Reverse-Proxy meldet "Access Denied"

[isential gmbh]

Hallo!

Bisher sind wir ohne den Reverse-Proxy ausgekommen. Nun aber würden wir gerne einen lokal bei uns gehosteten Dienst aus dem Internet verfügbar machen, wozu wir den Reverse-Proxy nutzen wollen.

Als erstes wollten wir die Grundlagen erforschen und haben dazu eine kleine Testumgebung aufgebaut. Diese sollte zunächst einen http-Dienst bereitstellen (kein https, keine Zertifikate usw.), um die grundlegende Einrichtung zu testen bzw. zu verstehen. Später soll alles ausschließlich über https laufen.

Leider gelingt uns aber nicht einmal diese an sich einfache Testumgebung. Hier die Eckdaten:

• Der Server hat die IP-Adresse 192.168.0.206. Dazu haben wir folgendes Netzwerkobjekt angelegt:
  

  Name: webserver-206
  Zone: internal
  Adresse: 192.168.0.206

• Als nächstes folgende Portregel:
  

  ACCEPT
  Quelle: internet
  Ziel: external-interface
  Dienst: http

• In der Reverse-Proxy-Konfiguration folgende Einstellungen vorgenommen:
  

  Servergruppe
  Netzwerkobjekt: webserver-206
  IP-Adresse: 192.168.0.206/32
  Port: 80
  SSL benutzen: Nein

  ACL-Set
  Name: acl-webserver-206
  Typ: dstdomain
  Argument: test.domain.tld
  test.domain.tld ist in der DNS-Verwaltung unseres Internetservers als A-Record angelegt und zeigt auf unsere feste IP-Adresse unserer Firma.

  Sites
  Domainname: test.domain.tld
  Servergruppe: server-webserver-206
  ACL: acl-webserver-206, allow, aktiviert

  Einstellungen
  Modus: HTTP
  Proxy-Port: 80
  SSL-Proxy-Port: 443
  keine Zertifikate

Wenn ich nun die Adresse test.domain.tld im Browser eingebe, bekomme ich folgende Meldung von der Firewall:

    ERROR
    The requested URL could not be retrieved
    The following error was encountered while trying to retrieve the URL: http://test.domain.tld/

        Access Denied.

    Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.
    Your cache administrator is webmaster.

Und wenn ich auf "webmaster" klicke, erhalte ich folgende Info in Form einer vorbereiteten E-Mail:

CacheHost: fw01.domain.local
ErrPage: ERR_ACCESS_DENIED
Err: [none]
TimeStamp: Fri, 22 May 2020 16:59:10 GMT
ClientIP: 93.203.217.209
HTTP Request:
GET / HTTP/1.1
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36 Edg/81.0.416.77
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: de,de-DE;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Host: test.domail.tld

Ich habe mir das Webinar darüber angeschaut sowie das Wiki und kann den Fehler immer noch nicht ausfindig machen. Was mache ich überhaupt falsch hier?

Ich freue mich auf jede Hilfe.

LG

René

[kennethj]

Hallo René,

von wo testet ihr den Aufruf der Webseite - von extern oder von intern?
Wenn es von intern versucht wird, könnte es sein das der HTTP Proxy dazwischen greift.

Gruß

Kenneth

[isential gmbh]

Sowohl als auch – beide Male erhalte ich dieselbe Meldung von der Firewall. Ich finde darüber hinaus keine Logeinträge, die mir hierbei weiterhelfen. Werden Zugriffe von draußen nicht oder anders protokolliert?

Schönen Dank!

René

[isential gmbh]

Nun konnte der Support den Fehler beheben: Es lag ein Fehler in der internen UTM-Datenbank vor, wodurch die ACLs nicht eingetragen wurden, obwohl diese im Backend richtig angezeigt wurden. Keine Chance für "Nicht-Wurzeluser"!

Als u. a. Datenbankprogrammierer fragt man sich, warum man diese Information an zwei Orten speichert – einmal für das Backend und ein zweites für die Funktionsweise der UTM?

Frage: Wie kann ich über die URL test.domain.tld den Webserver intern erreichen, ohne einen A-Eintrag in unserem internen DNS-Server erstellen zu müssen?