Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Junioruser1976
Themen-Autor
Beiträge: 15
Registriert: Di 02.07.2019, 07:43

ProxyZugriff auf Websites schneller als von Clients ohne Proxy, die auf Anyregel stehen- warum?

Do 05.09.2019, 17:39

Hallo,

ich habe zunächst , weil ich noch wenige Erfahrungen mit der Proxykonfiguration habe, nur die DMZ mit 2 Testclients auf Proxy gesetzt incl. SSlIntercept- und das funktional für den Betrieb notwendige internal network läuft derzeit deshalb noch auf anyRegel. Die UTM ist in die AD des Internal Network eingebunden.

Seit ich hier die DMZ für SSl Interception freigeschaltet habe + Transparenten Proxy aktiviert, laufen die Clients im Internal Netzwerk, die noch im Portfilter auf Any stehen, hinsichtlich Zugriff auf Websites superlangsam: Der Zugriff auf Websites über die Proxyrechner der DMZ ist weitaus schneller als derjenige der Rechner, die auf any laufen.
Öfter kommt im Browser die Meldung: "Server nicht gefunden"- wenn man dann 2-3 x neu versucht, läuft es , aber eben sehr langsam- man kann unten links am Bildschirmrand die einzelnen Schritte wie z.B: TLSHandshake etc. mitlesen.
Ich hätte mir das eigentlich anders rum vorgestellt- dass der Proxy, da wo er wirkt, etwas bremst, aber nicht umgekehrt.

Irgendwo hakt das grad, aber keine Ahnung, was genau- ggf. irgendwas Richtung DNS Problem- passt aber auch nicht so ganz richtig.
Kurz vorher in einer Konfiguration OHNE "SSL/TranspProxy" hatte ich das Problem noch nicht.

Oder kann es sein, dass die UTM (wir haben die kleinste Version) ihre gesamte Rechenleistung einfach derzeit, seit SSL mit aktiv ist, für den Proxy verbraucht und daher any so langsam läuft?
Oder geht der Weg jetzt, sobald Proxy + SSL + Transparent, immer erstmal warum auch immer für ALLE NWOs zum Proxy? (wobei ich das unlogisch fände, weil ich zur Zeit hier für das internal network die Proxyregel deaktiviert habe, es ist nur die anyregel eingeschaltet- und bislang hab ich es so interpretiert, dass "any" heißt, dass es ein pass through ist und die Firewall außer der im Portfilter eingetragenen  Any-Regel nichts mehr mit dem Traffic macht, solange Any aktiv ist.

Hoffe, es kann mir hier jemand weiterhelfen.

Freundliche Grüße
 
kennethj
Beiträge: 242
Registriert: Di 25.04.2017, 10:17

Re: ProxyZugriff auf Websites schneller als von Clients ohne Proxy, die auf Anyregel stehen- warum?

Do 05.09.2019, 18:36

Hallo,

verwenden die Clients ohne Proxy zufällig die UTM als DNS Server?
Generell ist der Portfilter schneller als der Proxy.  


Gruß 
 
Junioruser1976
Themen-Autor
Beiträge: 15
Registriert: Di 02.07.2019, 07:43

Re: ProxyZugriff auf Websites schneller als von Clients ohne Proxy, die auf Anyregel stehen- warum?

Do 05.09.2019, 19:33

Hallo,

ja, die Clients ohne Proxy haben zunächst den Server der AD als bevorzugten DNS-Server und die UTM ist als alternativer DNS-Sever eingetragen.

Wenn Portfilter schneller als Proxy ist, wäre ja in jedem Fall dann auszuschließen, dass die Langsamkeit am Proxy liegt, richtig?

Ich überlege grad, ist UTM als DNS Server ungünstig hier, weil unnötiger Umweg bei Any? Wobei - dagegen spricht: bis ich für die Clients in der DMZ SSL aktiviert hatte, war die Geschwindigkeit für Clients bei any völlig normal...und ich hab an ipconfig ansonsten für diese Clients nichts verändert gehabt....

Abendliche Grüße
 
kennethj
Beiträge: 242
Registriert: Di 25.04.2017, 10:17

Re: ProxyZugriff auf Websites schneller als von Clients ohne Proxy, die auf Anyregel stehen- warum?

Do 05.09.2019, 19:55

Der DC selbst: Macht der ein DNS Forwarding auf die UTM?

Das ding ist: Wenn man die Regel internal-network -> internal-interface -> Proxy deaktiviert , werden nicht nur die Proxy Dienste verboten sondern auch DNS Anfragen an die Firewall 

Ergo Sie müssen dann eine Regel erstellen welche "DNS" auf das internal-interface freigibt.
 
Junioruser1976
Themen-Autor
Beiträge: 15
Registriert: Di 02.07.2019, 07:43

Re: ProxyZugriff auf Websites schneller als von Clients ohne Proxy, die auf Anyregel stehen- warum?

Mi 11.09.2019, 12:45

Hallo,

sorry, dass ich erst jetzt wieder online bin: und erstmal wieder Danke für die weitere Rückmeldung:

Also der DC hat bei IPv4 "bevorzugt" local host 127.0.0.1 und "alternativ" 192.168.100. 1 ( und das ist bei uns die UTM).

Zu Ihrem Hinweis:
"Das ding ist: Wenn man die Regel internal-network -> internal-interface -> Proxy deaktiviert , werden nicht nur die Proxy Dienste verboten sondern auch DNS Anfragen an die Firewall " habe ich noch folgende Rückfrage, bevor ich in die Richtung weiter probieren, ob ich es damit lösen kann:
Ich hatte ja "Proxy" für internal network schon länger komplett deaktiviert-und parallel die DMZ-Clients auf den Proxy geschickt zum üben-  und losgegangen ist es erst mit "Interntal Network-Internetzugriff wird langsam", seit ich hier für die DMZ-Clients SSL Interception + Transparenten Proxy aktiviert habe...wenn das grundsätzlich so wäre, dass ohne Proxyregel noch DNS freigegeben werden muss mit separater Regel, dann hätte doch eigentlich schon immer dann, wenn "Proxy" deaktiviert dort, das so langsam sein müssen? Nicht erst jetzt seit Aktivierung von SSL /Transparent?

Gruß
 
HaPe
Beiträge: 39
Registriert: Di 09.05.2017, 22:40

Re: ProxyZugriff auf Websites schneller als von Clients ohne Proxy, die auf Anyregel stehen- warum?

Mi 11.09.2019, 23:38

Hallo,

das sind 2 verschiedene Paar Schuhe - in der DNS-Verwaltung am DC (Start -> Ausführen -> mmc -> Snap-In DNS hinzufügen) gibt´s in den Servereigenschaften eine Registerkarte Weiterleitungen - ggf. dort mal reinschauen, ob bzw. was dort etwas eingetragen ist.
Damit wird geregelt, wohin der DNS-Server am DC Anfragen, die er nicht selbst auflösen kann weiterleitet.

Für die DNS-Einstellungen beim TCP-Protokoll am DC selbst ist es soweit mir bekannt Best Practice folgende Reihenfolge einzuhalten:
  1. andere DCs der Domäne
  2. IP des lokalen DCs (192.168....)
  3. 127.0.0.1
ansonsten kann man das entweder am DC oder von einem Client aus mit nslookup relativ schön testen, die Antworten auf die Anfragen sollten natürlich immer prompt kommen und nicht erst nach 1-2 Sekunden Wartezeit.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 6 Gäste