Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 1955 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Frage zur WebProtection

david163
Hallo zusammen, 

ich habe eine Frage zur Web Protection in Verbindung mit zwei Subnetzen. 

Firmennetz: 192.168.100.1
WLAN Gäste Netz:  172.16.35.0 über Wireless Protection als „Separate Zone“ zur Verfügung gestellt. 

Beide Netze sind in der Web Protection eintragen und der Proxy läuft im Transparent Mode. 
Eine Packetfilter-Regel ist nicht eingestellt.

Wenn sich ein Client im Gäste Netz einwählt kann er normal im Internet surfen. 
Verbindungen z.B. RDP ins Firmennetz funktionieren auch nicht. 
Wenn man aber versucht einen Webserver (IIS-80) aus dem Firmennetz zu erreichen funktioniert es, dieses sich man auch im LiveLog von der Web Protection. [:S]

Dies lässt sich bei uns und einer weiteren UTM ohne Probleme nachvollziehen. 

Da der Gästezugang im Modus „Separate Zone“ läuft sollte dies nach meinem Verständnis nicht möglich sein, oder? 

Vielen Dank für eure Rückmeldungen!

David


This thread was automatically locked due to age.
  • 0
    Doch, da der Client bei HTTP(S)-Verbindungen über den Proxy geht und dieser keine Einschränkungen bezüglich Zugriff auf das interne Netz hat.

    Lösen lässt sich das über ein separates Web Protection Profil für das Gäste-Netz, in dem dann der Zugriff auf URLs im internen Netz geblockt wird.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Man kann auch einfach eine FireWall Regel erstellen, die  Ports von WLAN auf euer 192.168.100.0/24 Netz verbietet.

    Schon kannst du im Gäste Netz surfen, aber das Interne Netz nicht besuchen [;)]
  • 0
    Nö, das geht nicht! :-)
    Der Proxy zieht nämlich vor der Firewall-Regel, diese ist damit für HTTP(S) aus den geschützten Netzen unwirksam...

    Siehe auch BAlfson's Rule #2 im Thread "Rulz" im "General Discussion"-Bereich dieses Forums.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    okay, dann nehme ich meine Aussage zurück.. ^^
  • 0
    ...das klappt so wie scorpionking es beschrieben hat! Danke! 

    Weißt du zufällig auch wie ich das gesamte Netz 192.168.100.0 über einen Eintrag sperren kann?
  • 0
    Bei Transparent Mode kann man tricksen:

    Bei den Filtering Options im Misc-Tab das Zielnetz zu den "Skip transparent mode destination hosts/nets" hinzufügen und den Haken "Allow HTTP/S traffic for listed hosts/nets" darunter NICHT setzen.
    Dann kann man's über Firewall-Regeln steuern.

    Klappt aber nicht, wenn der Proxy im Standard Mode ist, dann müsste man das über die einzelnen URLs, die aufgerufen werden, steuern (oder ein RegEx, z.B. 
    ^https?//([0-9]{1,3}(\.[0-9]{1,3}){3}/

    )...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Bei mir hat mit dem Trick jetzt nicht auf die schnelle funktioniert, habe eben ein Import in die Anzeige gemacht und jetzt ist auch alles gesperrt. 

    Meine letzte Frage für diesen Thread: Bug oder Feature?
Unfiltered HTML