RED 15 - Webproxyfilter - Transparenzmodus-Ausnahme zieht nicht

Hallo Leute,

wir haben in der Kopfstelle eine UTM SG135 und in diversen Aussenstellen RED15 im Einsatz.

Die REDs sind im Standardmode angebunden. WebProtection im Transparentmodus inkl AD-SSO ist im Einsatz. In diversen Aussenstellen stehen Windows-Clients für Bildschirm-Werbung, welche eine dauerhafte Internetanbindung benötigen. Da an diesen Clients keine Authentifizierung durch einen User möglich ist, habe ich diese in den Transparenzmodus-Ausnahmen hinterlegt.

Die Clients, die direkt im Netzwerk hinter der UTM hängen bekomme eine Internetverbindung ohne Authentifizierung. 

Die Clients, welche sich hinter den REDs befinden, bekommen keine Internetverbindung. Ansonsten funktionieren die Netze hinter den REDs ohne Probleme. Sowohl WLAN-Clients als auch kabelgebundene Clients kommen per Authentifizierung ins Internet.

 

Hat jemand noch eine Idee ?

Wink

  • Hallo,

     

    Schwierig: 

     

    https://community.sophos.com/kb/zh-cn/116573

     

    Standard / Split

    Standard / Unified? 

     

    Transparent Mode Skiplist greift nur für 443 / 80 Traffic. 

    Dieser muss erst einmal an der UTM ankommen. In Standard / Split ist der Breakout bei der RED, dadurch kommt der Traffic nicht an. 

     

    Skiplist Standard / Unified greift auf IP Basis.

     

    Die Clients arbeiten mit Standard oder Transparent Proxy? Also 8080 oder 80/443? 

     

  • In reply to ManBearPig:

    Die REDs arbeiten alle im Standard / Unified Mode.

    Der Webfilter arbeitet im Tranparenzmodus mit AD-SSO. Am Client selber ist keine Proxykonfiguration vorgenommen worden.

  • In reply to ManBearPig:

    Hi,

    in den KBAs wird doch auf eine Browserkonfiguration hingewiesen, welche für die Userauthentifizierung berücksichtigt werden soll.

    Eine Benutzerauthentifizierung soll ja nicht stattfinden, deswegen ja die Hinterlegung als als Ausnahme vom Transparenz-Modus.

    VG

  • In reply to Chris Birnstiel:

    Hallo,

     

    dann einmal anders gefragt:

     

    Ist bei einem Zugriff von einem Client, der in der Skiplist ist, Logzeilen im http.log? 

    Sollte ein Client hier aufgelistet sein, darf im HTTP.log nichts erscheinen, sondern im packetfilter.log. 

     

    Das sollte als erstes verifiziert werden.

  • In reply to ManBearPig:

    Wenn das Windows-Clients sind kannst Du auch mit dem 'Client Authentication Program' (Definitions & Users / Client Authentication) arbeiten. Damit wird die angemeldete Sitzung über einen User authentifiziert.

    Wie Luca schon richtig geschrieben hat wird durch einen Eintrag in der Skiplist nur der Proxy übergangen, wenn kein ausgehender http/s Verkehr für die Quellsysteme im Packet Filter erlaubt ist, dann kommen die Geräte nirgends hin. Eventuell auch noch nach der Masquerading Regel für's RED-Netz schauen.

  • In reply to kerobra:

    Hallo,

     

    ich kann auf den genannten Clients auch per Browser keine Webseiten aufrufen. Der Teamviewer erhält ebenfalls keine Verbindung.

    Im Webfilterlog taucht zu den Clients nichts auf. Im Firewalllog sehe ich z.B. wie die Client-IP versucht, den Teamviewerserver zu erreichen.

    Eine NAT-Regel für das RED-Netzt habe ich bis jetzt nicht eingerichtet.

     

    Wie gesagt, nehme ich mein MAC-Book / iPad / iPhone / Win10-Notebook kann ich in dem Netz ohne Probleme surfen, egal ob per WLAN oder Ethernet.

  • In reply to Chris Birnstiel:

    Na aber wie ich das bisher verstanden habe nutzen die übrigen Clients die Authentifizierung über AD-SSO,  bzw. den Browser als Fallback, was aber auf den Werbegeräten nicht funktioniert, weil sie keinen AD-User zur Authentifizierung benutzen (vermutlich auch nicht im AD sind?).

    Sonst habe ich Dein Problem bisher komplett falsch verstanden.

    Die Clients, die über den Proxy rausgehen brauchen keine Firewallregeln, eben weil sie den Proxy benutzen. Ausnahmen in der Skiplist bewirken, dass für diese Clients der Proxy nicht eingreift, bei den anderen erkennt er den Webtraffic transparent. Du hast für die Werbesysteme zwei Möglichkeiten, Du nutzt entweder einen anderen Authentifizierungsmechanismus (eben die lokal zu installierende Software), über den sie sich wieder am AD authentifizieren können (im Prinzip ihre IP freischalten, daher ist die Client Authentication Software nicht für Terminalserver geeignet). In dem Fall musst Du die Einträge in der Skiplist wieder löschen.

    Variante 2 ist, dass Du die Einträge in der Skiplist belässt, dann musst Du den Rechnern das Surfen explizit über eine Firewallregel erlauben, der Webtraffic wird dann aber komplett durchgelassen, nichts mehr gescannt. Manchmal geht es nicht anders, sonst wäre aber Variante 1 zu bevorzugen.

    WENN Du Variante 2 nimmst muss das RED-Netz in Richtung Internet mit einer Masqueradingregel arbeiten. Wenn man den kompletten Traffic durch den Proxy jagt braucht man keine, daher hatte ich darauf hingewiesen, dass Du bei Verwendung der Skiplist eine brauchen wirst. Zumindest, wenn die UTM auf ihrem Interface mit Default Gateway eine öffentliche IP hat. Sollte zwischen UTM und Internet noch ein anderer Router von Dir sitzen, der ausgehenden Traffic mit NAT behandelt brauchst Du wiederum kein Masquerading.

  • In reply to kerobra:

    Vielen Dank euch allen für die Unterstützung.

     

    Ich habe den Host jetzt in den Firewallregeln bei den anderen Netzen hinterlegt. Seit dem zieht der Client auch Daten aus dem WAN. Habe somit die Variante 2 von Kerobra teilweise umgesetzt.

    Eine explizite Masqueradingregel für die RED habe ich nicht hinterlegt. Lediglich das LAN der UTM hat in Richtung WAN eine entsprechende Regel.

    Big Smile Idea