Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 12 replies
  • Subscribers 8 subscribers
  • Views 2869 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Zugriff auf internen Server wird blockiert - http://Server/

KarstenFL

Moin,
Sorry, ich stehe wahrscheinlich gerade so richtig auf dem Schlauch, oder es liegt an den Schokoeiern vom Wochenende.... Und als Nichtprofi ist es manchmal schwer, auf die einfachsten Sachen zu kommen.

Ich versuche einen internen Server via Browser aufzurufen. Dieser bietet für uns eine wichtige Weboberfläche. Aufruf erfolgt z.B. über http://server1/
Bei manchen Kollegen klappt es, bei anderen nicht. Daher gehe ich davon aus, dass es mit Gruppenzuordnung zu tun hat.

Da wir sowohl eine XGS 2300 Firewall, als auch Central im Einsatz haben, finde ich die Einstellungen nicht.
Bestimmt ist es ganz einfach, aber um weiterzukommen, frage ich jetzt mal das liebe Forum um Hilfe.Wink

Schonmal Danke im Voraus.

Wenn es nicht klappt, kommt diese Fehlermeldung:



This thread was automatically locked due to age.
Parents
  • 0

    Kurzfristige Lösung: Ich habe für die betroffenen Benutzer in der GPO deren Anwendung abgelehnt. Sie verwenden also im Edge nicht mehr den Proxy.

    Trotzdem möchte ich natürlich eine sinnvolle Lösung für das Problem finden und auch verstehen (was ja immer von Vorteil ist).

    Richter: Ja, die FW ist als Proxy angegeben. Hintergrund ist, dass wir Terminalserver einsetzen. Dabei haben wir das Problem, dass Sophos nicht in der Lage ist, die Benutzer einzeln zu identifizieren. In Central werden die Benutzer nicht erkannt. Und in der GW heißt es nur "Unidentified". Durch die Verwendung des Proxys (FW) wird jetzt zumindest der Internetaufruf via Firefox und Edge identifiziert. Denn die beiden Browser erkennen sehr wohl den Windows-Benutzer.

    Dirk: Wir haben bei Netzwerk - DNS - statische DNS1 und DNS2 unsere beiden Domain-Controller (DC1 und DC2) hinterlegt. Damit sollte die FW doch beim DC1 wegen der DNS von Server1 "nachfragen". Oder verstehe ich dies falsch?

    Im DC1 ist der Server1 richtig hinterlegt (hier haben wir nichts angefasst). Denn für Benutzer, auf welche die GPO (Proxy in Edge aktivieren) nicht angewandt wird, ist die Webseite vom Server1 normal erreichbar. 

    Wie müsste ich der FW denn erklären, dass sie den Server1 ansprechen kann? Ich wäre jetzt unter Netzwerk - DNS - DNS-Host-Eintrag gegangen und hätte dort folgendes eingetragen:
    Host: Server1.domäne.local
    Eintragungstyp: Manuell
    IP-Adresse: 192.168.1.216 (die IP des Server1 in meinem Beispiel)
    Time-to-live: 60
    Gewichtung: 1
    WAN: aus
    Umgekehrte DNS-Suche: an

    Siehe: docs.sophos.com/.../index.html

  • 0 in reply to KarstenFL

    mit

    nslookup

    server (ip von Dc1)

    servver1

    ... sollte die IP des internen Servers geliefert werden ... falls nicht, noch mal voll qualifiziert probieren.

    ... ABER: die internen Geräte - oder besser die interne Domain in die Ausnahmeliste aufzunehmen - ist eine erprobte Maßnahme, um "interne Ressourcen" nicht über den für die Absicherung externer Zugriffe vorgesehenen Proxy zu leiten.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to KarstenFL

    mit

    nslookup

    server (ip von Dc1)

    servver1

    ... sollte die IP des internen Servers geliefert werden ... falls nicht, noch mal voll qualifiziert probieren.

    ... ABER: die internen Geräte - oder besser die interne Domain in die Ausnahmeliste aufzunehmen - ist eine erprobte Maßnahme, um "interne Ressourcen" nicht über den für die Absicherung externer Zugriffe vorgesehenen Proxy zu leiten.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    Mit nslookup kommen die richtigen IP Adressen raus. Thinking

    Hm, kannst du mir sagen, wie ich denn in der FW den internen Bereich oder einzelne interne Server freigeben kann, dass sich nicht über den Proxy laufen?
    Ich hatte dies in den GPO Einstellungen für den Edge versucht. allerdings ohne Erfolg. Dabei hatte ich mich nach den Einstellungen von dieser Seite gerichtet: https:// admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::ProxySettings&Language=de-de#

  • 0 in reply to KarstenFL

    Proxy-Einstellungen/Ausnahmen via GPO-Einstellungen werden wohl immer schwieriger.

    Aber weiter kann ich da leider nicht helfen.

    Ich glaube, meine Kollegen konfigurieren das derzeit per Hand und übertragen die Einstellungen per registry-Ex-/Import (via GPO)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Okay, danke dir.

    Wenn ich eine Lösung gefunden habe, werde ich sie hier nochmal posten, damit andere sich vielleicht daran orientieren können.

  • +1 in reply to KarstenFL

    Moin, wir haben es jetzt über die GPO geregelt und die internen Webserver einzeln oder gesammelt freigegeben. Über die Firewall scheint es keine Möglichkeit dazu zugeben.

    Fall ist damit geschlossen.

Unfiltered HTML