Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 769 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy Ausnahme greift nicht, zusammenhängende Frage zur Maskierung

Marc P1

Hallo,

ich habe eine Frage zur Web Protection Ausnahme. Bin noch neu im UTM Bereich und bei einem neuen Arbeitgeber, vielleicht ist die Antwort ganz simpel...

Um sie stellen zu können erstmal mein Szenario:

Ich habe einen Standort A, der ausschliesslich eine MPLS Strecke in unser HQ (Standort B) hat.

Am Standort A habe ich ein Gast WLAN (Cisco Classic mit WLC) aufgebaut. Gäste sollen direkt ins WLAN kommen, einen Hotspot bestätigen und surfen können.

Auf der UTM A habe ich also eine Regel, die besagt, dass das Gast vlan zur UTM B kommunizieren darf / ins Internet, da das default Gateway zur UTM B zeigt.

An der UTM B gibt es eine Regel, die erlaubt das Sourcenetz "Gast vlan von UTM A" ins Internet. Sowie eine Ausnahme der Filteroption für das Subnetz und eine Maskierung des gesamten Standortes wo UTM A steht ins Internet.

Ich kann aber nur surfen, wenn ich den Proxy / User Daten eingebe. Haben Gäste aber natürlich nicht.

Ich dachte dann, dass es ggf. mit einer nicht vorhandenen Maskierung zusammenhängt, aber die brachte keine Änderung. 

Im Webprotection Log von UTM B steht immer die gleiche Source Adresse, die der UTM-A IP im Netz zum MPLS Router an Standort A.  Aber selbst wenn ich für die eine Webprotection Ausnahme einstelle, kann ich nicht ohne Proxy surfen.

Brauche ich an dieser Stelle von A nach B überhaupt eine Maskierung? Was passiert mit der IP wenn nicht? Wird es nicht so oder so zur IP des MPLS Routers?



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Marc,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    I don't understand why the IP of the MPLS router in A would appear in the Web Filtering log in the UTM in A, or do you mean in the UTM in B?  If all traffic with A goes over the MPLS connection with B, I would not use the Web Proxy in UTM A - it's simpler to have UTM B handle all web traffic.  In fact, if A has no direct connection to the Internet, I wonder what value the UTM in A provides.

    You're right, having a Masq rule for 10.30.23.0/24 traffic going via MPLS complicates the picture.  I would configure so that only the two UTMs "know" about the 10.10.23.x subnet - that would require a gateway static route in UTM B like '{10.30.23.0/24} -> {IP of MPLS router in B}'.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Balfson,

    danke fürs willkommen heissen und die Antwort.

    Sorry, habe mich am Ende vertan:

    Das Webprotection Log auf UTM B zeigt natürlich die IP des Standortes A an (auch hier vertan, nicht des MPLS Routers, sondern die UTM-A IP im Netz zum MPLS Router).

    Ändert das etwas an deinem Tipp mit der static route?

  • 0 in reply to Marc P1

    Now, you are using the connection tracker in the UTM at A to get the response traffic from B to the correct device in A.  If you don't do the masq like you are now, site B will need the route in order to get response traffic to devices in A.  Since what you have now works, I wonder if you shouldn't use the IP of the UTM's connection in the route, 10.10.23.1, the IP you're seeing the Web Filtering log in B.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    hm, verstehe ich leider nicht. Sorry :(

    Was macht denn nun diese Maskierung ausser die Source IP an UTM A ändern? Am liebsten hätte ich ja die originale Source IP aus dem 10.30.23.0/24 am Webfilter log in UTM B.

    Zudem steht leider immernoch die Frage im Raum, wieso die WebProtection Ausnahme für alle Netze hinter UTM A (hinter aus sicht von UTM B), nicht greift und ich ausschliesslich mit Proxy surfen kann.

Reply
  • 0 in reply to BAlfson

    hm, verstehe ich leider nicht. Sorry :(

    Was macht denn nun diese Maskierung ausser die Source IP an UTM A ändern? Am liebsten hätte ich ja die originale Source IP aus dem 10.30.23.0/24 am Webfilter log in UTM B.

    Zudem steht leider immernoch die Frage im Raum, wieso die WebProtection Ausnahme für alle Netze hinter UTM A (hinter aus sicht von UTM B), nicht greift und ich ausschliesslich mit Proxy surfen kann.

Children
  • 0 in reply to Marc P1

    Marc, I think you need to get some experienced eyes on your issue.  In terms of the time you're spending, an hour of a consultant's time might be inexpensive.

    I see you're in NRW.  If you're not comfortable with having your reseller help you, send me a private message and I will make 2 or 3 suggestions about people that are Sophos partners in Germany that participate here, so I "know" them to be competent and helpful.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML