Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Benutzeravatar
isential gmbh
Themen-Autor
Beiträge: 111
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

IP-Adresse über Port 4433 wird stets geblockt

Di 13.03.2018, 17:59

Hallo!

Wir verwenden die UTM-FW mit der neuesten Firmware.

Der Datenverkehr geht über den HTTP-Proxy (Port 8080, kein transparenter Modus). Authentifizierungsmethode ist NTLM (Active-Directory). Wir haben umfangreiche Authentifizierungsausnahmen, Webseiten-Whitelisten (für den Virenscanner) und Regelsätze für den Webfilter eingerichtet. Damit funktioniert auch alles (Windows-, Visual-Studio-, Office- und Virenscanner-Updates, Downloads usw.).

Damit beim Surfen keiner den Proxy umgeht, haben wir Portregeln erstellt, die http (80) und https (443) blocken. Es ist jedoch für einige IP-Adressen erlaubt, die als Ausnahmen verwaltet werden, über http (80) oder https (443) unter Umgehung des Proxy ins Internet zu kommen. In erster Linie für Update-Dienste, die ohne Authentifizierung (für die gibt es Authentifizierungsausnahmen) ins Internet wollen.

Bisher funktioniert alles.

Nun habe ich einen Zugang für ein SSL-VPN erhalten, der jedoch über den Port 4433 geht. Diese initiere ich über den Browser, indem ich die ipv4-Adresse in der Form "https://a.b.c.d:4433" eingebe. Egal was ich mache, die Verbindung wird immer vom Proxy abgelehnt. Ich erhalte folgenden Eintrag:

13.03.2018 16:34:01HTTP-Proxy (squid)1520955241.834 1 192.168.70.4 TCP_DENIED/403 4124 CONNECT a.b.c.d:4433 - HIER_NONE/- text/html

Firefox meldet:
Fehler: Proxy-Server verweigert die Verbindung

Firefox wurde konfiguriert, einen Proxy-Server zu nutzen, der die Verbindung zurückweist.

    Überprüfen Sie bitte, ob die Proxy-Einstellungen korrekt sind
    Kontaktieren Sie bitte Ihren Netzwerk-Administrator, um sicherzustellen, dass der Proxy-Server funktioniert

und Edge:

Diese Seite ist nicht erreichbar.

Probieren Sie Folgendes
Details

Fehlercode: INET_E_SECURITY_PROBLEM

Ich habe sogar eine Portregel erstellt, die für die Zieladresse "a.b.c.d" über den Dienst "tcp, 4433" vom "internal-network" den Zugriff zulässt – interessiert nicht. Den HTTP-Proxy habe ich nach den Änderungen auch immer wieder neu gestartet, bringt aber genauso wenig.

Was mache ich falsch bzw. wie kann ich erreichen, dass bei Verwendung des Proxy diese eine Adresse über den angegebenen Port nicht geblockt wird?

Im Voraus herzlichen Dank!

René
 
Benutzeravatar
David
Securepoint
Beiträge: 236
Registriert: Di 09.02.2016, 14:01

Re: IP-Adresse über Port 4433 wird stets geblockt

Di 13.03.2018, 18:06

Hallo Rene,
ich habe hier einen Ansatz für Sie, allerdings ist diese mit Vorsicht zu genießen, hier kann viel kaputt gehen.
Event. wäre es sinnvoller bei komplexeren Installationen ein Ticket im Support aufzumachen.
Aber ich fass hier mal kurz zusammen:
  • Templateeditor öffnen
  • Template für den squid öffnen
    • dieser Zeile:                 
      acl SSL_ports port 22 443 563 873 11114 11115

    • folgendes hinzufügen: 
      acl SSL_ports port 22 443 563 873 11114 11115 4433

  • speichern
  • proxy neu starten
Ich kann es nicht genug betonen, Vorsicht! Unbedingt die Änderungen über die Templates vornehmen, nicht über die rootShell direkt die Dateien anpassen!
Mit freundlichen Grüßen

David Gundermann
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
 
Benutzeravatar
isential gmbh
Themen-Autor
Beiträge: 111
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Re: IP-Adresse über Port 4433 wird stets geblockt

Di 13.03.2018, 18:50

Herzlichen Dank! Es hat sofort funktioniert.
LG
René

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste