Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

externe HTTPS Seiten werden nicht angezeigt

Hi,
wir sind momentan dabei unseren Proxy auf den Astaro Proxy (ASG V7) umzustellen. 
Die Default HTTP Einstellungen, als auch das angelegte Proxy Profile sollen als Operation mode: Active Directory SSO nutzen. Das Joinen in die Domain hat funktioniert. Der Single Sign On haut auch hin, nur HTTPS Seiten kann ich nicht aufmachen. Die Verbindung läuft immer wieder in einen Connection timeout. Ich hab auch versucht Packet Filter Regeln anzulegen, obwohl man das laut Guide nur im Transparent mode machen muss, das hat aber auch nicht geholfen. Mit Hilfe der Support Tools kann der Name des DC in beide Richtungen aufgelöst werden, weil das wohl hin und wieder ein Problem sein soll. Hat evt. jemand eine Lösung?

Dann gibt es am Rand noch ein kleines Problem: 
ich habe für das Proxy Profile eine Sicherheitsgruppe in der AD angelegt, wie in der Anleitung beschrieben. Hab darauf hin eine User Gruppe im Astaro angelegt, die als Backend membership limit die CN der angelegten Sicherheitsgruppe beinhaltet. Hab dann eine Filter Action angelegt (die so heißt die die Sicherheitsgruppe) und die mit einem Filter Assignment verbunden. Als User/Group hab ich die erstellte Usergruppe angegeben und darauf hin ein Proxy Profile gebaut. Mein AD Benutzer wurde in die Sicherheitsgruppe gesteckt und der Browser mit dem neuen Proxy versehen. Allerdings wird mein Benutzer nicht der Usergruppe zugeordnet, d.h. ich falle in die Default Einstellungen des Proxys und nicht in das Proxy Profile. Hat da evt. noch jemand eine Lösung?

Vielen Dank im Voraus.

LG Susi


This thread was automatically locked due to age.
  • Moin,

    HTTPs kann (noch) nicht über den Proxy gemacht werden. Das ist erst ab 7.400 möglich. Deswegen dafür bitte eine Packetfilter Rule anlegen, die das surfen über Port 81 / 443 erlaubt. Desweiteren müsste bei der Konstellation die Astaro natürlich auch default Gateway sein und der Proxy bei Https nicht verwendet werden.

    Grüße

    Schroeder
  • Danke für die schnelle Antowrt.
    Zwischen unserem internen Netz und dem ASG hängt ein fetter Cisco der sämtlichen Traffic regelt. Ich kann den Astaro also nicht als Gateway angeben, sondern muss den Cisco nehmen. Sonst geht gar kein Inet. Gibt es evt. sonst noch eine Möglichkeit?
  • Jetzt muss ich mal eben fragen: 
    Baut die ASG die Internet Verbindung auf oder wird das über den Cisco gemacht?
  • Halt Kommando zurück ...
    Mein Fehler: HTTPS sollte in deinem Modus möglich sein ....
    Ich teste das nachher mal durch ob ich ähnliches beobachten kann. Wir haben hier nur transparent im Einsatz und damit ist es nicht möglich, da du aber SSO machst muss es an etwas anderem liegen ...
    Wie gesagt ich schau gleich mal

    Grüße

    Schroeder
  • Der Astaro hängt im Inet.
    Also: Internes Netz -> Cisco -> Astaro (anderer IP Bereich) -> ADLS Router -> WWW
  • Mittlerweile klappt das Aufrufen der HTTPS Seiten (außer im Opera). Ich hab im Globalen Proxy Profile den Operation Mode auf Standard gesetzte und nur in den Profilen auf Active Directory SSO gestellt.

    Bleibt nur noch das Problem, dass ich bei den Benutzergruppen der Profile keine AD CNs hinterlegen kann, bzw. kann ich schon, dass zeigt aber keinerlei Wirkung. Hat da noch jemand Erfahrung mit?
  • Susi,

    Do you have 'https' in 'Allowed target services' on the 'Advanced' tab of 'Web Security >> HTTP'?

    Do you have a packet filter rule allowing https from your LAN to 'Any'? If you don't see that, check for one allowing the 'Web Surfing' group; that should contain 'https'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • THX for help. I changed the Default Operation mode to Standard and only the proxy profile is sso now. Everything else doesn't work.
    The last problem is, that the User group bound to Active direcoty cn as allowed user/group in https profile doesn't work. Every user must be add. 

    susi
  • From the Known-Issues list:
    ID08875 7.300 Active Directory Browser makes no sense when groups should be used in HTTP-Proxy
    -----------------------------------------------------------------------------------------------
    Description:  When creating a new AD backend group in Users->Groups with
                  the help of the AD browser, the group will be taken with the
                  complete CN-notation instead of just the first attribute of
                  the DN.
    Workaround:   Either you enter the group name by yourself or you drag it
                  into the groups field via AD browser and delete all but the
                  group name. For example,
                  CN=http_allow_all,OU=internetusers,OU=DE,
                  DC=intranet,DC=local must be http_allow_all. (without a
                  trailing dot)
    Fix:          ---


    I don't know if this is dependent on the Base DN defined in 'Authentication'.

    Gruß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Great! It works fine. Thanks a lot!