HTTP-Proxy+Webfilter: Visual-Studio-Installer funktioniert nicht

[isential gmbh]

Hallo,

Ich nutze die Firmware "UTM v11.7 - 11.7.1 (Final)" und habe wieder ein Problem mit dem HTTP-Proxy.

Sowohl http als auch https gehen ausschließlich über den Proxy. Zusätzlich soll die Nutzung des Proxy (bis auf gewollte bzw. notwendige Ausnahmen) immer mit Authentifizierung erfolgen. Dazu habe ich folgende Schritte durchgeführt:

• Windows-Domäne eingebunden (keine lokalen Benutzer).
• Transparenter Modus abgeschaltet.
• SSL-Interception abgeschaltet (funktioniert eh nicht wirklich rund).
• Eine Benutzergruppe erstellt, der die Domänen-Benutzer angehören. Als einzige Berechtigung "HTTP-Proxy" angegeben.
• HTTP-Proxy auf 8080 und Authentifizierungsmethode auf NTLM gesetzt. 
• Unterschiedliche Authentifizierungsausnahmen
• Unterschiedliche Ausnahmen für den Virenscanner
• Gruppe für authentifizierte und eine andere für nicht authentifizierte Zugriffe erstellt und mit Leben erfüllt.

Nach einigen Anpassungsarbeiten läuft bisher alles gut. Nur eins macht mich verrückt und ich komme nicht dahinter: Das Installationsprogramm von "Microsoft Visual Studio 2017 Professional" schlägt im Netzwerk fehl. Starte ich es außerhalb des Netzwerkes (also ohne die UTM-Firewall), läuft es durch.

Ich starte die das Installationsprogramm, welches die notwendigen Dateien vom Internet herunterlädt und die Installation einleitet und nach ca. 3 bis 5 Minuten meldet das Programm entweder, dass Dateien nicht heruntergeladen werden konnten. Auf einem anderen PC im Netzwerk meldet das Programm, dass es nicht auf das Internet zugreifen konnte und ich es später wieder versuchen sollte.

Die Interneteinstellungen auf beiden Maschinen sind richtig (alles Andere funktioniert auch). Ich habe in meiner Verzweiflung für alle Adressen, die ein DENIED bekamen, entsprechende Regeln erstellt (auch für den Virenscanner). Nun habe ich keine DENIEDs (auch keine BLOCKED) mehr, es tut aber trotzdem nicht. Dem Protokol nach passiert ziemlich nichts und dennoch funktionio
ert das nicht. Ohne Firewall tut es aber.

Die Installationsdatei kann zu Testzwecken von hier heruntergeladen werden:

https://www.visualstudio.com/de/thank-you-downloading-visual-studio/?sku=Professional&rel=15#

Auf einem PC bekomme ich folgende Fehlermeldung:

http://ise-software.com/temp/20170601-01-securepoint-utm.png

auf einem anderen dagegen folgende:

http://ise-software.com/temp/20170601-02-securepoint-utm.png

Nun stehe ich ziemlich auf dem Schlauch, da ich im Log nichts erkennen kann, was es zu diesen Fehlern führt.

Vielleicht finden Sie den Verursacher, wenn Sie die Datei herunterladen und selbst ausführen. Ich wäre Ihnen diesbezüglich sehr dankbar.

Im Voraus vielen Dank und viele Grüße!

René Ketterer
isentialo gmbh

[isential gmbh]

Nachtrag und bitte um Bearbeitung:

Ich habe alles Mögliche versucht und untersucht, konnte aber den Fehler nicht so weit eingrenzen, dass ich ihn hätte beheben können. Ich habe beim Proxy alles schrittweise geöffnet, aber der Fehler blieb. Was mich am meisten stört, ist dass die Logs nichts anzeigen, was mit dem Fehler zu tun hat. So komme ich nicht wirklich weiter. Virenscanner abgeschaltet, Webfilter abgeschaltet, im Webfilter alles auf grün eingestellt, Authentifizierungsmethode auf "keine" gestellt, Authentifizierungsausnahmen ausgeschaltet, die passenden Filter für die aufgerufenen URL gesetzt usw. Hier habe ich alle sinn- und weniger sinnvolle Kombinationen durchgespielt, das aber ohne Erfolg.

Ich möchte hier anmerken, dass ich durch nachfolgende Portregeln sowohl http als auch https durch den Proxy zwinge:

Code: Alles auswählen

internal network => internal interface => proxy
internal interface => internet => any => hn => accept
internal network => internet => http => drop
internal network => internet => https => drop
internal network => internet => any => hn => accept

Nur wenn ich den Proxybetrieb abstelle, läuft das Installationsprogramm von Visual Studio durch.

Nun beim Schreiben dieser Zeilen komme ich auf die Idee, nach dem Logging der Portregeln nachzuschauen. Wenn weder der Proxy noch der Webfilter das Verhalten protokollieren, dann wird die Verbindung woanders abgelehnt, jedoch nicht protokolliert. Da fiel mir wieder ein, dass bei der Errichtung von Portregeln das Logging standardmäßig nicht eingeschaltet ist. Erst das Einschalten des Logging mit "LOG_ALL" brachte mehr Licht ins Spiel:

Code: Alles auswählen

05.06.2017 15:56:30    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4656 DF PROTO=TCP SPT=62002 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:31    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4657 DF PROTO=TCP SPT=62001 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:31    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=92.122.30.20 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4296 DF PROTO=TCP SPT=62003 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:33    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4658 DF PROTO=TCP SPT=62004 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:33    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4659 DF PROTO=TCP SPT=62002 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:34    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=92.122.30.20 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4297 DF PROTO=TCP SPT=62003 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:36    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4660 DF PROTO=TCP SPT=62004 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:37    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4661 DF PROTO=TCP SPT=62001 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:39    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4662 DF PROTO=TCP SPT=62002 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:40    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=92.122.30.20 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4298 DF PROTO=TCP SPT=62003 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:41    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=13.81.5.53 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=424 DF PROTO=TCP SPT=62005 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:42    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4665 DF PROTO=TCP SPT=62004 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:43    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4666 DF PROTO=TCP SPT=62006 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:44    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=13.81.5.53 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=425 DF PROTO=TCP SPT=62005 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:46    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4667 DF PROTO=TCP SPT=62007 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:46    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4668 DF PROTO=TCP SPT=62006 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:49    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4669 DF PROTO=TCP SPT=62007 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:49    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4670 DF PROTO=TCP SPT=62001 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:50    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=13.81.5.53 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=426 DF PROTO=TCP SPT=62005 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:52    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4671 DF PROTO=TCP SPT=62006 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:52    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4672 DF PROTO=TCP SPT=62001 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:55    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4673 DF PROTO=TCP SPT=62007 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:56:58    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4674 DF PROTO=TCP SPT=62001 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:02    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4675 DF PROTO=TCP SPT=62008 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:02    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=13.81.5.53 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=427 DF PROTO=TCP SPT=62009 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:04    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4676 DF PROTO=TCP SPT=62010 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:05    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4677 DF PROTO=TCP SPT=62008 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:05    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=13.81.5.53 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=428 DF PROTO=TCP SPT=62009 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:07    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4678 DF PROTO=TCP SPT=62010 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:07    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=104.87.213.158 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=26225 DF PROTO=TCP SPT=62011 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0
05.06.2017 15:57:10    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4679 DF PROTO=TCP SPT=62012 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:10    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=104.87.213.158 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=26226 DF PROTO=TCP SPT=62011 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0
05.06.2017 15:57:11    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4680 DF PROTO=TCP SPT=62008 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:11    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=13.81.5.53 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=429 DF PROTO=TCP SPT=62009 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:13    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4681 DF PROTO=TCP SPT=62010 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:13    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4682 DF PROTO=TCP SPT=62012 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:16    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=104.87.213.158 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=26227 DF PROTO=TCP SPT=62011 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0
05.06.2017 15:57:19    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=4683 DF PROTO=TCP SPT=62012 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:23    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=13.81.5.53 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=430 DF PROTO=TCP SPT=62013 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:25    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4684 DF PROTO=TCP SPT=62010 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:26    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=13.81.5.53 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=431 DF PROTO=TCP SPT=62013 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
05.06.2017 15:57:28    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4687 DF PROTO=TCP SPT=62010 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0

Dabei ist "rule 11" diejenige, die https verwirft, sollte der Versuch unternommen werden, sich mit https am Proxy vorbeizumogeln. Diese ist die vierte Zeile der eingangs aufgeführten Regeln:

Code: Alles auswählen

internal network => internet => https => drop

Nun habe ich daraufhin die drei Schalter im Webfilter auf "rot" gestellt, in der Hoffnung, einen Hinweis vom Webfilter zu erhalten, wenn kein(e) Regel/Profil/Kategorie gefunden/auflösbar ist. – Ich verstehe diese Schalter so, dass beim Nichtfinden einer Entsprechung, die Weiterreise vom Proxy beendet wird. Das funktioniert aber bei mir definitiv nicht so: Der Verbindungsversuch wird vom Proxy trotzt der drei Schalter auf rot nicht unterbunden und so erreicht dieser nachweisbar weiterhin "rule 11", die dann den HTTPS-Verbindungsversuch endgültig unterbindet.
An dieser Stelle bin ich langsam machtlos und brauche unbedingt Hilfe vom Support!

Ich werde nun den Support per E-Mail und/oder Telefon bemühen müssen, da ich hier ziemlich am Ende bin. Ich hoffe dabei, dass der Support die Lösung hier postet, um eventuell anderen Anwendern zu helfen, die dasselbe Problem haben.

Dankeschön im Voraus und viele Grüße

René Ketterer
isential gmbh

[kennethj]

Hallo,

aufgrund dass da keine Logs vom Proxy auftauchen, gehe ich einfach mal stark davon aus, dass der Installer von Visual Studio nicht über den Proxy geht.

Gruß

[isential gmbh]

Wie kann er nicht über den Proxy gehen, wenn die Portregeln das erzwingen?

Code: Alles auswählen

Code: Alles auswählen

internal network => internal interface => proxy
internal interface => internet => any => hn => accept

Diese Regeln stehen an erster Stelle und sollten immer greifen, wenn das interne Interface vom internen Netzwerk angesprochen wird. Damit landet der Datenstrom im Proxy. Wenn anschließend der Proxy den Datenstrom zulässt, geht es ins weite Internet raus – weitere Portregeln werden nicht mehr angewandt.

Wenn der Proxy den Zugriff ablehnt, hängt der weitere Verlauf – soweit ich das verstanden habe – von den drei Schaltern im Webfilter ab: a) keine Regel gefunden, b) kein Profil gefunden, c) Kategorie nicht auflösbar. Wenn aber die drei auf "rot" (ablehnen) gestellt sind, sollte die Reise an dieser Stelle zu Ende sein. Das tut es aber nicht, denn der Installer wird trotzdem erst durch eine weitere Portregel gestoppt, die erst gar nicht hätte erreicht werden dürfen:

Code: Alles auswählen

Code: Alles auswählen

internal network => internet => https => drop

Diese ist die vierte Portregel mit der Regel-Nummer 11 (siehe Eingangsposting). Genau diese Regel verhindert den HTTPS-Zugriff, was auch gewollt ist, falls mindestens einer der drei Schalter des Webfilters auf grün ist oder durch irgend einen Grund der Proxy einen HTTPS-Verbindungsversuch durchrutschen lässt (HTTP- und HTTPS-Verbindungen sollen ausschließlich über den Proxy gehen, daher die 3. und 4. Regel, die einen weiteren Zugriff ablehnen).

Nun sieht man an den Portmeldungen, dass der Verbindungsversuch über HTTPS den Proxy passiert und erst durch die Portregel 11 geblockt wird. Hier ein kleiner Auszug aus dem vorigen Posting:

Code: Alles auswählen

05.06.2017 15:56:30    kernel    DROP: in rule 11 IN=bridge0 OUT=eth0 MAC=a2:10:fe:8b:63:50:5f:52:00:64:f2:ea5:0f:01 SRC=192.168.70.8 DST=40.77.226.250 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=4656 DF PROTO=TCP SPT=62002 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0

Nun hat mich der Support angerufen und sind so verblieben, dass er mich um 11 Uhr nochmals anruft, um über eine TeamViewer-Sitzung das Problem zu untersuchen. Bin gespannt, warum das passiert.

Nochmals Danke und viele Grü0e

René Ketterer
isential gmbh

[kennethj]

Die Regeln erlauben nur den Zugriff auf den Proxy - Sie erzwingen die Verwendung aber nicht.
Erzwingen können Sie den Proxy nur über die transparenten Regeln im HTTP Proxy selber (Transparenter Modus)

[isential gmbh]

Die Regeln erlauben nur den Zugriff auf den Proxy - Sie erzwingen die Verwendung aber nicht.
Erzwingen können Sie den Proxy nur über die transparenten Regeln im HTTP Proxy selber (Transparenter Modus)

Danke! Im transparenten Modus habe ich aber keine Authentifizierung, was bei uns gefordert ist. Ich dachte (falsch vielleicht?), wenn der Webfilter nichts Passendes findet und alle drei Schalter auf "rot" sind, dass die Reise an dieser Stelle vorbei ist. Ansonsten erschließt sich mir deren Sinn nicht.

[Bjoern]

Hallo,

die Schalter blocken dann nur HTTP Verkehr wenn auch der transparente Modus aktiv ist. Warum Visual Studio nicht den Systemproxy verwendet könnte Ihnen der Anbieter ggf. sagen.

Gruß Björn

[isential gmbh]

Warum der Installer den Proxy zu umgehen versucht, müsste man Microsoft fragen. Auf jeden Fall sehr ärgerlich und unnötig.

Nachdem auch der Support über eine Fernwartungssitzung das bestätigte, was ich bereits vermutete, habe ich mir die Adressen angeschaut, die während der Installationsversuche durch den "HTTPS-Stopper" (Regel 11) geblockt wurden. Dazu habe ich in den Netzwerkobjekten eine Gruppe "Ausnahmen-Microsoft" erstellt und die blockierten Adressen darin als Ausnahme aufgenommen. Erst mit der Aufnahme der letzten Ausnahme ging es – daher weiß ich nicht, ob die davor notwendig sind. Ich werde am Wochenende das überprüfen, um eventuell nicht notwendige Ausnahmen von der Gruppe zu entfernen (wir wollen kein Loch in die Firewall bohren).

Anschließend habe ich vor den Portfiltern 10 und 11 (also direkt nach dem Proxy-Filter) eine Portregel erstellt, die den HTTPS-Verkehr für das neue Netzwerkobjekt "Ausnahmen-Microsoft" als Ziel beinhaltet und den Zugriff aufs Internet zulässt.

Code: Alles auswählen

Ausnahme-Microsoft-01  13.107.5.88/32     external 
Ausnahme-Microsoft-02  40.77.226.250/32   external 
Ausnahme-Microsoft-03  52.169.64.244/32   external 
Ausnahme-Microsoft-04  93.184.221.200/32  external 
Ausnahme-Microsoft-05  104.87.213.158/32  external 
Ausnahme-Microsoft-06  104.84.158.108/32  external 
Ausnahme-Microsoft-07  104.125.77.90/32   external 
Ausnahme-Microsoft-08  104.121.133.239/32 external 
Ausnahme-Microsoft-09  104.121.163.225/32 external

Grüße

René Ketterer
isential gmbh