Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1074 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Surfing & Proxy Profile - seltsames Problem

Abyss_X
Hallo zusammen, ich beginne langsam an mir zu zweifeln... aber von vorn.

Wir haben eine neue ASG 220 welche ich momentan für den Live Einsatz vorbereite, in Sachen Web Security habe ich bisher den Transparent Mode genutzt und mit einem Testuser gespielt. Bis dahin lief alles ohne Probleme.

Anschließend habe ich die Active Directory Aut. eingerichtet was auch gut funktioniert hat. Im AD wurde dann 3 Gruppen eingerichtet web_full web_strict und web_standard. Diese habe ich dann als Backend Gruppen in der Astaro eingerichtet.

Jetzt habe ich den Betriebsmodus unter Web Security auf Active Directory SSO gestellt und meine 3 AD Gruppen eingetragen. Soweit so gut, anschließend noch ein Proxy Profil definiert welches auf das Client LAN zeigt sowie die entsprechenden Filterzuweisungen und Filteraktionen.

Das erste Problem war dann das die Filter scheinbar nicht gewirkt haben, ich habe dann testweise WEB.DE - E-Mail - Suche - DSL - De-Mail - Shopping - Entertainment auf allen Filtern im PProfil sowie direkt unter HTTP/S auf Block gesetzt, zugreifen konnte ich trotzdem.

Im zweiten Step habe ich dann den HTTP proxy deaktiviert und im Paket Filter "Web Surfing" deaktiviert und ich kann immernoch lustig im Netz surfen. Hat da jemand eine logische Erklärung für?

Cu, Abyss_X


This thread was automatically locked due to age.
  • 0
    Hallo,

    Zeigt denn das Proxy Log irgendwelche Einträge, wenn der Proxy aktiviert ist? Was ist das default gateway an dem Client? die ASG oder ein anderes Gateway? 

    Grüße

    Achim
  • 0 in reply to AchimSaur
    Hey, an einem Client ist die Astaro das DG, an dem anderen noch das "alte" bei beiden ist allerdings im IE der Proxy (Astaro) hinterlegt.

    Im Live- Protokoll bewegt sich nichts, allein der Paketfilter zeigt das er angeblich die Pakete von meiner IP auf 8080 dropt, was ja auch Sinn macht weil websurfing deaktiviert ist, was nichts daran ändert das Inet trotzdem geht.


    edit. ich habe jetzt auf beiden clients die Astaro als DG eingetragen, keine Veränderung
  • 0 in reply to Abyss_X
    Gut ich denke ich bin einen Schritt weiter, nachdem ich das alte Gateway  vom Netz genommen habe konnte ich auch nicht mehr ins Internet, der Traffic lief also in die Richtung. 

    Ich habe bisher zwar noch keine Erklärung warum, aber ich melde mich falls es weitere Fragen/ Erkenntnisse gibt.

    edit. Kleiner Fehler große Wirkung, der Haken unter "Automatische Suche der Einstellungen" war gesetzt und der ISA hat natürlich weiter seine Proxy Settings gepushed.

    Cu
  • 0 in reply to Abyss_X
    Guten morgen, die Proxy Profile funktionieren mittlerweile wunderbar, ein Frage hätte ich allerdings noch. 

    Wie ermögliche ich jetzt einem nicht Domänenmember einen "Gast" Zugriff ins Internet? Mein Gedanke war unter Web Security -> HTTP/S -> Allgemein -> Benutzer/Gruppen einen Lokalen User hinzu zu fügen und diesen ebenfalls bei den Filterzuweisungen einzutragen.

    Leider klappt das nicht wie gewünscht da keine Username / Password abfrage kommt wenn ich den Browser öffne.

    Cu
  • 0
    (Sorry, I can't get my German-speaking brain to work even though my German-reading brain always works.)

    Normally, I would recommend that a guest not be allowed to plug-in to your network. If you don't have a way to put guests on a separate network, then your solution will work if you carve out a small range of fixed IPs for guests; say 172.20.1.252/30.  Add a new "Guest" profile at the top of the list of Profiles in "Einfache Benutzerauthentifizierung" mode; only the Guest IPs will qualify for this Profile, and the rest of 172.20.1.0/24 will qualify for the original Profile.

    Does that do what you want?

    MfG - Bob
    PS Bitte auf Deutsch weiterhin!
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hey BAlfson, sorry for the late reply. Your sollution is not exact that what i want. Is it not possible to get a username-password request for non-domain-clients in the same subnet as the domain-clients?

    Cu
  • 0 in reply to Abyss_X
    Hallo, ich habe die gewünschte Konstellation jetzt am laufen, für alle die später ähnliches vor haben:

    Web Security -> HTTP/S: 

    Zugelassene Netzwerke: Internal
    Betriebsmodus: Transparent mit Authentifizierung
    Benutzer/Gruppen: ""Gastintenet"" (Testuser)

    Web Security -> HTTP/S-Profile

    Quellnetzwerke: Internal
    Filterzuweisungen: ""je nach Bedarf einrichten""
    Ersatzaktion: default content filter block
    Betriebsmodus: Active Directory SSO


    Wie äußert sich die Konfiguration:

    -User ist Domänenmitglied und der Proxy ist aktiviert = das Proxy Profil greift

    -User ist Domänenmitglied und der Proxy ist deaktiviert = der Transparent Mode mit Anmeldung greift, der User kommt mit seiner Domänenkennung allerdings nicht ins Internet

    -User ist kein Domänenmitglied und der Proxy ist aktiviert = es kommt keine Verbindung zustande

    -User ist kein Domänenmitglied und der Proxy ist deaktiviert = der Transparent Mode mit Anmeldung greift, der User kann sich mit mit den unter "Web Security -> HTTP/S -> Benutzer/Gruppen" Freigaben anmelden

    Cu
Cookie Information Banner