Suche fertige reverse Proxy Appliance

[Masamune2]

Hallo zusammen,

kennt jemand eine fertige Appliance am besten mit Weboberfläche die ich als reverse Proxy einsetzen kann? Idealerweise mit Let's Encrypt Integration damit auch automatisch Zertifikate erzeugt werden.

Hintergrund: Wir haben bei vielen Kunden bisher Sophos SG als Firewall im Einsatz die sowas mitbringt. Leider stellt Sophos die SG Serie ein und der Nachfolger XGS bietet diese Funktion nicht mehr an.

 

[d2boxSteve]

Also die XG's/XGS's die ich hier habe können reverse Proxy (benötigt mindestens die "Webserver Protection License"). Von selbst Let's Encrypt machen sie nur nicht, aber man kann die Zertifikate natürlich per Han einspielen.
Das kann sogar die kleinste XGS 87 da die Software auf der Box bei allen die gleiche ist, nur die Hardware ist halt potenter je mehr Geld man ausgibt.

 

[Masamune2]

Ich spiele aber nicht bei allen jetzt alle zwei Monate neue Zertifikate per Hand ein^^
Es gibt wohl auch diverse Versuche über externe Scripte und über die API das Zertifikat automatisch tauschen zu lassen, bisher habe ich da aber noch keine zufriedenstellende "out-of-the-box" Lösung gefunden.

 

[KenshiHH]

Nginx Proxy Manager evtl etwas?

https://nginxproxymanager.com/


https://github.com/NginxProxyManager/nginx-proxy-manager

Nutz es im privaten und bin happy damit

 

[d2boxSteve]

Deswegen hab ich sogar privat ein Wildcard-Zertifikat welches ich nur einmal im Jahr einspielen muss :=)

 

[Hammelkoppter]

Moin,

schau mal bei Fortinet. Die Fortigates können auf jeden Fall Reverse-Proxy und ich hab gerade mal gegoogelt und auch nen Eintrag gefunden, dass die Dinger ab Version 7.0 auch nen ACME Client mitbringen.

https://docs.fortinet.com/document/fortigate/7.0.0/new-features/822087/acme-certificate-support

Grüße

 

[Masamune2]

Fortinet bietet dafür Fortiweb an die ich auch schon benutzt habe. Das wäre auf jeden Fall die Königslösung, bietet aber dann auch viel mehr Funktionen als ich eigentlich bräuchte.

 

[Hammelkoppter]

Die Fortigate (Firewall, nicht die Web) kann auch Reverse Proxy. Die gibt´s auch in vielen verschiedenen Größen. Die wäre mMn ein idealer Ersatz für die SG.

https://www.fortinet.com/de/products/next-generation-firewall

Damit kannste ggf. noch den ein oder anderen Kundenwunsch mit erschlagen z.B. IKEv2 - kann ja die SG leider nicht.

 

[h00bi]

Naja,

kennt jemand eine fertige Appliance am besten mit Weboberfläche die ich als reverse Proxy einsetzen kann?

Wenn es dafür einen Markt gibt, dann bau ich dir das
Raspberry Pi im 1HE 19" Rahmen mit nginx proxy manager.
Aber Spaß beiseite, für sowas banales baut niemand ne eigene Appliance als Produkt von der Stange.
Was dürfte es denn kosten?
Ggf. könnte man überlegen bei einem Custom Serverassemblierer (LS Computer, Servershop Bayern, Mustangsystems o.ä.) ein vorkonfiguriertes Modell auf Abruf zu hinterlegen.
Mit x64 Serverhardware in einer 1 HE 19" Kiste ist man vermutlich so um die 500€ netto los.

 

[nosti]

pfSense/OpenSense mit HAProxy und ACME. Das ganze auf eine PCengines APU geballert...wäre so ziemlich die günstige Lösung die mir einfällt, sofern man die Sense nicht auf vorhandener Hardware virtualisieren möchte.
Vorteil ist, dass man im Bedarfsfall auch Support bekommen kann und zusätzlich bietet z.B. Netgate geeignete Hardwaregeräte an.
Ein Ersatz der SG wäre damit zwar möglich, aber pfSense/OpenSense ist keine UTM. Falls dies gewünscht wird, würde ich auch hier auf FortiGate wechseln.

Grüße

 

[Masamune2]

Ja mit Appliance meinte ich auch eher fertige Software zum selbst installieren. Nginx Proxy Manager erfüllt das schon sehr gut, werde ich die Tage mal testen wenn ich dazu komme.
Ansonsten hätte ich jetzt auch eine OpnSense mit dem ACME Client und HAProxy genommen.

 

[xexex]

kennt jemand eine fertige Appliance am besten mit Weboberfläche die ich als reverse Proxy einsetzen kann?

Fallen mir auf Anhieb zwei ein:

Sonicwall SMA
https://www.sonicwall.com/de-de/products/remote-access/

Es gibt davon auch eine Sonicwall WAF, die hat aber eine ziemlich "bescheidene" Lizensierung. Je nach Webseiteninhalt (Exchange, RDP) benötigt man für die SMA jedoch eine WAF Lizenz.

Barracuda WAF
https://www.barracuda.com/products/application-cloud-security/web-application-firewall

Es dürfte jedoch eigentlich jeder grösserer Hersteller passende Produkte anbieten. Die ex Astaro Produkte auf dem Sophos Portfolio waren mehr als "mittelprächtig".

Die Sonicwall Sachen kannst du dir jederzeit Online anschauen....

https://livedemo.sonicwall.com/products/remote-access/