Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 38 subscribers
  • Views 1719 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparenter Proxy mit Auth und HTTP/S

x-tec
Hallo Zusammen,

bis Astaro das Captive Portal fürs WLAN veröffentlich würde ich gerne eine ähnliche Funktionalität über den Transparenten Proxy erreichen.

Der User soll sich über den Browser authentifizieren. Eigentlich funktioniert dies alles super, wenn da nicht HTTPS wäre. Das Problem: Wenn ich am Transparenten Proxy nicht HTTP/S Scanning aktiviere, können die User nicht über HTTPS ins internet - es sei denn ich lege eine Paketfilter-Regel an. Nur dann kommen die User Immer über HTTPS ins internet, auch ohne Authentifizierung. Aktiviere ich das HTTP/S Scanning Feature dann wird bei der ersten Anfrage auf den Proxy die Verbindung sofort auf HTTPS umgeschrieben. Das heisst, ein Gast-WLAN User, der sich das erste mal ins Netz hängt und den Browser aufmacht und versucht Google (also unverschlüsselt) aufzurufen bekommt sofort eine Zertifikatswarnung - erst wenn er diese als Ausnahme im Browser festlegt (oder natürlich die Ca in den Browser importiert - was bei Gästen praktisch unmöglich ist) kommt der User auf das Auth-Portal der Astaro.


Ich befürchte eine richtig gute Lösung gibt es im Moment nicht, oder? Kann man evtl. auf der Konsole den Proxy dazu bewegen das Auth-Portal weiterhin auf Port 80 zur Verfügung zu stellen? 

Danke!


This thread was automatically locked due to age.
Parents
  • 0
    Ich hätte dir eine eine andere Lösung vorzuschlagen:

    Ohne Proxy, einfach '{Gast-WLAN} -> Web Surfing -> Internet : zulassen' mit Masqregel.  Dazu, eine NATregel:
    'Gast-WLAN -> Any -> Internet : SNAT von {Unbenutzte 'Zusätzliche Adresse' auf der externe Schnittstelle}'

    Einige von us hier haben das allgemeine Thema von Gastnetzen und HTTP Proxy diskutiert, und danach habe ich eine Zusammenfassung geschrieben.  Wenn Du diese haben willst, klicke meinen Namen an und schicke mir eine E-mail.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Ich hätte dir eine eine andere Lösung vorzuschlagen:

    Ohne Proxy, einfach '{Gast-WLAN} -> Web Surfing -> Internet : zulassen' mit Masqregel.  Dazu, eine NATregel:
    'Gast-WLAN -> Any -> Internet : SNAT von {Unbenutzte 'Zusätzliche Adresse' auf der externe Schnittstelle}'

    Einige von us hier haben das allgemeine Thema von Gastnetzen und HTTP Proxy diskutiert, und danach habe ich eine Zusammenfassung geschrieben.  Wenn Du diese haben willst, klicke meinen Namen an und schicke mir eine E-mail.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    hallo, 

    danke für deine Antwort. Das Problem hier ist jedoch einfach, dass dann keine Kontrolle Stattfinden kann. Es war eigentlich geplant das WLAN Offen zu betreiben und durch die Authentifizierung den Zugang erst freizuschalten..Und selbst mit Verschlüsselung, kann dann Jeder Gast-WLAN Nutzer verbotene Seiten Öffnen
Unfiltered HTML