Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 857 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kein HTTP ohne Web Security / Proxy?

Corain
Guten Morgen,

ich habe eine Frage zur Grundfunktionalität der Astaro.
Ein Kollege von mir hat vor ein paar Tagen einen Astaro SA v7.502 installiert, alles konfiguriert und den Packet Filter eingerichtet.
Er rief mich dann an und fragte warum er keine Verbindung mit dem Browser bekommt. Wir gingen gemeinsam noch einmal alles durch und ich glaubte an ein DNS- oder Packet Filter-Problem. Das Livelog des Packet Filter war aber grün, dennoch konnte mit dem Browser keine Seite geöffnet werden.
Ein Ping auf Google löste auch die Adresse auf, somit war das DNS-Problem auch aus der Welt.

Am Ende riet ich ihm, doch einfach mal zum Spaß den Proxy (also die Web Security) einzuschalten, was ich eigentlich für absurd hielt, aber solche Dinge kommen einem dann einfach wenn man nicht weiter weiß - und siehe da, der Browser bekam eine Verbindung [:O]

Meine Frage ist jetzt, ob die Astaro wirklich nicht nur als Packet Filter Firewall in Verbindung mit IPS genutzt werden kann, sondern immer auch die WebSecurity aktiv sein muss [:S]

Wäre nett wenn mir jemand dazu eine Rückmeldung geben könnte. Ich halte dies nicht für sinnvoll. Die Astaro sollte auch ohne Proxy nutzbar sein, aber vielleicht habe ich ja auch nur eine Einstellung übersehen.

Gruß Corain


This thread was automatically locked due to age.
  • 0
    Hi,

    ist das Masqueradgin LAN --> WAN aktiv? (Network Security --> NAT)

    Gruess
    r2k
  • 0
    Hey r2k,

    zum Test hatten wir auch das Masquerading LAN -> WAN eingestellt, brachte aber keine Änderung. Nur die Aktivierung des Proxy änderte dies.
  • 0
    Meine Frage ist jetzt, ob die Astaro wirklich nicht nur als Packet Filter Firewall in Verbindung mit IPS genutzt werden kann, sondern immer auch die WebSecurity aktiv sein muss [:S]

    Wäre nett wenn mir jemand dazu eine Rückmeldung geben könnte. Ich halte dies nicht für sinnvoll. Die Astaro sollte auch ohne Proxy nutzbar sein, aber vielleicht habe ich ja auch nur eine Einstellung übersehen.

    Gruß Corain


    Zum Glück hast Du (wo auch immer) nur einen Konfigurationsfehler gemacht. Selbstverständlich kann man die Astaro Firewall auch ausschließlich als Paketfilter nutzen und direkt HTTP/HTTPS per Paketfilter darüber erlauben.

    Als es die HTTPS-Proxy-Funktionalität noch nicht gab, musste man HTTPS sogar ausschließlich über den Paketfilter erlauben, anders ging das gar nicht.

    Ich vermute auch, Du hast irgendeinen Fehler in der Masquerading/NAT-Funktionalität, aber ohne einen direkten Blick darauf zu werfen kann ich so nicht weiterhelfen. Eigentlich ist das ganze sehr einfach zu konfigurieren.

    Eine sehr einfache "Diagnose"-Möglichkeit hat man, indem man auf der Kommandozeile bzw. ssh-Konsole der Astaro einfach mal ein tcpdump mitlaufen läßt. Dann sieht man sofort, ob die HTTP-Pakete auch am ausgehenden Interface Richtung WAN/Internet zu sehen sind, ob die IP-Adressen auch korrekt per NAT umgesetzt worden sind, ob das Routing stimmt, ob die Antwort-Pakete aus dem Internet zurück kommen und ob die Antwortpakete auch wieder mit korrekt umgesetzter IP-Adresse am internen LAN-Interface sichtbar sind.

    Das ganze dauert keine 5 Minuten und schon weißt Du, wo der Fehler liegen muss.

    MfG
    Manuel
  • 0
    Schon mal vielen Dank für die schnelle Antwort Manuel.

    Ich saß leider auch nicht direkt vor dem Gerät, aber der Kollege ist nicht unfähig und ich bin mit ihm alles Schritt für Schritt durchgegangen, aber wie Du schon sagst ... ohne es selbst zu sehen ist es sehr schwierig die Sachen hier auszuschließen.

    Im Packetfilter hat er eine Any-Any-Any-Regel angelegt, die konnte also auf jeden Fall nicht das Problem sein. Auch dass er eine Auflösung der URL bekommen hat, war halt sehr verwunderlich.

    Ich schaue mir das Ganze nochmal hier auf unserem ASG an, vielleicht kann ich es dann besser nachvollziehen.
    Auf jeden Fall ist es schon mal gut zu wissen, dass es wahrscheinlich ein NAT Problem ist, also werde ich da als erstes einmal suchen.

    Gruß und Dank
    Corain
  • 0
    ich wage ja kaum das anzuregen, aber die einfachste loesung waere ein fehlendes (oder falsches) default gateway - hat der ping auf google nur aufgeloest, oder auch ein reply bekommen...

    zum proxy: eigentlich noch "schaerfer": nach neuem lizenzmodell kann web-proxy ohne entsprechende subscription gar nicht mehr genutzt werden, auch nicht ohne av, cf etc..

    gruss
  • 0
    Nein, default gateway wurde mit DHCP richtig mitgegeben.
    Ping hat nur aufgelöst, jedoch kann dies noch andere Gründe haben, da Ping und ICMP (wenn ich mich recht erinnere) standardmäßig deaktiviert sind und anscheinend ab irgendeinem SP oder Patch von Windows XP auch in der Windows Firewall der Ping geblockt wird ... deshalb wollte ich das mal nicht als Referenz nehmen.

    Ich glaube im Endeffekt habe ich die Lösung: Es war wohl eine Kombination aus falschen bzw. fehlenden Einstellungen. Der Kollege hat immer nur eins probiert und wenn das nicht geholfen hat, die Einstellung wieder rückgängig gemacht.
    Könnte durchaus sein, dass das Masquerading und die richtige Subnetmask nie zusammen aktiviert waren ...

    Auf jeden Fall nochmals danke für die schnelle und geduldige Hilfe.

    P.S.: Das mit dem neuen Lizenzmodell hab ich gelesen, interessiert hier aber nicht, da wir in der Fa. auf jeden Fall den Proxy brauchen und @home gibt's natürlich die Free Edition.
    Richtig geil find ich den Ausblick auf den neuen WLAN AP, aber ich hätt mir mal mehr Infos darüber gewünscht ... aber privat möchte ich wohl nicht wissen was das Kosten soll.
    Und ich hätte doch so gern endlich eine Astaro Lösung mit der ich meinen Router ablösen kann (und die nicht 50W+ verbraucht) *träum*
  • 0 in reply to Corain
    Was war denn damals das problem bez. Konfiguration? Ich sietz nämlich vor dem gleichen Problem und komme nicht weiter,
    LG Jörg
Unfiltered HTML