Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 38 subscribers
  • Views 3613 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Verbindung komplett öffnen und nur URLs protokollieren

Browserlauser
Hallo,

bin neu hier und habe folgende Frage:

Bei uns soll auf Anforderung der Revision die Nutzung eines DSL-Anschlusses protokolliert werden. Dabei soll aber kein Datenverkehr geblockt werden. Also im Prinzip so, als würde man sich direkt an einen ungefilterten DSL hängen.

Nun habe ich hier eine SG115 die aber in der Standardeinstellung z.B. den Mailabruf über POP und VPN-Verbindungen blockiert. 
Ich habe nun versucht, in der Firewall per "Any" alle Verbindungen zuzulassen. Also quasi: Netzwerk -> Protokolle Any -> Any und andersrum. Trotzdem funktioniert das offensichtlich so nicht.

Was muss man tun um quasi ALLES in Rein und Raus zu lassen?

Danke Browserlauser


This thread was automatically locked due to age.
  • 0
    Welche Subscriptions sind aktiv? Welche sind konfiguriert?
    Was steht in den Logs?
  • 0
    Achso, wenn Du Netzwerk als internes Netz definiert hast und das Masquerading konfiguriert und aktiviert hast, sollte die Regel grundsätzlich funktionieren.
  • 0 in reply to K.N.
    Hallo,

    danke k.n. für deine Rückmeldung. Ich hole mal etwas zur Konfiguration aus.

    Die SG115 ist mit TotalProtect. Es können also alle Module genutzt werden.
    Momentan ist aktiviert: Wireless Protection, Web Protection und Network Protection. Es sind 3 AP30 verbunden.

    Das Gerät hängt für den Internetzugang (WAN) an einer FritzBox 192.168.0.1. Es sind 4 Netzwerke eingerichtet:

    LAN Intern 192.168.10.0/24
    LAN Gast 192.168.20.0/24 (mit Voucher)
    WLAN Intern 172.16.10.0/24
    WLAN Gast 172.16.20.0/24 (mit Voucher)

    Die grundsätzliche Funktion der 4 Netze ist gegeben, die Sache mit den Vouchern funktioniert und auch die Protokollierung tut seinen Dienst.
     
    Momentan soll aber, wie schon geschrieben, ersteinmal nichts geblockt werden. Im Prinzip soll der Internetzugang so sein, als würde man sich direkt an den Router stecken. Nur eben mit Protokollierung und Voucher.

    Als "Intern" ist das Netz 192.168.0.0/24 definiert.

    Im Log der Firewall werden bei der Verbindung eines Clients der Mails per POP3 und IMAP abrufen will, im WLAN UDP und TCP Pakete verworfen. Beispiel:

    09:22:17  Standard-VERWERFEN  UDP    
    172.16.10.11  :  57842
    → 
    31.7.177.141  :  123
      
    09:22:47  Standard-VERWERFEN  TCP    
    172.16.10.11  :  47168
    → 
    54.174.167.192  :  10101

    Aktiviere ich eine Regel ganz oben mit Any -> Any -> Any werden nur noch IGMP Pakete verworfen. Beispiel:

    09:28:28  Standard-VERWERFEN  IGMP    
    192.168.0.1      
    → 
    224.0.0.1      
      
    Bei Masquerading hab ich ehrlich gesagt keine Ahnung [:S]
  • 0
    Unter Network Protection \ NAT \ Masquerading sollten die obigen Netze maskiert werden.
    Die von Dir genannten Ports sind aber kein IMAP und POP3. Und wenn das Logging aktiviert ist, sollten alle Verbindungen angezeigt werden. Wenn nicht, müsste geprüft werden, ob die Packete am entsprechenden Interface ankommen.
  • 0
    Ich würde sagen - 'kommt drauf an' ;-).

    Wenn du die besuchten URL's protokollieren willst, geht das nur mit aktiven WebProxy. Der muss dan eben so konfiguriert sein, das alle requests aus allen Netzen darüber laufen und und protokolliert werden und nichts geblockt wird.

    Wenn du nur Quell-IP, Ziel-IP und benutzten Port protokollieren willst, wäre der Webproxy eher hinderlich weil der ja z.B. im transparenten Modus einige Verbindungen abfängt, die dann nicht im Firewalllog auftauchen.

    Nur so am Rande bemerkt: Habt ihr nen Betriebsrat ...?

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    Hallo K.N.,

    der Tipp mit dem Maskieren der Netze war perfekt. Damit funktioniert es.

    @hallowach: [:D] Ja, wir haben einen Betriebsrat. Mit denen, dem Vorstand und der Revision ist das abgestimmt. Berichte nur im 4-Augen Prinzip, Speicherdauer max. 6 Monate uswusv. Wir haben sogar eine extra Betriebsvereinbarung Internet für alle Mitarbeiter.

    Also Danke...
Unfiltered HTML