnen, f\u00fcge ich normalerweise bei <em>Firewall > Incoming<\/em> eine <strong>Custom Packet Filter Policy<\/strong> hinzu, die eingehenden HTTPS-Verkehr direkt auf das Webinterface der Firebox leitet (Static NAT). Damit nicht jeder beliebige Rechner aus dem Internet bis zur Anmeldeseite gelangt, lasse ich jedoch nur die bekannten festen IP-Adressen z.B. des Hauptstandorts des Kunden (und unsere eigenen) zu:<\/p>\n<p><a href=\"http:\/\/2.bp.blogspot.com\/_haYpXd-8uFA\/SUgiwa3mqkI\/AAAAAAAAAC0\/JFYzxzMlKsE\/s1600-h\/remote-https.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 320px; height: 289px;\" src=\"http:\/\/2.bp.blogspot.com\/_haYpXd-8uFA\/SUgiwa3mqkI\/AAAAAAAAAC0\/JFYzxzMlKsE\/s320\/remote-https.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5280508778333514306\" \/><\/a><\/p>\n<p>Hat die X Edge eine <strong>feste externe IP-Adresse<\/strong>, erfolgt der Zugriff \u00fcber https:\/\/EXTERNE-IP. Bei einer <strong>dynamischen externen IP-Adresse<\/strong> nehme ich mir einen kostenfreien <strong>DYNDNS-Hostname<\/strong> zu Hilfe, der bei <em>Network > Dynamic DNS<\/em> eingetragen wird:<\/p>\n<p><a href=\"http:\/\/2.bp.blogspot.com\/_haYpXd-8uFA\/SUgipWpeqSI\/AAAAAAAAACs\/_DI7TFETRUk\/s1600-h\/dyndns.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 286px; height: 320px;\" src=\"http:\/\/2.bp.blogspot.com\/_haYpXd-8uFA\/SUgipWpeqSI\/AAAAAAAAACs\/_DI7TFETRUk\/s320\/dyndns.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5280508656941443362\" \/><\/a><\/p>\n<p>Befindet sich die X Edge in einer (VPN-)Au\u00dfenstelle unseres Unternehmens, sorgt diese Einrichtung nat\u00fcrlich auch daf\u00fcr, dass wir die X Edge \u00fcber das Internet erreichen k\u00f6nnen, auch wenn der regul\u00e4re VPN-Tunnel dorthin gerade einmal nicht zur Verf\u00fcgung steht \ud83d\ude42 Wenn ich parallel dazu auch die <strong>SSL-VPN-M\u00f6glichkeit<\/strong> der X Edge nutzen m\u00f6chte, um dort mobile User zu terminieren, lege ich den Port f\u00fcr Remote-HTTPS meist von 443 zum Beispiel auf 444 um: <em>Administration > System Security<\/em>:<\/p>\n<p><a href=\"http:\/\/3.bp.blogspot.com\/_haYpXd-8uFA\/SUgl1MnI8VI\/AAAAAAAAAC8\/9AabEe4BUgI\/s1600-h\/https-port-aendern.JPG\"><img decoding=\"async\" style=\"cursor:pointer; cursor:hand;width: 320px; height: 219px;\" src=\"http:\/\/3.bp.blogspot.com\/_haYpXd-8uFA\/SUgl1MnI8VI\/AAAAAAAAAC8\/9AabEe4BUgI\/s320\/https-port-aendern.JPG\" border=\"0\" alt=\"\"id=\"BLOGGER_PHOTO_ID_5280512158940590418\" \/><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Um eine entfernt stehende Firebox X Edge auch per HTTPS direkt \u00fcber das Internet administrieren zu k\u00f6nnen, f\u00fcge ich normalerweise bei Firewall > Incoming eine Custom Packet Filter Policy hinzu, die eingehenden HTTPS-Verkehr direkt auf das Webinterface der Firebox leitet (Static NAT). Damit nicht jeder beliebige Rechner aus dem Internet bis zur Anmeldeseite gelangt, lasse ich jedoch nur die bekannten festen IP-Adressen z.B. des Hauptstandorts &hellip; <a href=\"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2008\/12\/sichere-fernwartung-einer-x-edge\/\" class=\"more-link\">Weiterlesen <span class=\"screen-reader-text\">Sichere Fernwartung einer X Edge<\/span> <span class=\"meta-nav\">&raquo;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[64,299,301,37,303,304,273],"class_list":["post-2242","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-dyndns","tag-fernwartung","tag-https","tag-nat","tag-port-aendern","tag-ssl-vpn","tag-vpn"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2242"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2242"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2242\/revisions"}],"predecessor-version":[{"id":2299,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2242\/revisions\/2299"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}