Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 5616 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy für bestimmte URL?

msp2010
Hello *,

ich habe hier eine URL die ich nur über einen bestimmten Proxy aus dem Internet erreichen kann. Das ist vom Anbieter dieser Webseite auch so gewollt. 

In meiner UTM habe ich den Webfilter-Proxy auf Transparent stehen. Ist irgendwie möglich in der UTM zu sagen, wenn diese eine bestimmte URL aufgerufen wird dann soll dieser bestimmte Proxy abgefragt werden?

Gruß
Msp


This thread was automatically locked due to age.
Parents
  • 0
    @msp2010

    ich habe hier eine URL die ich nur über einen bestimmten Proxy aus dem Internet erreichen kann. Das ist vom Anbieter dieser Webseite auch so gewollt. 

    Wenn das stimmt, dann müsste ja auf der 192.168.30.10 LOKAL eingerichtet sein,
    dass nur Verbindungen von der IP-Adresse des Proxys angenommen werden.

    Wenn das wirklich der Fall ist und es sich um einen IPsec-S2S-Tunnel handelt,
    dann kannst du das auf zwei Wegen lösen:

    1. Möglichkeit:

    Du erstellst auf deiner UTM eine SNAT-Regel, die HTTP-Traffic in Richtung 192.168.30.10 auf die öffentliche IP-Adresse des Proxys nattet ( man kann mit der UTM auf jede beliebige IP-Adresse natten ).

    Falls du in der NAT-Regel die automatischen Firewall-Regeln aktivierst,
    dann benötigst du keine zusätzliche Firewall-Regel,
    ansonsten musst du natürlich manuell eine anlegen.

    Zusätzlich muss auf beiden Seiten die Konfiguration des IPsec-Tunnels angepasst werden,
    also die öffentliche IP-Adresse des Proxys in die Tunnel-Konfiguration aufgenommen werden.

    Bitte beachte, dass auch die Gegenseite eventuell eine zusätzliche Firewall-Regel benötigt,
    wenn nicht die automatischen Firewall-Regeln in der Tunnel-Konfiguration aktiviert sind.

    2. Möglichkeit:

    Es wird auf der Gegenseite ( also auf der UTM, wo die 192.168.30.10 angebunden ist ) eine SNAT-Regel
    erstellt, die das SNAT auf die Proxy-IP-Adresse durchführt.

    Diese Möglichkeit ist die einfachste, aber die SNAT-Regel muss dann natürlich von jemanden auf der Gegenseite gemacht werden ( es sei denn du hast auch Zugriff auf die betreffende UTM ).

    Wenn es nicht stimmt, dass auf der 192.168.30.10 konfiguriert ist, dass nur Verbindungen von der IP-Adresse des Proxys angenommen werden, dann pack' die 192.168.30.10 einfach mal in die Destination-Host-Skip-Liste des WebProxys.

    Das kannst du machen unter "Web Protection" -> "Web Filtering" -> "Advanced" im Bereich "Skip transparent mode destination hosts/nets".

    Zusätzlich benötigst du eine Firewall-Regel, die HTTP in Richtung 192.168.30.10 erlaubt.

    Diese Regel benötigst du nur dann, wenn nicht bereits entsprechende Regeln existieren oder in der Tunnel-Konfiguration die automatischen Firewallregeln aktiviert sind ( dann wird ANY aus den lokalen Netzen in Richtung Remote-Netze und ANY aus den Remote-Netzen in Richtung der lokalen Netze erlaubt ).

    Gruß, Datax
Reply
  • 0
    @msp2010

    ich habe hier eine URL die ich nur über einen bestimmten Proxy aus dem Internet erreichen kann. Das ist vom Anbieter dieser Webseite auch so gewollt. 

    Wenn das stimmt, dann müsste ja auf der 192.168.30.10 LOKAL eingerichtet sein,
    dass nur Verbindungen von der IP-Adresse des Proxys angenommen werden.

    Wenn das wirklich der Fall ist und es sich um einen IPsec-S2S-Tunnel handelt,
    dann kannst du das auf zwei Wegen lösen:

    1. Möglichkeit:

    Du erstellst auf deiner UTM eine SNAT-Regel, die HTTP-Traffic in Richtung 192.168.30.10 auf die öffentliche IP-Adresse des Proxys nattet ( man kann mit der UTM auf jede beliebige IP-Adresse natten ).

    Falls du in der NAT-Regel die automatischen Firewall-Regeln aktivierst,
    dann benötigst du keine zusätzliche Firewall-Regel,
    ansonsten musst du natürlich manuell eine anlegen.

    Zusätzlich muss auf beiden Seiten die Konfiguration des IPsec-Tunnels angepasst werden,
    also die öffentliche IP-Adresse des Proxys in die Tunnel-Konfiguration aufgenommen werden.

    Bitte beachte, dass auch die Gegenseite eventuell eine zusätzliche Firewall-Regel benötigt,
    wenn nicht die automatischen Firewall-Regeln in der Tunnel-Konfiguration aktiviert sind.

    2. Möglichkeit:

    Es wird auf der Gegenseite ( also auf der UTM, wo die 192.168.30.10 angebunden ist ) eine SNAT-Regel
    erstellt, die das SNAT auf die Proxy-IP-Adresse durchführt.

    Diese Möglichkeit ist die einfachste, aber die SNAT-Regel muss dann natürlich von jemanden auf der Gegenseite gemacht werden ( es sei denn du hast auch Zugriff auf die betreffende UTM ).

    Wenn es nicht stimmt, dass auf der 192.168.30.10 konfiguriert ist, dass nur Verbindungen von der IP-Adresse des Proxys angenommen werden, dann pack' die 192.168.30.10 einfach mal in die Destination-Host-Skip-Liste des WebProxys.

    Das kannst du machen unter "Web Protection" -> "Web Filtering" -> "Advanced" im Bereich "Skip transparent mode destination hosts/nets".

    Zusätzlich benötigst du eine Firewall-Regel, die HTTP in Richtung 192.168.30.10 erlaubt.

    Diese Regel benötigst du nur dann, wenn nicht bereits entsprechende Regeln existieren oder in der Tunnel-Konfiguration die automatischen Firewallregeln aktiviert sind ( dann wird ANY aus den lokalen Netzen in Richtung Remote-Netze und ANY aus den Remote-Netzen in Richtung der lokalen Netze erlaubt ).

    Gruß, Datax
Children
No Data
Unfiltered HTML