Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Viele viele Fragen...

Hallo zusammen,

diverse Probleme bereiten mir derzeit ziemlich Kopfzerbrechen...

Wie bereits in einem vorherigen Threat meiner Wenigkeit, macht es mir noch immer Probleme mit den Paketfilter-Regeln. Die Regeln die "unter der Haube" gesetzt werden, sind nicht das was ich eigentlich möchte. Genauer gesagt, Ich möchte nur dass HTTP-Verkehr und ICQ (IM) von innen nach aussen kommt, sonst nichts. Logischer Weise sollte man dies bezüglich ja die entsprechenden Paketfilterregeln unter "Network Security -> Paketfilter" einregeln, zumindest wenn es nach meinem Verstehen geht... Problem ist aber dass die Paketfilterregeln ja nicht greifen, da laut Kollege "KKnecht" die Astaro die Regeln ja "unter der Haube" setzt. Wie gesagt bin ich mit diesen Regeln aber nicht zufrieden.

Somit meine erste Frage: 
-> Wo und wie stelle ich denn nun die richtigen Paketfilterregeln ein die am Ende auch wirklich greifen? Bzw. wie macht man das mit den Regeln denn nun richtig? 

-------------------------------------------------------------------------

Nächstes Problem:

ICQ über die Astaro - Gelöst habe ich das Ganze dass mir ICQ als HTTP über den WebProxy Port 8080 zwitschert. Klappt auch soweit wunderbar, ABER die Dateiübertragung nicht [:(] zwar bekommt der Empfänger Bescheid über die Dateiübertragung, aber nach 15 Sekunden kommt schon die Fehlermeldung dass nichts übertragen werden kann.

-> Hat auch dafür jemand eine tolle Lösung? [:)] Sollte ich ICQ vielleicht lieber über den Generic Proxy laufen lassen?

-------------------------------------------------------------------------

Problem Nummer 3:

Anmeldung bei WEB.DE - E-Mail - Suche - DSL - Modem - Shopping - Entertainment - HTTP/S Proxy ist eingerichtet soweit, sollte ja eigentlich klappen, Zertifikat von web.de wird akzeptiert, Benutzername und Passwort richtig, klicke auf den "Login" Button, Der Browser rattert und pam lande ich wieder bei der (leeren) Anmeldemaske.
web.de Mail läuft übrigends über HTTPS, mal so nebenbei erwähnt.

-> Jemand eine Idee wo da das Problem liegt bzw. einen Tipp für die richtige Konfiguration?

--------------------------------------------------------------------------

Zu guter Letzt noch eine kleine Frage zum Virenscanner:

Der Virenscanner ist (mir nicht verständlicher Weise) unter dem Punkt des HTTP/S-Proxy zu konfigurieren (Web Security -> HTTP/S -> Antivirus). So weit so gut funktioniert er ja auch, aber eben nur für HTTP.

-> Sollte der Antivirus denn nicht auch für den Rest wie FTP und Co. greifen? Bei den Dateidownloads hats ja schon mal geklappt was mir auch wirklich sehr gefällt, aber die Konfiguration des Antivirus ist nur für HTTP bzw. ich finde nichts um den Antivirus für andere Dienste zu konfigurieren bzw. hinzuzuschalten, sofern es überhaupt möglich ist. Und falls ja - greift er dann auch für z. B. ICQ wenn ich es über den HTTP-Proxy lasse, bzw. generell für Instant Messenger, und zudem für den Verkehr über die extra Proxy´s wie den Generic Proxy?

--------------------------------------------------------------------------

Nun so weit, so gut..
Ich hoffe da kann mir jemand helfen, ist ja doch ne Menge fragliches Zeugs...
Ich denke auf diese Fragen/Probleme werden noch weitere User stoßen...

Gruß & Dank :-)


This thread was automatically locked due to age.
Parents
  • Das sind wirklich viele Fragen...

    Zu 1
    Also - so intransparent sind die default settings von Astaro nicht.
    Wenn Du  Dich für den Standard Proxy entscheidest (oder POP3 Proxy) dann läuft dieser per default.
    Im Transparent Modus  musst Du die Filterregeln setzen.

    Also ergibt sich die Auswahl: Transparent Proxy oder Standard…
    Im Transparent Modus musst Du die Regeln selber setzen für Port 80 und 443 (https)

    Zu 2
    Für ICQ könntest Du die entsprechenden Ports freigeben…..dann läuft es auch besser 
    (siehe I-Net )

    Zu 3 -> siehe 1 

    Zu 4 
    Proxy für ftp unter ftp Proxy einstellen! – dann scannt er 
    Nein Für die Dateien unter icq geht es nicht (da hilft der Desktopscanner)


    IT
Reply
  • Das sind wirklich viele Fragen...

    Zu 1
    Also - so intransparent sind die default settings von Astaro nicht.
    Wenn Du  Dich für den Standard Proxy entscheidest (oder POP3 Proxy) dann läuft dieser per default.
    Im Transparent Modus  musst Du die Filterregeln setzen.

    Also ergibt sich die Auswahl: Transparent Proxy oder Standard…
    Im Transparent Modus musst Du die Regeln selber setzen für Port 80 und 443 (https)

    Zu 2
    Für ICQ könntest Du die entsprechenden Ports freigeben…..dann läuft es auch besser 
    (siehe I-Net )

    Zu 3 -> siehe 1 

    Zu 4 
    Proxy für ftp unter ftp Proxy einstellen! – dann scannt er 
    Nein Für die Dateien unter icq geht es nicht (da hilft der Desktopscanner)


    IT
Children
  • Hi Iced, hi Itos,

    im transparenten Modus des HTTP/S Proxy brauchst du nur mind. eine Paketregel, wenn du den HTTPS-Traffic nicht mit durch den Proxy scannst. IMHO. Ansonsten geht beides durhc den Proxy ohne eine anzulegende Regel.

    Diese werden richtigerweise von der Astaro unter der Haube gesetzt.

    Für ICQ kannst du ja den Standardport 5190 (?) definieren und über eine Paketregel nach außen lassen. Dabei solltest du unter IM/P2P entweder für deine Clients und ICQ eine Ausnahme setzen oder ganz auf die Kontrolle verzichten.

    Im ICQ-Client (ICQ, pidgin usw.) kannst du ja den zu verwendenden Port angeben.

    Wenn du Seiten mit HTTPS nutzt, dann musst du dir das entsprechende Proxy-Zertifikat in deinen Browser importieren und sehen, dass du beteiligte Seiten mit erwischst oder von Hand dazupackst. So ist es bspw. bei GMX. Das Zertifikat kann ich von der Astaro kommend zulassen, aber für den ganzen ui-Kram muss ich in den Ausnahmen die Seiten manuell dazunehmen.

    Tja, das mit den Virenscanner ist so eine Sache. Ein FR, damit er an einer zentralen Stelle an- und ausgeknipst werdne kann, ist vllt. auch nciht so dolle. Mir reicht es, wenn er sich auf den Scan von HTTP-Traffic konzentriert. Zumal wir noch Desktopscanner verwenden. Und außerdme ist das Rutnerladen von den meisten ausführbaren/entzippbaren Dingen geblockt...

    Damit fahren wir, finde ich, recht gut.
    -- 
    MfG, 

    Steffen
  • Also ergibt sich die Auswahl: Transparent Proxy oder Standard…
    Im Transparent Modus musst Du die Regeln selber setzen für Port 80 und 443 (https)


    Das ist so nicht richtig. Im Transparent Proxy Mode muss auf dem ASG im Packetfilter nur DNS für die Clients erlaubt sein.

    Das Einschalten erzeugt nämlich eine Redirect-Regel, die den Proxy transparent macht indem sie alle Pakete mit Zielport TCP 80 (HTTP) & 443 (HTTPS/SSL, aber nur wenn HTTPS scanning aktiv ist) zum Proxy umleitet. Um aber überhaupt erstmal zu HTTP zu kommen, ist üblicherweise erstmal DNS erforderlich (DNS passiert zuerst am Client!). Darum o.g. Ausnahme einfügen. Wenn HTTPS scanning deaktiviert ist, muss HTTPS/SSL durch die ASG dürfen, daher ist dann auch hier eine Ausnahme erforderlich.

    Tipp: Ignoriert die Einstellung "Full Transparent Proxy" einfach. 99,5% der Anwender wollen stattdessen 'nur' den "Transparent Proxy". Ihr wurdet gewarnt ;-)