136423
Apr 09, 2019
1482
4
0
Recaptcha hinter Reverse Proxy
Liebe Community,
ich hätte eine kurze Frage an euch. Ich setze für meine (kleine, gemeinnützige) Firma einen Fileupload Server auf und habe diesbezüglich eine Frage.
Der Fileupload Server ist von "außen" erreichbar, allerdings befindet sich dazwischen noch ein Reverse Proxy und eine Firewall. Der Zugang erfolgt also über die öffentliche IP der Firewall, welche die Anfrage dann über NAT an den Reverse Proxy und von dort an den Fileupload-Server weitergibt. Soweit funktioniert das alles, bis auf die Recaptcha-Funktion des Fileupload-Dienstes.
Ich wollte mir dieses Feature (ich habe noch nicht wirklich Erfahrung damit) bei Google registrieren und musste hierfür den Domain-Name / Servername angegeben. Aber was trage ich ein?
Normalerweise würde ich erwarten, dass der Domain-Name, welche für die Keys angegeben werden muss übereinstimmt mit:
=> Der Adresse im Browser
=> Dem Hostname/FQDN des Fileupload-Servers
Leider kann ich das aber so nicht konfigurieren, aufgrund einer anderen Sache. Das TLS-Zertifikat am Reverse Proxy muss ja auch mit dem in der Adressleiste des Browsers übereinstimmen.
Daher bräuchte ich dann also eigentlich 2 Server mit dem gleichen Namen (Was ja Quatsch ist). Was mache ich falsch/ wo ist mein Denkfehler?
Viele Grüße,
niLuxx
ich hätte eine kurze Frage an euch. Ich setze für meine (kleine, gemeinnützige) Firma einen Fileupload Server auf und habe diesbezüglich eine Frage.
Der Fileupload Server ist von "außen" erreichbar, allerdings befindet sich dazwischen noch ein Reverse Proxy und eine Firewall. Der Zugang erfolgt also über die öffentliche IP der Firewall, welche die Anfrage dann über NAT an den Reverse Proxy und von dort an den Fileupload-Server weitergibt. Soweit funktioniert das alles, bis auf die Recaptcha-Funktion des Fileupload-Dienstes.
Ich wollte mir dieses Feature (ich habe noch nicht wirklich Erfahrung damit) bei Google registrieren und musste hierfür den Domain-Name / Servername angegeben. Aber was trage ich ein?
Normalerweise würde ich erwarten, dass der Domain-Name, welche für die Keys angegeben werden muss übereinstimmt mit:
=> Der Adresse im Browser
=> Dem Hostname/FQDN des Fileupload-Servers
Leider kann ich das aber so nicht konfigurieren, aufgrund einer anderen Sache. Das TLS-Zertifikat am Reverse Proxy muss ja auch mit dem in der Adressleiste des Browsers übereinstimmen.
Daher bräuchte ich dann also eigentlich 2 Server mit dem gleichen Namen (Was ja Quatsch ist). Was mache ich falsch/ wo ist mein Denkfehler?
Viele Grüße,
niLuxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 438429
Url: https://administrator.de/contentid/438429
Printed on: April 26, 2024 at 09:04 o'clock
4 Comments
Latest comment
Moin ...
Aha, die andere Sache ist sicher für die Beantwortung unerheblich
Also ohne die Konfiguration zu kennen kann ich nicht mehr als einen Denkanstoss geben.
Der Proxy dürfte vermutlich als man-in-the-middle fungieren, sprich auf dem wird von ausserhalb das Zertifikat authentifiziert.
Der Fileserver stellt die Verbindung zum proxy her und nimmt dafür z.B. das hauseigene Zertifikat.
VG
Zitat von @136423:
Leider kann ich das aber so nicht konfigurieren, aufgrund einer anderen Sache.
Leider kann ich das aber so nicht konfigurieren, aufgrund einer anderen Sache.
Aha, die andere Sache ist sicher für die Beantwortung unerheblich
Daher bräuchte ich dann also eigentlich 2 Server mit dem gleichen Namen (Was ja Quatsch ist). Was mache ich falsch/ wo ist mein Denkfehler?
Also ohne die Konfiguration zu kennen kann ich nicht mehr als einen Denkanstoss geben.
Der Proxy dürfte vermutlich als man-in-the-middle fungieren, sprich auf dem wird von ausserhalb das Zertifikat authentifiziert.
Der Fileserver stellt die Verbindung zum proxy her und nimmt dafür z.B. das hauseigene Zertifikat.
VG
Hallo Ashnod,
danke für deine Nachricht
=> Ich habe mich unglücklich ausgedrückt. Die "andere Sache" ist die mit den TLS-Zertifikaten. Aus meiner Sicht funktioniert das Recaptcha nicht, weil Adresse im Browser nicht mit dem hostnamen des Servers (auf dem das Recaptcha ausgeführt wird) übereinstimmen. Den kann ich ja aber nicht ändern, weil der Proxy den Namen ja schon hat (für TLS Zertifikate).
Richtig. Und die SSL Konfig funktioniert auch tadellos. Aber wie konfiguriere ich den Recaptcha? Letztlich ist das bei dem Fileupload-Dienst kein Hexenwerk. Man muss wohl nur die Keys und den hostnamen der Recaptcha-Institution eingeben. Aber schätzungsweise scheiterts dann halt an den falschen Keys
Viele Grüße
niLuxx
danke für deine Nachricht
Aha, die andere Sache ist sicher für die Beantwortung unerheblich
=> Ich habe mich unglücklich ausgedrückt. Die "andere Sache" ist die mit den TLS-Zertifikaten. Aus meiner Sicht funktioniert das Recaptcha nicht, weil Adresse im Browser nicht mit dem hostnamen des Servers (auf dem das Recaptcha ausgeführt wird) übereinstimmen. Den kann ich ja aber nicht ändern, weil der Proxy den Namen ja schon hat (für TLS Zertifikate).
Der Proxy dürfte vermutlich als man-in-the-middle fungieren, sprich auf dem wird von ausserhalb das Zertifikat authentifiziert.
Der Fileserver stellt die Verbindung zum proxy her und nimmt dafür z.B. das hauseigene Zertifikat.
Der Fileserver stellt die Verbindung zum proxy her und nimmt dafür z.B. das hauseigene Zertifikat.
Richtig. Und die SSL Konfig funktioniert auch tadellos. Aber wie konfiguriere ich den Recaptcha? Letztlich ist das bei dem Fileupload-Dienst kein Hexenwerk. Man muss wohl nur die Keys und den hostnamen der Recaptcha-Institution eingeben. Aber schätzungsweise scheiterts dann halt an den falschen Keys
Viele Grüße
niLuxx
Normalerweise wird das für die im Browser angezeigte Adresse konfiguriert — denn das Recaptcha-Zeug wird direkt beim Client von Google nachgeladen. Wie dein Netzwerk intern aussieht, ist dafür also vollkommen egal.
Hi,
das ist wirklich ein sehr guter Hinweis.
Letztlich bräuchte also mein Server lediglich eine valide Verbindung für innen und außen?
Liebe Grüße
niLuxx
das ist wirklich ein sehr guter Hinweis.
Letztlich bräuchte also mein Server lediglich eine valide Verbindung für innen und außen?
Liebe Grüße
niLuxx