Ich nutze die Firmware "UTM v11.7 - 11.7.1 (Final)" und habe Probleme mit dem HTTP-Proxy. Ob die Probleme mit der Firmwareversion zusammenhängen, kann ich nicht sagen, denn ich habe dummerweise beim Konfigurieren zunächst ein Update auf die neueste Version durchgeführt.
Gefordert ist, dass sowohl http als auch https ausschließlich über den Proxy gehen. Zusätzlich soll die Nutzung des Proxy (bis auf gewollte bzw. notwendige Ausnahmen) immer mit Authentifizierung erfolgen. Dazu habe ich folgende Schritte durchgeführt:
- Windows-Domäne eingebunden (keine lokalen Benutzer).
- Transparenter Modus abgeschaltet.
- SSL-Interception abgeschaltet (funktioniert eh nicht wirklich rund).
- Eine Benutzergruppe erstellt, der die Domänen-Benutzer angehören. Als einzige Berechtigung "HTTP-Proxy" angegeben.
- HTTP-Proxy auf 8080 und Authentifizierungsmethode auf NTLM gesetzt.
- Unterschiedliche Authentifizierungsausnahmen eingegeben.Unter anderem:
Code: Alles auswählen
^[^:]*://(|.*\.)microsoft\.(com|de)([:/\&#].*|) ^[^:]*://(|.*\.)windowsupdate\.com([:/\&#].*|)
- Darüber hinaus habe ich die Seiten in der Whitelist des Virenscanners aufgenommen, aus denen man Updates und Virendefinitionen holt. U. a. auch Windows-Update:
Code: Alles auswählen
^[^:]*://(|.*\.)windowsupdate\.com([:/\&#].*|)
- Um das Anforderungsprofil zu erfüllen, http und https ausschließlich über den Proxy zu leiten, habe ich folgende Regeln eingerichtet und ganz nach vorne gesetzt:
Code: Alles auswählen
internal network => internal interface => proxy internal interface => internet => any => hn => accept internal network => internet => http => drop internal network => internet => https => drop internal network => internet => any => hn => accept
Ich hoffe, es ist bis hierher alles klar. Nun zu einem meiner Probleme:
Windows Update schlägt ständig fehl. Ich kann das Problem nachstellen, indem ich http://windowsupdate.com (ohne "s")in die Adresszeile des Browsers eingebe. ICh bekomme vo der Firewall folgende Fehlermeldung zurück:
OK, ich deaktiviere den Content-Filter und versuche es erneut. Dann werde ich mit folgender Fehlermeldung beglückt:Zugriff gesperrt
Der Zugriff zu dieser Webseite ist nicht möglich.
Der Securepoint Content Filter hat die von Ihnen aufgerufene Webseite gesperrt, da Filtereinstellungen den Zugriff verbieten.
Sollte der Zugang irrtümlich blockiert sein, wenden Sie sich bitte an den Administrator ihrer Securepoint UTM.
Wenn ich auf "webmaster" klicke, will mein Mail-Client folgende E-Mail senden:ERROR
The requested URL could not be retrieved
The following error was encountered while trying to retrieve the URL: http://windowsupdate.com/The DNS server returned:Unable to determine IP address from host name windowsupdate.comThis means that the cache was not able to resolve the hostname presented in the URL. Check if the address is correct.No DNS records
Your cache administrator is webmaster.
Wenn ich stattdessen https://windowsupdate.com (mit "s") eingebe, geht es weiter und ich lande auf einer Microsoft-Seite. Dasselbe passiert auch mit anderen Seiten, die von http auf https redircten: Gebe ich die Adresse mit nur http ein (ohne "s"), kommt die Fehlermeldung, wird dies von der Firewall verhindert (wie oben beschrieben).CacheHost: firewall.isential.local
ErrPage: ERR_DNS_FAIL
Err: [none]
DNS ErrMsg: No DNS records
TimeStamp: Tue, 16 May 2017 20:06:01 GMT
ClientIP: 192.168.70.8
HTTP Request:
GET / HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive
Upgrade-Insecure-Requests: 1
Host: windowsupdate.com
Da Windows-Update über http (ohne "s") durchgeführt wird, vermute ich, dass es gerade deswegen fehlschlägt. Aber warum? Die Ausnahmen sind syntaktisch richtig, so dass sie greifen sollten.
Nun hat sich die Firewall halb aufgehängt und da ich sie gerade über eine VPN-Verbindung fernwarte, kann ich Sie nicht kaltstarten. Ein Neustart über die Web-Oberfläche reagiert nicht – es kommt immer wieder die beschriebene Fehlermeldung des Proxy. Auch die Anwendunge werden nicht mehr im Fenster "Anwendungsstatus" angezeigt, womit ich den Proxy manuell nicht sneu starten kann. Also Feierabend...
Morgen mache ich weitere Tests und berichte ich dann weiter. Bis dahin kann mir vielleicht einer der Experten weiterhelfen.
Schönen Dank und bis dahin!
René