Hallo,
ich administriere im Moment eine ASG 220 mit Firmware-Version 8.301.
Folgendes Szenario:
- Es gibt ein Server-LAN (10.1.1.0/24) und Client-LAN (192.168.100.0/24).
- Die Clients sind alle Thin-Clients, die auf Terminal Server arbeiten. Davon gibt es 5 Stück (10.1.1.10, 10.1.1.11, 10.1.1.12, 10.1.1.13, 10.1.1.14)
- Ebenfalls vorhanden ist ein AD
Kommen wir nun zur Astaro:
User werden per Single Sign On authentifiziert, damit sie den Browser nutzen können. Die Settings im IE werden über das AD verteilt und sind im Client nicht änderbar. Im Hintergrund arbeiten noch diverse Webfilter, die zwischen Geschäftsführer, Marketing etc. unterscheiden. Einfach um bestimmte Seiten zu blockieren. Der Webfilter steht auf Standard --> Authentifizierungsmodus: SSO.
Jetzt zum Problem:
Alle User arbeiten auf den Terminal-Servern. Das ist soweit okay. Das Internet nutzen Sie über den IE mit den definierten Filtern, um zu unterscheiden. Soweit keine Probleme. Allerdings müssen wir Port 80 sperren, damit die Clients den Proxy nicht umgehen können. Oder anders ausgedrückt: Keiner soll sich zb. eine Portable Firefox Version laden und damit den Proxy umgehen können. (er muss einfach keinen eintragen).
Port 80 können wir allerdings nicht für alle Terminal Server sperren, da dort Dienste laufen, die über Port 80 auf Internetquellen zugreifen müssen. Lasse ich die Sperre für die Terminal-Server also drin, kann zwar kein Client den Proxy umgehen, aber die Terminal-Server können nicht vollständig kommunizieren. Nehme ich die Sperre raus, habe ich das Problem der Proxy-Umgehung.
Hat jemand eine Lösung, wie man das eventuell Firewallseitig lösen könnte?
Besten Dank.
This thread was automatically locked due to age.
Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.
