IP-Adresse über Port 4433 wird stets geblockt

[isential gmbh]

Hallo!

Wir verwenden die UTM-FW mit der neuesten Firmware.

Der Datenverkehr geht über den HTTP-Proxy (Port 8080, kein transparenter Modus). Authentifizierungsmethode ist NTLM (Active-Directory). Wir haben umfangreiche Authentifizierungsausnahmen, Webseiten-Whitelisten (für den Virenscanner) und Regelsätze für den Webfilter eingerichtet. Damit funktioniert auch alles (Windows-, Visual-Studio-, Office- und Virenscanner-Updates, Downloads usw.).

Damit beim Surfen keiner den Proxy umgeht, haben wir Portregeln erstellt, die http (80) und https (443) blocken. Es ist jedoch für einige IP-Adressen erlaubt, die als Ausnahmen verwaltet werden, über http (80) oder https (443) unter Umgehung des Proxy ins Internet zu kommen. In erster Linie für Update-Dienste, die ohne Authentifizierung (für die gibt es Authentifizierungsausnahmen) ins Internet wollen.

Bisher funktioniert alles.

Nun habe ich einen Zugang für ein SSL-VPN erhalten, der jedoch über den Port 4433 geht. Diese initiere ich über den Browser, indem ich die ipv4-Adresse in der Form "https://a.b.c.d:4433" eingebe. Egal was ich mache, die Verbindung wird immer vom Proxy abgelehnt. Ich erhalte folgenden Eintrag:

Code: Alles auswählen

13.03.2018 16:34:01HTTP-Proxy (squid)1520955241.834 1 192.168.70.4 TCP_DENIED/403 4124 CONNECT a.b.c.d:4433 - HIER_NONE/- text/html

Firefox meldet:

Fehler: Proxy-Server verweigert die Verbindung

Firefox wurde konfiguriert, einen Proxy-Server zu nutzen, der die Verbindung zurückweist.

    Überprüfen Sie bitte, ob die Proxy-Einstellungen korrekt sind
    Kontaktieren Sie bitte Ihren Netzwerk-Administrator, um sicherzustellen, dass der Proxy-Server funktioniert

und Edge:

Diese Seite ist nicht erreichbar.

Probieren Sie Folgendes

• Stellen Sie sicher, dass Sie die richtige Webadresse verwenden: https://a.b.c.d:4433
• [url=ms-appx-web://microsoft.microsoftedge/assets/errorpages/dnserror.html?ErrorStatus=0x800C000E#]Auf Bing nach „https://a.b.c.d:4433“ suchen[/url]
  
• [url=ms-appx-web://microsoft.microsoftedge/assets/errorpages/dnserror.html?ErrorStatus=0x800C000E#]Seite aktualisieren[/url]
  

Details

Fehlercode: INET_E_SECURITY_PROBLEM

Ich habe sogar eine Portregel erstellt, die für die Zieladresse "a.b.c.d" über den Dienst "tcp, 4433" vom "internal-network" den Zugriff zulässt – interessiert nicht. Den HTTP-Proxy habe ich nach den Änderungen auch immer wieder neu gestartet, bringt aber genauso wenig.

Was mache ich falsch bzw. wie kann ich erreichen, dass bei Verwendung des Proxy diese eine Adresse über den angegebenen Port nicht geblockt wird?

Im Voraus herzlichen Dank!

René

[David]

Hallo Rene,
ich habe hier einen Ansatz für Sie, allerdings ist diese mit Vorsicht zu genießen, hier kann viel kaputt gehen.
Event. wäre es sinnvoller bei komplexeren Installationen ein Ticket im Support aufzumachen.
Aber ich fass hier mal kurz zusammen:

• Templateeditor öffnen
• Template für den squid öffnen
• • dieser Zeile:                 

    Code: Alles auswählen

    acl SSL_ports port 22 443 563 873 11114 11115

  • folgendes hinzufügen: 

    Code: Alles auswählen

    acl SSL_ports port 22 443 563 873 11114 11115 4433

• speichern
• proxy neu starten

Ich kann es nicht genug betonen, Vorsicht! Unbedingt die Änderungen über die Templates vornehmen, nicht über die rootShell direkt die Dateien anpassen!

[isential gmbh]

Herzlichen Dank! Es hat sofort funktioniert.
LG
René