This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SG230 Proxy tauscht Zertifikat aus trotz Ausnahme-Regel

Hallo zusammen,

ich habe gestern auf unseren SG230 die Firmware 9.710-1 eingespielt. Der Web-Proxy läuft im Standard-Modus. Seit dem kann kein Login mehr auf login.datev.de vorgenommen werden, das scheint daran zu liegen, dass nicht das original Datev-Zertifikat verwendet wird, sondern der Proxy das Zertifikat austauscht. Laut Datev muss hierfür eine Ausnahme gesetzt werden (Meldung "Fehlerhafte Authentifizierung" - DATEV Hilfe-Center), folgendes habe ich heute in Web Protection -> Filteroptionen eingestellt:

^https?://([A-Za-z0-9.-]*\.)?bstbk-vollmachtsdatenbank\.de/
^https?://([A-Za-z0-9.-]*\.)?datev\.de/

sind als Filteroption-Ausnahmen (Quell-Netzwerke: gesamtes Intranet) definiert. Auch ein Zusatz von

duo.datev.de
login.datev.de
secure4.datev.de
secure18.datev.de
www.bstbk-vollmachtsdatenbank.de

bringt keine Änderung, es wird immer ein Zertifikat ausgestellt von "Sophos Endpoint RSA Root" verwendet. 

Ist das ein Bug in der aktuellen Firmware? Oder wo kann ich noch Einstellungen ändern um die Verbindung hinzubekommen?
Vielen Dank im Voraus,
Tobias Wagener



This thread was automatically locked due to age.
Parents
  • Hallo nochmal,

    das Problem scheint gelöst. "Schuld" ist nicht der Web Proxy der SG230, sondern die Sophos Endpoint Protection. Mir war aufgefallen, dass das angezeigte Zertifikat mit "signiert von Sophos Endpoint RSA Root" versehen war - das passt nicht zur Proxy CA der UTM!

    Sophos rollt seit diese Woche Montag (zunächst nur für Client PCs) einen neuen Core Agent aus, welcher eine Zusatzfunktion mit Paket Inspection (IPS) einführt, diese ist standardmäßig aktiv in der Basis-Richtlinie. Nachdem ich dort eine Ausnahme für den Daten IP-Bereich eingeführt habe und der Client sich die neue Richtlinie gezogen hat geht der Zugriff wieder. 

    Vielleicht hilft das ja dem ein oder anderen weiter ;-)
    LG 

  • Hallo ToWa, 

    welche IP-Adressen hast du dort hinterlegt. Und welche Basis-Richtlinie hast du genau angepasst? 

    Gefunden unter Sophos Central https://cloud.sophos.com/manage/endpoint/config/settings/ssl-tls-decryption

    und dort die Server von oben eingeben 

Reply Children