4
Debian webserver mit OpenVPN - SSL Problem
Hallo zusammen,
ich habe ein Problem mit einem Projekt , welches ich momentan realisieren möchte. Dabei gehts es um Debian 5.02 / OpenVPN / SSL Zertifikat
Ich habe einen Server bei Strato angemietet, auf dem Debian 5.02 läuft.
Folgende Dienste laufen u.a. daruf: Tomcat , OpenVPN...
Ich habe eine domain, sagen wir www.meinedomain.de .
Momentan ist auf Port 80 ist eine Info Seite erreichbar, unter Port 443 eine per SSL-Zertifikat von THAWTE gesicherte Anmeldung.
Nun soll aber der Port 443 nur erreichbar sein, wenn der User per OpenVPN eingewählt ist...
dies habe ich über die LInux Firewall iptables realisiert, und auf der Infoseite den Link zur Anmeldung auf 10.8.0.1 verlinkt, was die Serveradresse ist, wenn man per VPN eingewählt ist.
Leider fkt. damit ja dann mein SSL Zertifikat nicht mehr, da es für "www.meinedomain.de" eingerichtet wurde, und die Anmeldung nun ja unter 10.8.0.1:443 geöffnet wird.
Gibt es eine Möglichkeit dies zu realisieren, und dass mein Zertifikat weiterhin gültig ist ?
MfG
Sebastian
Folgende Dienste laufen u.a. daruf: Tomcat , OpenVPN...
Ich habe eine domain, sagen wir www.meinedomain.de .
Momentan ist auf Port 80 ist eine Info Seite erreichbar, unter Port 443 eine per SSL-Zertifikat von THAWTE gesicherte Anmeldung.
Nun soll aber der Port 443 nur erreichbar sein, wenn der User per OpenVPN eingewählt ist...
dies habe ich über die LInux Firewall iptables realisiert, und auf der Infoseite den Link zur Anmeldung auf 10.8.0.1 verlinkt, was die Serveradresse ist, wenn man per VPN eingewählt ist.
Leider fkt. damit ja dann mein SSL Zertifikat nicht mehr, da es für "www.meinedomain.de" eingerichtet wurde, und die Anmeldung nun ja unter 10.8.0.1:443 geöffnet wird.
Gibt es eine Möglichkeit dies zu realisieren, und dass mein Zertifikat weiterhin gültig ist ?
MfG
Sebastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 124494
Url: https://administrator.de/contentid/124494
Printed on: April 19, 2024 at 09:04 o'clock
4 Comments
Latest comment
Ich würde sagen das realisierst du mit vhosts.
Wenn du nen Apache hast, dann hast du auch einen httpd-vhosts.conf die du normal in deiner httpd.conf includen kannst.
Ich denke, wenn wir in diese Richtung denken, könnte das sogar was werden.
Hier mal mein Vorschlag (httpd-vhosts.conf)
Falls du dann noch ganze Verzeichnisse nur über VPN freigeben willst:
So könnte es meiner Meinung nach funktionieren.
Wenn du nen Apache hast, dann hast du auch einen httpd-vhosts.conf die du normal in deiner httpd.conf includen kannst.
Ich denke, wenn wir in diese Richtung denken, könnte das sogar was werden.
Hier mal mein Vorschlag (httpd-vhosts.conf)
NameVirtualHost <öffentliche-ip-addresse:80>
NameVirtualHost <VPN-IP:443>
NameVirtualHost <VPN-IP:443>
#*
#for http://meine.domain.de:80
#*
<VirtualHost öffenltiche IP-Adresse:80>
ServerAdmin webmaster@meinedomain.de
DocumentRoot /www/root/
ServerName meine.domain.de
ServerAlias www.meine.domain.de
ErrorLog logs/meine.domain_log
CustomLog logs/meine.domain.de-access_log combined
</VirtualHost>
#for http://meine.domain.de:80
#*
<VirtualHost öffenltiche IP-Adresse:80>
ServerAdmin webmaster@meinedomain.de
DocumentRoot /www/root/
ServerName meine.domain.de
ServerAlias www.meine.domain.de
ErrorLog logs/meine.domain_log
CustomLog logs/meine.domain.de-access_log combined
</VirtualHost>
#*
#for http://meine.domain.de:443
#*
<VirtualHost VPN IP-Adresse:443>
ServerAdmin webmaster@meinedomain.de
DocumentRoot /www/root/
ServerName meine.domain.de
ServerAlias www.meine.domain.de
ErrorLog logs/meine.domain_log
CustomLog logs/meine.domain.de-access_log combined
</VirtualHost>
#for http://meine.domain.de:443
#*
<VirtualHost VPN IP-Adresse:443>
ServerAdmin webmaster@meinedomain.de
DocumentRoot /www/root/
ServerName meine.domain.de
ServerAlias www.meine.domain.de
ErrorLog logs/meine.domain_log
CustomLog logs/meine.domain.de-access_log combined
</VirtualHost>
Falls du dann noch ganze Verzeichnisse nur über VPN freigeben willst:
#*
<Directory "/www/root/unterweb//">
Order deny,allow
Deny from all
Allow from VPN-IP
</Directory>
- access for VPN
<Directory "/www/root/unterweb//">
Order deny,allow
Deny from all
Allow from VPN-IP
</Directory>
So könnte es meiner Meinung nach funktionieren.
hi knut4linux ,
vielen Dank für deinen Beitrag, das klingt gut...werde das die nächsten Tage mal testen.
Ich hatte auch schon die Idee, dass geprüft wird, ob der User per VPN eingewählt ist, und dann ihn entweder auf die Login Seite weiterleitet, oder eine Meldung bringt, dass er zuerst per VPN sich einwählen muss.Kann man dies auch über Apache irgendwie realisieren ?
Hab mich schon ein bisschen eingelesen... könnte man das über das Apache Module mod_authz_host machen ?
MfG
Sebastian
vielen Dank für deinen Beitrag, das klingt gut...werde das die nächsten Tage mal testen.
Ich hatte auch schon die Idee, dass geprüft wird, ob der User per VPN eingewählt ist, und dann ihn entweder auf die Login Seite weiterleitet, oder eine Meldung bringt, dass er zuerst per VPN sich einwählen muss.Kann man dies auch über Apache irgendwie realisieren ?
Hab mich schon ein bisschen eingelesen... könnte man das über das Apache Module mod_authz_host machen ?
MfG
Sebastian
Dazu habe ich ehrlich gesagt keine Idee. Ich weiß auch noch nicht, was du Grundsätzlich realisieren willst. Was steckt hinter diesem Projekt? Wenn ich da mehr Info hätte, könnte ich vielleicht noch paar ideen einbringen.
Machs gut
Machs gut
hi,
also das Ziel ist folgendes.... ein webserver der von außen nur per port 80 (als webpräsenz) und per port 1194 (openvpn) erreichbar ist. Dies habe ich per iptables realisiert.
Das fkt. auch soweit.
OpenVPN user sollten nach der Einwahl Zugriff auf den Port 443 haben, da darunter eine Java WebApplikation läuft, welche vertrauliche Daten beinhaltet. Fkt. soweit auch.
nach der openvpn einwahl ist der server unter 10.8.0.1 erreichbar, und momentan habe ich den login link auf die adresse 10.8.0.1:443 gesetzt.
Schön wäre es natürlich wenn Apache nun den Zugriff nur für VPN User (haben IPs:10.8.1.0) erlauben würde, und "fremde" user auf eine Hinweisseite leiten würde.
Grüße, und danke für die Hilfe,
Sebastian
also das Ziel ist folgendes.... ein webserver der von außen nur per port 80 (als webpräsenz) und per port 1194 (openvpn) erreichbar ist. Dies habe ich per iptables realisiert.
Das fkt. auch soweit.
OpenVPN user sollten nach der Einwahl Zugriff auf den Port 443 haben, da darunter eine Java WebApplikation läuft, welche vertrauliche Daten beinhaltet. Fkt. soweit auch.
nach der openvpn einwahl ist der server unter 10.8.0.1 erreichbar, und momentan habe ich den login link auf die adresse 10.8.0.1:443 gesetzt.
Schön wäre es natürlich wenn Apache nun den Zugriff nur für VPN User (haben IPs:10.8.1.0) erlauben würde, und "fremde" user auf eine Hinweisseite leiten würde.
Grüße, und danke für die Hilfe,
Sebastian
