This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme mit Proxy

Guten Tag zusammen,

 

wir haben ein Problem mit unserem Proxy und sind leider mit unserem Latain am Ende.
Vielleicht kann uns hier im Forum jemand weiterhelfen.

 

Ich möchte das Problem einmal kurz beschrieben.

Wir setzten als Proxy Server 2 UTMs im Active – Active Cluster ein.

Die beiden Systeme haben die aktuelle Firmware 9.713-19 installiert.

Der Proxy ist als Standard mode mit Active Directory SSO Authentication eingerichtet.
Wir verteilen den Proxy auf den Systemen über eine Proxy.pac

 

Soweit läuft der Proxy auch und die Benutzer kommen ins Internet.
Surft ein User nun auf einer Seite, kann es sein, dass plötzlich sich ein PopUp öffnet und der Proxy nach der Authentifizierung frägt. Wenn der Benutzer das PopUp mit Abbrechen dann wieder schließt, kann er ganz normal weiter surfen.

 

Es ist hier egal, welchen Browser der Benutzer nutzt und das Problem ist auch nicht nachstellebar, dass es z.B. immer die gleichen Webseiten betrifft.

Es kommt auch vor, dass der User auf einer Webseite gerade einen Artikel liest und dann erscheint plötzlich das PopUp.

 

Ein Ticket beim Sophos Support, ist schon seit 2 Wochen geöffnet.

Hier kam bis jetzt aber immer nur die Rückmeldung, dass in den Logs keine Fehler zu sehen sind.


Hat jemand ggf. eine Idee, woran das Problem liegen könnte?

 

MfG Kai



This thread was automatically locked due to age.
  • Hallo Kai,

    Seit wann besteht das Problem. Was wurde zuletzt geändert?

    Wenn der Fehler häufig auftritt, würde ich den 2. Cluster-Node mal für eine Weile abschalten (wenn die Performance eines Node ausreicht).

    So könnte man schauen, ob es aus dieser Richtung kommt.

    Gibt es mehr als 1 ISP Anbindung? (Dann wäre ein temporärer Test mit nur 1 ISP sinnvoll)

    Gibt es im User-Authentication Log evtl. Einträge zu dieser Zeit?

    Übrigens ist hier das XG/XGS Forum. Ein Marketinggenie musste diese Geräte "Sophos-Firewall" nennen.

      Kannst du den Thread bitte ins UTM-Forum verschieben?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hi und danke für die Antworten.
    Das Problem besteht schon etwas länger.

    Grundsätzlich würde nichts geändert an der Konstellation oder der Konfig.
    Es gibt 2 ISP Anbindungen.

    Die eine in unser RZ und die andere für den Weg ins Internet.
    Leider können wir keine der beiden ISP Anbindungen einfach so deaktivieren, da beide benötigt werden.

    Wir haben zum Test auch schon einen der beiden Nodes heruntergefahren. 
    Im Anschluss taucht der Fehler aber immer noch auf.

  • Hallo,

    wenn ISP deaktivieren keine Option ist, könnte die Gewichtung der beiden Anschlüsse auf 1:100 gesetzt werden.

    Das betrifft nur automatische Verteilungsentscheidungen.

    Eingehende Verbindungen betrifft das nicht und auch ausgehende LB-Rules funktionieren weiterhin.

    Evtl. wird es besser, wenn die Surf-Traffic nicht zwischen den Anschlüssen wechselt.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk,

    danke für die Rückmeldung. die beiden ISP Anschlüsse sind aber auch nicht direkt am Proxy angeschlossen.
    Macht die Einstellung dann auch Sinn?
    Die Entscheidung, welcher ISPO Anschluss verwendet wird, wird durch das Proxy PAC bei uns getroffen.
    Da einige Anwendungen nur im RZ bereitgestellt sind.

    Gruß Kai


  • Hallo Kai,

    da fehlt mir gerade ein Stück Verständnis.

    Mit dem .pac file unterscheidest du doch, ob bzw welcher Proxy für eine Webseite verwendet wird ... wie kannst du damit auf einen speziellen ISP leiten?

    (Ich dachte, die beiden ISP hängen an dem UTM-Cluster)  

    Wenn es mehrere Proxy-Server gibt, kann ich mir schon vorstellen, dass ein Browser da mit dem Authentifizieren nicht hinterherkommt.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hi Dirk,

    ich glaube ich hab mich da falsch ausgedrückt.
    Der Zugangs ins WWW erfolgt über unseren Proxy.
    Der Zugangs zu den Anwendungen ins RZ erfolgt direkt und läuft nicht über den Proxy.
    Da hinter unserem Proxy noch eine Firewall steht, hängt der ISP Anschluss nicht direkt am Proxy, sondern an der Firewall dahinter.

    Zu Test haben, wir nun auch schon folgendes getestet.
    Einen der beiden Poxy1 heruntergefahren und Proxy2 läuft nur => Fehler besteht immer noch
    Einen der beiden Poxy2 heruntergefahren und Proxy1 läuft nur => Fehler besteht immer noch

    Zum Test wurde jetzt noch einmal unter Authentication Services => Die Server neu eingerichtet und der Proxy noch einmal aus dem AD entfernt und neu aufgenommen.