Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 25 subscribers
  • Views 4874 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wireless & Proxy

TJHooker74
Hallo Forengemeinde!

Folgendes Anliegen, die Frage ist, ob das überhaupt geht und wenn ja wie:

Bisher gibt es in der hiesigen Installation nur a)verkabelte und b)firmeneigene Windows-PC-Systeme. Diese Systeme bekommen via GPO ihre Proxy-Einstellungen zugewiesen. Der Weg ins Internet führt also ausschließlich über die WebProtection der UTM, wo ich über entspr. Filter wunderbar regeln kann, wer welche Webseiten aufrufen kann. Über eine direkte IP-Verbindung kommen diese Systeme nicht ins Internet, die Network-Protection macht an dieser Stelle dich.

Nun soll es WLan geben, darüber soll allerdings *nur* Internet zur Verfügung gestellt werden, *kein* Zugriff auf das restliche LAN. Gedacht ist es so, dass die User ihre privaten Geräte mit diesem WLan verbinden, sich dann mit ihren Anmeldedaten aus dem LAN authentifizieren (Hotspot mit Backend Authentication) und dann ins WWW können. 

In dieser Konfiguration würde man am Ende eine Firewall-Regel für das WLan erstellen, die dann den Internet-Zugriff ermöglicht. Damit kann ich dann aber - zumindest verstehe ich es bis jetzt so - nicht mehr über Filter steuern, welche Seiten aufgerufen werden können und welche nicht. Über die Firewall-Regel kann ich zwar *Dienste* erlauben oder verbieten (HTTP, HTTPS, SMTP, etc.) jedoch nicht mehr.

Ich suche nun also eine Möglichkeit, die "Network Protection" und die "Web Protection" irgendwie miteinander zu verknüpfen. Die Benutzer sollen sich wie üblich am Wlan anmelden, eine IP-Adresse zugewiesen bekommen und dann ohne weiteres Zutun aber *gefiltert* surfen können.

Geht das?

Vielen Dank im Voraus!

TJ


This thread was automatically locked due to age.
Parents
  • 0
    Hallo!

    Danke!

    Ich habe jetzt wie angeregt ein neues Profil für mein WLAN angelegt und dort als Authentifizierungsmethode "Browser" angegeben. Verbindet man sich nun mit dem WLAN, werden Benutzername und Passwort abgefragt, so wie ich es mir vorgestellt hatte. 

    Den Hotspot, den ich für das WLAN ebenfalls konfiguriert hatte, kann ich dann wieder löschen? Dessen Startseite erscheint jetzt nämlich nicht mehr...

    Nun bekommen die User allerdings noch eine Zertifikatswarnung, für die Login-Seite, die die UTM präsentiert. Ich habe zwar ein "echtes" Zertifikat in der Box, aber die hier genutzte URL steht da natürlich nicht drin. Kann man diese URL in der UTM irgendwo anpassen?

    Danke im Voraus!

    TJ
  • 0 in reply to TJHooker74
    Hello again!

    Bzgl. der Zertifikatswarnung habe ich gerade herausgefunden, dass ich in der Box zwar den Host, also das "fw-notify.net" ändern kann, das "passthrough" wird aber auch vor den so geänderten Domainnamen gesetzt. Aus "passthrough.fw-notify.net" wird so "passthrough.meindedomain.tld". Da ich aber kein Wildcard-Zertifikat habe, passt es bei mir dann trotzdem nicht. Das ist blöd.

    Ich komme daher zurück auf meinen ersten, allerdings vermtl. falschen Ansatz.

    Ursprünglich hatte ich:
    - in dem für das WLan angelegte Web-Filter-Profil nicht "Browser" sondern "AD SSO" als Authentifizierung ausgewählt
    - einen Hotspot für dieses WLan angelegt und dort "Backend Authentification" ausgewählt

    Mein Gedanke dazu war, dass der Hotspot ein Eingabefeld für Benutzernamen und Kennwort präsentiert (tut er auch), man hier seine AD-Zugangsdaten eingibt, und diese dann an den Proxy weitergereicht werden (passiert offenbar nicht), damit dort die richtigen Filter gezogen werden. 

    Für die HotSpot-Seite wird kein Zertifikat benötigt und es gibt ergo auch keine Warnung wenn es fehlt. 

    Kann man über diesen Weg irgendwie doch um das Zertifikatsproblem herum kommen?

    Danke im Voraus!

    TJ
Reply
  • 0 in reply to TJHooker74
    Hello again!

    Bzgl. der Zertifikatswarnung habe ich gerade herausgefunden, dass ich in der Box zwar den Host, also das "fw-notify.net" ändern kann, das "passthrough" wird aber auch vor den so geänderten Domainnamen gesetzt. Aus "passthrough.fw-notify.net" wird so "passthrough.meindedomain.tld". Da ich aber kein Wildcard-Zertifikat habe, passt es bei mir dann trotzdem nicht. Das ist blöd.

    Ich komme daher zurück auf meinen ersten, allerdings vermtl. falschen Ansatz.

    Ursprünglich hatte ich:
    - in dem für das WLan angelegte Web-Filter-Profil nicht "Browser" sondern "AD SSO" als Authentifizierung ausgewählt
    - einen Hotspot für dieses WLan angelegt und dort "Backend Authentification" ausgewählt

    Mein Gedanke dazu war, dass der Hotspot ein Eingabefeld für Benutzernamen und Kennwort präsentiert (tut er auch), man hier seine AD-Zugangsdaten eingibt, und diese dann an den Proxy weitergereicht werden (passiert offenbar nicht), damit dort die richtigen Filter gezogen werden. 

    Für die HotSpot-Seite wird kein Zertifikat benötigt und es gibt ergo auch keine Warnung wenn es fehlt. 

    Kann man über diesen Weg irgendwie doch um das Zertifikatsproblem herum kommen?

    Danke im Voraus!

    TJ
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?