Gmail,ICloud und Whatsapp gehen nicht über die UTM Firewall

Question

Hallo zusammen, 
 
 wir besitzen im Unternehmen eine Sophos Utm 9 Firewall mit der Firmware version: 9.703-3. 
 Seit dem ich im Unternehmen bin gehen unter anderem Gmail, ICloud und Whatsapp Aktualisierungen nicht. 
 War soweit kein Problem, nun m&ouml;chte nun einer unserer Gesch&auml;ftsf&uuml;hrer sein Gmail + ICloud E-Mailkonto im Outlook hinzuf&uuml;gen, was leider nicht funktioniert. 
 Ich hab mich mal erst ans Gmail rangemacht und hab festgestellt, dass mehrere IPs von Gmail bzw. Google im Livelog per Default Drop regelt verworfen werden, dass Problem ist nach gef&uuml;hlt jedem Freigeben einer IP, kommt eine neue hinzu.. 
 Gibt es eine M&ouml;glichkeit, dies eleganter zu l&ouml;sen? 
 F&uuml;r Tipps w&auml;re ich euch sehr dankbar. 
 
 Danke + Viele Gr&uuml;&szlig;e 
 Mazlum

Bepo · Accepted Answer

Guten Morgen Mazlum, 
 
 wir haben diesselbe "Problematik" bei uns. Generell ist Whatsapp sowie s&auml;mtliche Cloud-Dienste etc. bei uns nicht erlaubt. 
 Jegliche Web-Surfing Kommunikation wird im Firewall-Regelwerk nur explizit erlaubt. Wir haben also keine Regel: 
 Interne Netzwerke mit Websurfing ins Internet frei. 
 
 All unsere Benutzer kommen nur durch Angabe des Webproxy + mit Authentifizierung (Active Directory) ins Internet. 
 Hier kann man dann auch filigranere Exceptions und Regeln definieren. 
 
 F&uuml;r Whatsapp haben wir ein separates WLAN Network f&uuml;r unsere iPhones erstellt, 
 das mit folgenden Regeln auch abseits des Proxy ins Internet darf:

Anstatt IP-Adressen freizugeben kannst du auch DNS-Host Objekte anlegen und diese im Firewall-Regelwerk verwenden. 
 Hier ein Beispiel f&uuml;r de IMAP, POP und SMTP Hosts der Telekom:

nd · Answer

Hallo, 
 Sch&ouml;n geschrieben, aber d&uuml;rfte man auch etwas zu den definierten Firewallregeln / Webfilter erfahren? ;) 
 Meine Erfahrung war, dass wenn man in der Default Firewallregel f&uuml;r "websurfing" (service) mit Whatsapp teilweise keine Verbindung hinbekommt und es tats&auml;chlich geblockt wird; vom Webfilter und den Kategorien her, konnte ich hier bisher keine Einschr&auml;nkung feststellen, deswegen vermute ich, dass das Problem evtl in der Firewall(regel) zu suchen sein k&ouml;nnte....ohne nun was &uuml;ber eure Konfiguration zu wissen. 
 Und du hast ja bereits das LogFile entdeckt und den Fehler eigentlich gefunden.... ;) 
 Wenn du hier generell mehr erlauben willst, was clientseitig in Richtung Internet geht, dann k&ouml;nntest du die Firewallregel anpassen und den Service "websurfing" durch "any" und als Ziel "Internet ipv4" ersetzen. Dies ist nur ein Beispiel f&uuml;r eine Definition, welche in Richtung Internet ALLES erlaubt: 
 
 Und ja, wenn es weiterhin und begr&uuml;ndet eingescr&auml;nkt sein soll, dann f&uuml;hrt kein Weg daran vorbei, hier filigrane Definitionen zu pflegen f&uuml;r Quellen, Services, Ziele, etc. Zus&auml;tzlich auch l&auml;sst sich der Content des nutzbaren Internets auch via Webfilter steuern. 
 
 LG