Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 1351 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfilter-Profile Standardaktion als Ersatzaktion funktioniert nicht

m_vetdoc
Hallo Leute,

wie oben geschrieben will die Ersatzaktion einfach nicht funktionieren.

Aber jetzt mal von vorne.
Ich habe hier keinen AD-Server am Laufen.
Unter Webfilter/Allgemein sind die einzelnen Hosts eingetragen und Proxie läuft im Transparenzmodus, URL-Filterung ist auf blockieren gestellt und keine Kategorie ist zugelassen. Unter Ausnahmen sind die ganzen Server eingestellt, von denen die PCs ihre Updates ziehen sollen.
Laut Hilfe verstehe ich diese Einstellungen als "Standard-Filteraktion" bei den Profilen. Lieg ich da richtig?

So unter Profile ist für jeden Host ein eigenes Profil angelegt. In Ermangelung von was Besserem, hab ich hier Betriebsmodus auf Transparent und Auth-Methode auf Browser stehen.
Ich hab es jetzt so verstanden, dass der Nutzer sich im Browser anmelden muss, um ins INetz zu kommen. Die Ersatzaktion sollte sein, dass der PC sich ohne Nutzeranmeldung die Updates sich selbstständig holen kann.

Leider funzt die Update-Abholung so nicht, surfen ja.

Also hab ich ein extra Profil angelegt, indem alle Hosts unter Quellnetzwerk eingetragen sind und Auth-Methode auf keine steht. Aber auch hier funktioniert die Standard-Aktion nicht.
Erst wenn ich einen Filteraktion anlege, in der alle Update-Server nochmals eingetragen sind, funzt die Update-Abholung.

Es scheint so, dass wenn Profile angelegt sind, die alle Reiter unter Webfilter obsolet sind, bis auf Erweitert. 
Ist das so richtig oder hab ich hier die Profile komplett falsch angelegt?

Wer kann/will mir helfen?
Danke.


This thread was automatically locked due to age.
Parents
  • 0
    Hallo,

    gibt hier im Forum niemanden der mir helfen will/kann/darf?
  • 0 in reply to m_vetdoc
    Hi Alex

    Der normale, bzw. empfohlene Weg wäre wohl eher, dass Du ein Proxy Profil für Dein internes Netz machst mit der Browser Auth, und DAVOR ein weiteres Profil setzst, welche Deine Server und Netzwerkgeräte wie NAS, Switche usw. als einzelne Hosts (bzw. eine Netzwerkgruppe mit den ganzen Hosts drin) als Source Netz hat. Sinnvollerweise sollten alle diese Devices ohne Auth eine Fixe IP Adresse haben.

    Dann kannst Du im Profil, bzw. der zugehörigen Filteraction / Assignement immer noch einschränken, was halt ein Server eben nicht braucht wie ****ographie, Streaming Sites, Webradio etc.

    Der Zweite Weg ist, dass Du global ein Profil machst fürs Netzwerk, und in den Exceptions für die Devices ohne Auth Möglichkeit eben "Authentication" skippst.

    Funktioniert beides.

    [8-)]
  • 0 in reply to Sascha Paris

    Der normale, bzw. empfohlene Weg wäre wohl eher, dass Du ein Proxy Profil für Dein internes Netz machst mit der Browser Auth, und DAVOR ein weiteres Profil setzst, welche Deine Server und Netzwerkgeräte wie NAS, Switche usw. als einzelne Hosts (bzw. eine Netzwerkgruppe mit den ganzen Hosts drin) als Source Netz hat. Sinnvollerweise sollten alle diese Devices ohne Auth eine Fixe IP Adresse haben.

    Dann kannst Du im Profil, bzw. der zugehörigen Filteraction / Assignement immer noch einschränken, was halt ein Server eben nicht braucht wie ****ographie, Streaming Sites, Webradio etc.

    Der Zweite Weg ist, dass Du global ein Profil machst fürs Netzwerk, und in den Exceptions für die Devices ohne Auth Möglichkeit eben "Authentication" skippst.

    Funktioniert beides.


    Sascha danke dass du mir antwortest, nur leider war ich jetzt die letzten Tage nicht online, daher meine verspätete Antwort.

    Leider kann ich deine beiden Wege überhaupt nicht nachvollziehen bzw. ich verstehs nicht - totaler ASG-Newbie.

    Ich beschreib mal, was ich mir vorstelle und umsetzen möchte.
    Es gibt momentan 2 Netze bei uns, Lan-Kinder 192.168.1.0/24 und Lan-intern 192.168.2.0/24, jeder PC/VM hat in seinem Netz eine feste IP.
    Jedes der Kinder darf nur zu bestimmten Zeiten ins INetz, in den Zeiten wo den Kindern der Zugang nicht gestattet ist, soll der PC aber trotzdem die Möglichkeit haben sich Updates zu ziehen. URL-Filter soll die Kinder vor gewissem Schmutz schützen.
    Div. VMs und NAS sollen keine INet Zugang haben, auch kein Updatezugang. Mein PC soll uneingeschränkten Zugang haben.

    Wenn ich jetzt die ASG mir so durchschauen, kommt hierfür nur die Webfilter-Profile in Frage
    Eigentlich würde mir eine Auth per IP-Adresse genügen, aber dann geht die Zeitsteuerung nicht, welche ich nur bei den Kindern brauche.
    Zu Client-Authentifizierung finde ich nichts in der Hilfe, einen Auth-Server hab ich nicht, also habe ich jeden User unter Benutzer & Gruppen angelegt, ob die verschiedenen X.509-Zertifikate zur Auth. genutzt werden können, konnte ich nicht rausbekommen. Bei den Profilen hab ich dann Betriebsmodus: Transparent und Auth-Methode: Browser eingestellt.

    Ich hab jetzt schon so viele Möglichkeiten durchprobiert, dass ich jetzt die Bäume vor lauter Wald nicht mehr sehe und inzwischen eine Kopfblockade habe.

    Sascha kannst du mir mein Brett vor dem Kopf wegnehmen? 
    Gern auch jeder Andere.
  • 0 in reply to m_vetdoc
    So ich hab mal jetzt folgendes gemacht:
    Unter Client-Authentifizierung das MSI-Paket runtergeladen und auf jedem Win7-PC installiert. 
     Unter Fernzugriff/Zugriffsverwaltung das "Client Authentication certificate" heruntergeladen und die Datei auf jedem einzelnen Client zuerst installiert. Überprüfung cmd, dann certmgr -> Vertrauenwürdige Stammzertifizierungsstellen
    Nach Start von AAA Username und Passwort eingegeben. In den Profilen von Browser auf Agent umgestellt und jetzt hab ich schon mal die Browser-Auth weg.

    Bei Webfilter/Allgemein habe ich unter zugelassene Netzwerke nur eine IP eingegeben, welche nicht genutzt wird, Transparenzmodus und Auth=keine.
    Webfilter/URL-Filterung Inhalt blockieren, URLs blockieren=Vertrauenswürdig, bei Kategorien zulassen nichts abgehakt.
    Bei Webfilter/Ausnahmen muss unter Diese Prüfung auslassen Authentifizierung ein Haken sein. Da war offensichtlich mein Fehler drin, denn jetzt funktioniert unter Profile auch die Ersatzaktion:Standard-Filteraktion. Die PCs holen sich jetzt die Updates auch wenn niemand authentifiziert ist.
    By the way: über diese Ausnahmen kann auch z.B. Internet-Radio frei gegeben werden. z.B. Zieldomäne: ^http://swr.[A-Za-z0-9.]

    Jetzt für jeden PC, welcher ins INet darf ein Profil angelegt mit den zugehörigen Zuweisungen und Aktionen ausgestattet.
    Als unterstes/letztes Proxy-Profil hab ich eines angelegt in dem beide Netzwerke, also 192.168.1.0/24 und 192.168.2.0/24 enthalten ist, das als Zuweisung und Ersatzaktion Block all, ohne Auth, eingestellt ist. Dieses Profil soll mir dann alle PCs, die oben nicht als Profil angelegt sind sperren.

    Was jetzt noch zu überprüfen ist, ob es funzt wie gedacht sind die Filterzuweisungen, wo die unterschiedlichen Uhrzeiten den Zugang ermöglichen.
    Ich hab jetzt die Reihenfolge:
    Ferien als Einzelereignis, so-do16-20, fr-sa15-22, sa-so10-22

    Haben sich wieder Fehler eingeschlichen? Wäre super, wenn ein Wissender ein Auge drauf werfen könnte. Danke.
Reply
  • 0 in reply to m_vetdoc
    So ich hab mal jetzt folgendes gemacht:
    Unter Client-Authentifizierung das MSI-Paket runtergeladen und auf jedem Win7-PC installiert. 
     Unter Fernzugriff/Zugriffsverwaltung das "Client Authentication certificate" heruntergeladen und die Datei auf jedem einzelnen Client zuerst installiert. Überprüfung cmd, dann certmgr -> Vertrauenwürdige Stammzertifizierungsstellen
    Nach Start von AAA Username und Passwort eingegeben. In den Profilen von Browser auf Agent umgestellt und jetzt hab ich schon mal die Browser-Auth weg.

    Bei Webfilter/Allgemein habe ich unter zugelassene Netzwerke nur eine IP eingegeben, welche nicht genutzt wird, Transparenzmodus und Auth=keine.
    Webfilter/URL-Filterung Inhalt blockieren, URLs blockieren=Vertrauenswürdig, bei Kategorien zulassen nichts abgehakt.
    Bei Webfilter/Ausnahmen muss unter Diese Prüfung auslassen Authentifizierung ein Haken sein. Da war offensichtlich mein Fehler drin, denn jetzt funktioniert unter Profile auch die Ersatzaktion:Standard-Filteraktion. Die PCs holen sich jetzt die Updates auch wenn niemand authentifiziert ist.
    By the way: über diese Ausnahmen kann auch z.B. Internet-Radio frei gegeben werden. z.B. Zieldomäne: ^http://swr.[A-Za-z0-9.]

    Jetzt für jeden PC, welcher ins INet darf ein Profil angelegt mit den zugehörigen Zuweisungen und Aktionen ausgestattet.
    Als unterstes/letztes Proxy-Profil hab ich eines angelegt in dem beide Netzwerke, also 192.168.1.0/24 und 192.168.2.0/24 enthalten ist, das als Zuweisung und Ersatzaktion Block all, ohne Auth, eingestellt ist. Dieses Profil soll mir dann alle PCs, die oben nicht als Profil angelegt sind sperren.

    Was jetzt noch zu überprüfen ist, ob es funzt wie gedacht sind die Filterzuweisungen, wo die unterschiedlichen Uhrzeiten den Zugang ermöglichen.
    Ich hab jetzt die Reihenfolge:
    Ferien als Einzelereignis, so-do16-20, fr-sa15-22, sa-so10-22

    Haben sich wieder Fehler eingeschlichen? Wäre super, wenn ein Wissender ein Auge drauf werfen könnte. Danke.
Children
No Data
Unfiltered HTML