HTTP-Proxy – Verbindung abgewiesen. Warum?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

HTTP-Proxy – Verbindung abgewiesen. Warum?

Beitrag von isential gmbh »

Die Frage hatte ich als "Nebenfrage" in einem anderen Thread bereits gestellt, ich befürchte aber, dass sie untergehen könnte. Daher hier nochmals.Zunächst die Konfiguration:

Aus https://support.securepoint.de/viewtopic.php?f=31&t=6926

Code: Alles auswählen

internal network => internal interface => proxy
internal interface => internet => any => hn => accept
internal network => internet => http => drop
internal network => internet => https => drop
internal network => internet => any => hn => accept
Damit erreiche ich ohne Änderungen im Netzwerk bzw.. an den Clients und ohne GPO-Gefrickel, dass die Protokolle http und https  ausschließlich über den Proxy geleitet werden.

Eine Seite in der Form https://vserver4711.provider.tld:8443 (Plesk) wird vom Proxy trotzt Whitelist abgewiesen. Folgende Meldung wird ausgegeben:
Fehler: Proxy-Server verweigert die Verbindung

Firefox wurde konfiguriert, einen Proxy-Server zu nutzen, der die Verbindung zurückweist.

    Überprüfen Sie bitte, ob die Proxy-Einstellungen korrekt sind
    Kontaktieren Sie bitte Ihren Netzwerk-Administrator, um sicherzustellen, dass der Proxy-Server funktioniert
Im Firewall-Log finde ich folgendes dazu;
17.05.2017 11:02:48    HTTP-Proxy (squid)    1495011768.001 1 192.168.70.3 TCP_DENIED/403 4121 CONNECT vserver4711.provider.tld:8443 - HIER_NONE/- text/html
Ich habe folgende Authentifizierungsausnahme hinzugefügt, das interessiert den Proxy aber nicht:
https://vserver4711\.provider\.tld([:/\&#].*|)
Ich gehe schwer davon aus, dass dieses Verhalten nichts mit der Authentifizierungsausnahme zu tun hat, aber was macht man nicht alles, wenn etwas nicht funktionieren will.

Lasse ich den Port weg, so funktioniert die Adresse, erreiche aber den sich hinter dem Port lauschenden Dienst nicht.

Ich dachte an eine Filterregel. Mich verwirrt jedoch, dass der Proxy bereits den Verbindungsversuch abweist. Oder ist die Browsermeldung nur irreführend?

Auf jeden Fall brauche ich Hilfe von den Experten, um das Problem richtig zu lösen.

Im Voraus vielen Dank!

René

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

das Problem hier ist, das der HTTPS Port 8443 ist.
Im Template muss eine ACL angepasst werden:

Extras -> Erweiterte Einstellungen (Strg + Alt +A )-> Templates -> /etc/squid/squid.conf -> Laden
Dort nach "acl SSL_ports" suchen und den Port 8443 hinzufügen.

Speichern, Proxy neu starten, testen

Gruß

Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Extras -> Erweiterte Einstellungen (Strg + Alt +A )-> Templates -> /etc/squid/squid.conf -> Laden
Wo finde ich das? Muss ich etwa mit ssh an die UTM-Firewal ran oder wie ist das gemeint?

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Im Webinterface auf Extras gehen, danach Strg + Alt + A auf der Tastatur (auf Mac die Apfel taste anstelle von Strg) und dann werden die Erweiterten Einstellungen eingeblendet 

Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Na dann, vielen Dank! :O  Ist das irgendwo dokumentiert? In der Tat, wusste ich nichts davon. Auch während der dreitägigen Schulung zum Gold-Level (Certified Engineer) kam das nicht vor. Vielleicht aber, hatte ich Kartoffeln in den Augen.

Werde ich machen und hoffentlich nur kurz berichten müssen.

Vielen Dank und herzliche Grüße!

René

Benutzeravatar
isential gmbh
Beiträge: 162
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Beitrag von isential gmbh »

Nun funktioniert Dank Ihrer Hilfe auch das. Jetzt bin ich erleichtert, denn der Proxy verhält sich genau so, wie ich ihn haben wollte.

Ich möchte mich für die schnelle und vor allem zielführende Hilfe herzlich bedanken! Die nächsten zwei Firewalls stehen schon an 8)

Schöne Grüße

René

Antworten