WatchGuard hat mit Fireware 11.12.2 das Authentication Portal (\u00fcblicherweise auf Port 4100) noch weiter vom SSLVPN-Portal abgetrennt. Bei \u00e4lteren Fireware Releases war es m\u00f6glich, \u00fcber https:\/\/[IP-der-Firebox]\/sslvpn_logon.shtml die SSLVPN-Login-Seite aufzurufen und \u00fcber https:\/\/[IP-der-Firebox]\/logon.shtml die Login-Seite f\u00fcr die normale User Authentifizierung an der Firewall – unabh\u00e4ngig davon, welcher Port (4100\/Authentification oder 443\/SSLVPN bzw. anderer eingestellter Port) aufgerufen wurde. Die saubere Trennung der beiden Dienste f\u00fchrt nun einerseits zu einer erh\u00f6hten Sicherheit, ist aber m\u00f6glicherweise f\u00fcr den einen oder anderen etwas hinderlich. Beispielsweise\u00a0wenn jemand, der die Authentifizierung von External nutzen soll, an seinem aktuellen Internet-Zugang nicht \u00fcber Port 4100 ins Internet hinaus darf. Hier war es extrem praktisch, die Authentifizierung eben auch auf dem \u00fcblicherweise in ausgehende Richtung offenen Port 443 ansprechen zu k\u00f6nnen.<\/p>\n
Folgende Workarounds<\/strong> k\u00f6nnen nun eingerichtet werden:<\/p>\n Falls der externe Port 443 bereits f\u00fcr Microsoft Outlook Web Access (OWA) oder einen anderen Dienst (interner Webserver mit HTTPS) f\u00fcr die Weiterleitung nach innen benutzt wird, hilft hierbei k\u00fcnftig<\/strong> eventuell ein f\u00fcr Fireware 12.x angek\u00fcndigtes neues Feature: Host Header Redirection. Mit diesem Feature soll es m\u00f6glich werden, auf der WatchGuard Firewall ein Multidomain\/SAN-Zertifikat zu installieren und dann abh\u00e4ngig vom jeweiligen Hostnamen auf unterschiedliche interne IPs weiterzuleiten. Leider wird hier nach meinem Kenntnisstand SSLVPN au\u00dfen vor bleiben.<\/p>\n","protected":false},"excerpt":{"rendered":" WatchGuard hat mit Fireware 11.12.2 das Authentication Portal (\u00fcblicherweise auf Port 4100) noch weiter vom SSLVPN-Portal abgetrennt. Bei \u00e4lteren Fireware Releases war es m\u00f6glich, \u00fcber https:\/\/[IP-der-Firebox]\/sslvpn_logon.shtml die SSLVPN-Login-Seite aufzurufen und \u00fcber https:\/\/[IP-der-Firebox]\/logon.shtml die Login-Seite f\u00fcr die normale User Authentifizierung an der Firewall – unabh\u00e4ngig davon, welcher Port (4100\/Authentification oder 443\/SSLVPN bzw. anderer eingestellter Port) aufgerufen wurde. Die saubere Trennung der beiden Dienste f\u00fchrt nun einerseits … Weiterlesen Trennung der SSLVPN- und Authentication Login-Seiten<\/span> \n