Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 859 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kein HTTP ohne Web Security / Proxy?

Corain
Guten Morgen,

ich habe eine Frage zur Grundfunktionalität der Astaro.
Ein Kollege von mir hat vor ein paar Tagen einen Astaro SA v7.502 installiert, alles konfiguriert und den Packet Filter eingerichtet.
Er rief mich dann an und fragte warum er keine Verbindung mit dem Browser bekommt. Wir gingen gemeinsam noch einmal alles durch und ich glaubte an ein DNS- oder Packet Filter-Problem. Das Livelog des Packet Filter war aber grün, dennoch konnte mit dem Browser keine Seite geöffnet werden.
Ein Ping auf Google löste auch die Adresse auf, somit war das DNS-Problem auch aus der Welt.

Am Ende riet ich ihm, doch einfach mal zum Spaß den Proxy (also die Web Security) einzuschalten, was ich eigentlich für absurd hielt, aber solche Dinge kommen einem dann einfach wenn man nicht weiter weiß - und siehe da, der Browser bekam eine Verbindung [:O]

Meine Frage ist jetzt, ob die Astaro wirklich nicht nur als Packet Filter Firewall in Verbindung mit IPS genutzt werden kann, sondern immer auch die WebSecurity aktiv sein muss [:S]

Wäre nett wenn mir jemand dazu eine Rückmeldung geben könnte. Ich halte dies nicht für sinnvoll. Die Astaro sollte auch ohne Proxy nutzbar sein, aber vielleicht habe ich ja auch nur eine Einstellung übersehen.

Gruß Corain


This thread was automatically locked due to age.
Parents
  • 0
    Meine Frage ist jetzt, ob die Astaro wirklich nicht nur als Packet Filter Firewall in Verbindung mit IPS genutzt werden kann, sondern immer auch die WebSecurity aktiv sein muss [:S]

    Wäre nett wenn mir jemand dazu eine Rückmeldung geben könnte. Ich halte dies nicht für sinnvoll. Die Astaro sollte auch ohne Proxy nutzbar sein, aber vielleicht habe ich ja auch nur eine Einstellung übersehen.

    Gruß Corain


    Zum Glück hast Du (wo auch immer) nur einen Konfigurationsfehler gemacht. Selbstverständlich kann man die Astaro Firewall auch ausschließlich als Paketfilter nutzen und direkt HTTP/HTTPS per Paketfilter darüber erlauben.

    Als es die HTTPS-Proxy-Funktionalität noch nicht gab, musste man HTTPS sogar ausschließlich über den Paketfilter erlauben, anders ging das gar nicht.

    Ich vermute auch, Du hast irgendeinen Fehler in der Masquerading/NAT-Funktionalität, aber ohne einen direkten Blick darauf zu werfen kann ich so nicht weiterhelfen. Eigentlich ist das ganze sehr einfach zu konfigurieren.

    Eine sehr einfache "Diagnose"-Möglichkeit hat man, indem man auf der Kommandozeile bzw. ssh-Konsole der Astaro einfach mal ein tcpdump mitlaufen läßt. Dann sieht man sofort, ob die HTTP-Pakete auch am ausgehenden Interface Richtung WAN/Internet zu sehen sind, ob die IP-Adressen auch korrekt per NAT umgesetzt worden sind, ob das Routing stimmt, ob die Antwort-Pakete aus dem Internet zurück kommen und ob die Antwortpakete auch wieder mit korrekt umgesetzter IP-Adresse am internen LAN-Interface sichtbar sind.

    Das ganze dauert keine 5 Minuten und schon weißt Du, wo der Fehler liegen muss.

    MfG
    Manuel
Reply
  • 0
    Meine Frage ist jetzt, ob die Astaro wirklich nicht nur als Packet Filter Firewall in Verbindung mit IPS genutzt werden kann, sondern immer auch die WebSecurity aktiv sein muss [:S]

    Wäre nett wenn mir jemand dazu eine Rückmeldung geben könnte. Ich halte dies nicht für sinnvoll. Die Astaro sollte auch ohne Proxy nutzbar sein, aber vielleicht habe ich ja auch nur eine Einstellung übersehen.

    Gruß Corain


    Zum Glück hast Du (wo auch immer) nur einen Konfigurationsfehler gemacht. Selbstverständlich kann man die Astaro Firewall auch ausschließlich als Paketfilter nutzen und direkt HTTP/HTTPS per Paketfilter darüber erlauben.

    Als es die HTTPS-Proxy-Funktionalität noch nicht gab, musste man HTTPS sogar ausschließlich über den Paketfilter erlauben, anders ging das gar nicht.

    Ich vermute auch, Du hast irgendeinen Fehler in der Masquerading/NAT-Funktionalität, aber ohne einen direkten Blick darauf zu werfen kann ich so nicht weiterhelfen. Eigentlich ist das ganze sehr einfach zu konfigurieren.

    Eine sehr einfache "Diagnose"-Möglichkeit hat man, indem man auf der Kommandozeile bzw. ssh-Konsole der Astaro einfach mal ein tcpdump mitlaufen läßt. Dann sieht man sofort, ob die HTTP-Pakete auch am ausgehenden Interface Richtung WAN/Internet zu sehen sind, ob die IP-Adressen auch korrekt per NAT umgesetzt worden sind, ob das Routing stimmt, ob die Antwort-Pakete aus dem Internet zurück kommen und ob die Antwortpakete auch wieder mit korrekt umgesetzter IP-Adresse am internen LAN-Interface sichtbar sind.

    Das ganze dauert keine 5 Minuten und schon weißt Du, wo der Fehler liegen muss.

    MfG
    Manuel
Children
No Data
Unfiltered HTML