ESET ERA über NAT erreichen

Zur zentralen Verwaltung von Sicherheitsprodukten verwendet ESET den ESET-Remote-Administrator (ERA). Steht dieser im Intranet mit NAT-Adressraum, so ist er nicht ganz einfach aus dem Internet erreichbar.

Ich beschreibe hier die notwendigen Schritte, um Remote-Clients dennoch den Kontakt zum ERA-Server zu ermöglichen, ohne eine VPN-Verbindung aufzubauen.

Die Umgebung

  • Serveradresse im Intranet:    era.mynet.local:2222
  • Serveradresse extern:     eraextra.mydomain.com:12345
  • Es existiert ein DNS Record auf eraextra.mydomain.com, der auf die externe IP-Adresse zeigt.
  • Es gibt eine Firewall NAT-Regel, die eraextra.mydomain.com:12345 umsetzt auf era.mynet.local:2222
  • Die externen Clients erhalten ein angepasstes Installerpaket, welches dem Extranet-Client ERA-Server und Port nennt (extraera.mydomain.com:12345)
  • Serverzertifikat für beide Namespaces (mynet.local und mydomain.com).

Server-Zertifikat erzeugen

Dies ist ein wichtiger Schritt. Denn im Standard existiert nur ein Serverzertifikat auf die interne Adresse (mynet.local). Dies konnte ich mit Hilfe des ESET-Supports klären, da die Clients zunächst keinen Kontakt mit dem internen ERA aufnahmen.

Im ERA-Server Admin > Zertifikate > Peerzertifikate > Neu

Hier wird der Einfachheit halber ein * bei Host eingetragen. Besser ist natürlich, interne und externe Adresse explizit im Zertifikat anzugeben.

Im Unterpunkt “Signieren” wird beim self-signed Zertifikat die mitgeliefere ERA-CA gewählt. Passphrase ist das root password der Appliance.

Server-Zertifikat tauschen

Nun muss das neue Server-Zertifikat ausgetauscht werden.

Admin > Servereinstellungen

Unter Verbindung > Zertifikat kann das Zertifikat ausgetauscht werden.

Neues Zertifikat auswählen und mit OK übernehmen.

Der ERA-Server muss nun neu gestartet werden.

 

 

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert