Hello,

Du kannst auch Verzeichnisbäume ausnehmen vom Reverse-Proxy-Dienst und sie direkt vom Proxy-Webserver holen.

Das klingt gut, genau das möchte ich ja...

Nur als kurzes Beispiel:

  ProxyPass /index.php !
  ProxyPass /sofortantwort/ ! 	

das würde dazu führen, dass die index.php nicht vom Intern-Webserver geholt werden würde, sondern vom GW-Server. Und alle Ressourcen, deren Path mit /sofortantwort/ beginnt, würden ebenfalls nicht (!) woanders gesucht werden.

Man kann auch mit <files>, <directory>, usw. Behälter bauen, in denen dann die Proxy-Direktiven untergebracht werden. Kommt immer darauf an, was sich zuerst auswirkt.

Der anzuzeigende Content auf dem internen Server liegt unter http://intern/neu Der Reverse-Proxy sollte diesen Bereich nur dann anzeigen, wenn https://externedomain.de/geheim aufgerufen wird. In allen anderen Fällen soll der Content direkt vom Proxy geholt werden.

Das Mappen auf ein anderes Verzeichnis sollte mit

ProxyPassMatch /(geheim)/ http://intern/neu/?$1   ## Statt des 'intern' ggf. die IP nutzen.

funktionieren. Alles was jetzt als
externe_domain.de/geheim/blabla
requestet wird, sollte auf dem internen Webserver mit dem Request
externe_domain.de/neu/blabla
ankommen, vorausgesetzt, Du hat auf dem internen WebServer einen ServerAlias "externe_domain.de" eingerichet. Sonst kann sder Request dort nicht zugeordnet werden und würde an den Default zurückfallen.

Das war vielleicht gestern auch noch ein Restproblem bei Dir.

Wie könnte ich noch nur Unbekannten schon den Zugriff von außen erschweren, wobei sich die gewünschten aber weder per VPN anmelden sollen noch einer festen IP zugeordnet werden können.

Diesen Satz verstehe ich nicht wirklich aber ich rate mal ins Blaue: mit Tokens (Cookies)?
Irgendwie müsstest Du die User wiedererkennbar machen. Aber das käme dann schon einem vorgeschalteten Ticketsystem gleich.

Der interne Server wird zukünftig vom Internet aus erreichbar sein. Für den gewünschten Nutzerkreis soll der Zugriff möglichst einfach sein, für alle anderen möglichst schwer. Ohne mit Zertifikaten und zusätzlichen Logins arbeiten zu müssen, dachte ich das Verzeichnis zu verstecken. Der Zugriff also nur Personen zu ermöglichen, die die URL kennen. Mir ist schon klar, dass die URL weitergegeben werden könnte, aber das ist im Moment zu vernachlässigen.

Auf dem DNS-Server sind Forward-Lookupzonen eingerichtet worden. Eine z.B. heißt firma.local. Dort ist ein A-Eintrag mit dem Namen 'intern' und seiner IP-Adresse angelegt. Auf dem Server (und Clients) ist die Netzwerkschnittstelle so konfiguriert, dass firma.local automatisch als DNS-Suffix angehängt wird. Wenn ich einen Ping auf intern absetze bekomme ich die Antwort von intern.firma.local. Ich hoffe, das hilft Dir weiter.

Ja, dann lag ich mit meiner Vermutung schon richtig, habe aber wahrscheinlich in meinem virtuellen Netz noch einen Punkt (am Ende) vergessen, oder sonstwas falsch gemacht. Ohne Bind (DNS) und DHCP lässt ich das nicht nachstellen. Darum hat es in der realen Umgebung auch nicht funktioniert.

Liebe Grüße
Tom S.