Vorgelagerte Authentifizierung für diverse Webdienste

[Thomas_L]

Hallo in die Runde,

ich bin neu bei OPNsense und hier im Forum und hoffe ich blamiere mich nicht gleich mit meiner ersten Frage. Sonst bitte ich um Hinweise wie ich es besser machen kann. Die SuFu konnte mir leider nicht helfen.

Was möchte ich erreichen:

Beispiel: Eine Haustechnik Verwaltungs-Webseite oder eine Kameraüberwachung soll von außen erreichbar sein via Webbrowser (d.h. nicht mit einer automatischen Funktion). Um diese zusätzlich abzusichern würde ich gerne eine HTTP(S) Authentifizierung vorlagern. Also nur wenn man sich hier richtig anmeldet kommt man weiter zur eigentlichen Webseite. Die Authentifizierung soll / muss nicht durchgereicht werden, soll also unabhängig mit einem auf der Firewall eingerichteten Benutzer erfolgen.

Man kann sowas natürlich auch über ein VPN lösen. Die Vor-Authentifizierung wäre nur einfacher für die verschiedensten Anwender bzw. Endgeräte.

Geht so etwas überhaupt? Ist ein Reverse Proxy überhaupt die richtige Anwendung für so etwas?

Idealerweise würde ich auch gerne vom Internet zur Firewall mit HTTPS arbeiten und dann mit HTTP weitergehen falls die dahinterliegende Anwendung keine Verschlüsselung unterstützt.

Ich könnte mir auch vorstellen dass eine Portweiterleitung erst freigeschaltet wird wenn sich die Quell-IP zuerst über so eine HTTP(S) Authentifizierung anmeldet. Ich habe aber keine Ahnung ob so etwas überhaupt machbar ist bzw. ob das sinnvoll ist.

Ich hoffe das war soweit verständlich und ich freue mich über jede Hilfe - Vielen Dank!

Ich wünsche euch einen schönen Tag und bleibt gesund!

Thomas

[glashouse]

Guten Morgen,

da fallen mir spontan HAProxy / Nginx mit Basic-Auth ein, wenn alles auf der Firewall passieren soll.
Du kannst hier in jedem Fall aus dem Internet per HTTPS erreichbar sein und es intern als plain HTTP weitergeben.

Ob das für Deine Aufgabenstellung / Deine Anwender die beste Lösung ist kann ich aufgrund der vorhanden Informationen nicht beurteilen. Es ist auf jeden Fall einfach umzusetzen.

Netter ist so etwas natürlich mit einem zweiten Faktor; hier ist der Aufwand größer und Du wirst nicht alles auf Deiner Firewall abbilden können oder wollen.
Stichworte hierzu währen Authelia + Nginx, oder auch nett Authentik.

[Thomas_L]

Hallo glashouse,

vielen Dank für deine Antwort. Das habe ich gestern schon versucht.
Es kam aber keine Aufforderung zur Kennworteingabe.

Ich habe es lt. Doku versucht: (https://docs.opnsense.org/manual/how-tos/nginx_basic_auth.html)

Credential anlegen => in User List => Location bei Basic Credential List eingetragen.
Was muss hier bei "Basic Authentication" eingetragen werden?

Habe ich sonst noch etwas bei den Einstellungen übersehen?

nginx ist aktiviert und wurde mehrfach neu gestartet. Es kommt einfach gleich die dahinter liegende Webseite, ohne Authentifizierung.

Vielen Dank für Deine / Eure Hilfe!

Thomas

[Thomas_L]

Hallo die Runde,

Ich habe meinen Fehler gefunden. Zum Testen habe ich immer auf die IP Adresse von extern zugegriffen und den Server mit einem Hostnamen angelegt. Anfängerfehler :-(

Jetzt geht dieser Weg. Vielen Dank!

Gibt es noch eine bessere Lösung das zu machen?

Als nächsten werde dann mal das große Thema Exchange Server absichern anschauen.

Schöne Grüße und gesund bleiben!

Thomas

[Cerberus]

Du kannst statt Basic Auth auch Zertifikate machen. Falls du ein Windows Netzwerk hast, könntest du automatisch Zertifikate ausrollen und darüber das Auth machen, das funktioniert und in meinen Tests merken sich die Browser sogar was du als Zertifikat ausgewählt hast und machen das zukünftig automatisch.

Bezüglich Exchange mach dir mal nicht soviel Hoffnung, mit dem pre auth wird das nix, ich glaube das würde man nur mit ADFS und WAP hinbekommen.