ProxyZugriff auf Websites schneller als von Clients ohne Proxy, die auf Anyregel stehen- warum?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

ProxyZugriff auf Websites schneller als von Clients ohne Proxy, die auf Anyregel stehen- warum?

Beitrag von Junioruser1976 »

Hallo,

ich habe zunächst , weil ich noch wenige Erfahrungen mit der Proxykonfiguration habe, nur die DMZ mit 2 Testclients auf Proxy gesetzt incl. SSlIntercept- und das funktional für den Betrieb notwendige internal network läuft derzeit deshalb noch auf anyRegel. Die UTM ist in die AD des Internal Network eingebunden.

Seit ich hier die DMZ für SSl Interception freigeschaltet habe + Transparenten Proxy aktiviert, laufen die Clients im Internal Netzwerk, die noch im Portfilter auf Any stehen, hinsichtlich Zugriff auf Websites superlangsam: Der Zugriff auf Websites über die Proxyrechner der DMZ ist weitaus schneller als derjenige der Rechner, die auf any laufen.
Öfter kommt im Browser die Meldung: "Server nicht gefunden"- wenn man dann 2-3 x neu versucht, läuft es , aber eben sehr langsam- man kann unten links am Bildschirmrand die einzelnen Schritte wie z.B: TLSHandshake etc. mitlesen.
Ich hätte mir das eigentlich anders rum vorgestellt- dass der Proxy, da wo er wirkt, etwas bremst, aber nicht umgekehrt.

Irgendwo hakt das grad, aber keine Ahnung, was genau- ggf. irgendwas Richtung DNS Problem- passt aber auch nicht so ganz richtig.
Kurz vorher in einer Konfiguration OHNE "SSL/TranspProxy" hatte ich das Problem noch nicht.

Oder kann es sein, dass die UTM (wir haben die kleinste Version) ihre gesamte Rechenleistung einfach derzeit, seit SSL mit aktiv ist, für den Proxy verbraucht und daher any so langsam läuft?
Oder geht der Weg jetzt, sobald Proxy + SSL + Transparent, immer erstmal warum auch immer für ALLE NWOs zum Proxy? (wobei ich das unlogisch fände, weil ich zur Zeit hier für das internal network die Proxyregel deaktiviert habe, es ist nur die anyregel eingeschaltet- und bislang hab ich es so interpretiert, dass "any" heißt, dass es ein pass through ist und die Firewall außer der im Portfilter eingetragenen  Any-Regel nichts mehr mit dem Traffic macht, solange Any aktiv ist.

Hoffe, es kann mir hier jemand weiterhelfen.

Freundliche Grüße

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

verwenden die Clients ohne Proxy zufällig die UTM als DNS Server?
Generell ist der Portfilter schneller als der Proxy.  


Gruß 

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Hallo,

ja, die Clients ohne Proxy haben zunächst den Server der AD als bevorzugten DNS-Server und die UTM ist als alternativer DNS-Sever eingetragen.

Wenn Portfilter schneller als Proxy ist, wäre ja in jedem Fall dann auszuschließen, dass die Langsamkeit am Proxy liegt, richtig?

Ich überlege grad, ist UTM als DNS Server ungünstig hier, weil unnötiger Umweg bei Any? Wobei - dagegen spricht: bis ich für die Clients in der DMZ SSL aktiviert hatte, war die Geschwindigkeit für Clients bei any völlig normal...und ich hab an ipconfig ansonsten für diese Clients nichts verändert gehabt....

Abendliche Grüße

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Der DC selbst: Macht der ein DNS Forwarding auf die UTM?

Das ding ist: Wenn man die Regel internal-network -> internal-interface -> Proxy deaktiviert , werden nicht nur die Proxy Dienste verboten sondern auch DNS Anfragen an die Firewall 

Ergo Sie müssen dann eine Regel erstellen welche "DNS" auf das internal-interface freigibt.

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Hallo,

sorry, dass ich erst jetzt wieder online bin: und erstmal wieder Danke für die weitere Rückmeldung:

Also der DC hat bei IPv4 "bevorzugt" local host 127.0.0.1 und "alternativ" 192.168.100. 1 ( und das ist bei uns die UTM).

Zu Ihrem Hinweis:
"Das ding ist: Wenn man die Regel internal-network -> internal-interface -> Proxy deaktiviert , werden nicht nur die Proxy Dienste verboten sondern auch DNS Anfragen an die Firewall " habe ich noch folgende Rückfrage, bevor ich in die Richtung weiter probieren, ob ich es damit lösen kann:
Ich hatte ja "Proxy" für internal network schon länger komplett deaktiviert-und parallel die DMZ-Clients auf den Proxy geschickt zum üben-  und losgegangen ist es erst mit "Interntal Network-Internetzugriff wird langsam", seit ich hier für die DMZ-Clients SSL Interception + Transparenten Proxy aktiviert habe...wenn das grundsätzlich so wäre, dass ohne Proxyregel noch DNS freigegeben werden muss mit separater Regel, dann hätte doch eigentlich schon immer dann, wenn "Proxy" deaktiviert dort, das so langsam sein müssen? Nicht erst jetzt seit Aktivierung von SSL /Transparent?

Gruß

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Hallo,

das sind 2 verschiedene Paar Schuhe - in der DNS-Verwaltung am DC (Start -> Ausführen -> mmc -> Snap-In DNS hinzufügen) gibt´s in den Servereigenschaften eine Registerkarte Weiterleitungen - ggf. dort mal reinschauen, ob bzw. was dort etwas eingetragen ist.
Damit wird geregelt, wohin der DNS-Server am DC Anfragen, die er nicht selbst auflösen kann weiterleitet.

Für die DNS-Einstellungen beim TCP-Protokoll am DC selbst ist es soweit mir bekannt Best Practice folgende Reihenfolge einzuhalten:
  1. andere DCs der Domäne
  2. IP des lokalen DCs (192.168....)
  3. 127.0.0.1
ansonsten kann man das entweder am DC oder von einem Client aus mit nslookup relativ schön testen, die Antworten auf die Anfragen sollten natürlich immer prompt kommen und nicht erst nach 1-2 Sekunden Wartezeit.

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Hallo Kennetjh,

hab das jetzt heute mal in Ruhe probiert mit "zusätzliche neue Regel DNS" anlegen- und funktioniert:-)) 

nur nach wie vor versteh ich  zwar immer  noch nicht, warum  bzw. mit welcher Zielsetzung der DNS-Dienst bei Proxydeaktivierung gleich mit deaktiviert wird , wäre doch sinnvoll, wenn beide Features getrennt wären, da DNS ja mit der gesamten FW und nicht mit dem Proxy was zu tun hat...hm...warum ist das so? hat das einen Sinn und wenn ja wofür?

und nach wie vor bin ich sehr sicher, dass das Phänomen anfangs mit den werksseitig vorkonfigurierten Regeln primär so nicht da war, erst als wir hier das erste mal den Proxy transparent und mit SSL Interception eingerichtet haben, war das so, da bin ich mir fast 100% sicher...kann es sein, dass ggf. die Erstimplementation Proxy da das einmalig als Verknüpfung DNS/Proxy warum auch immer speichert als "interne Regel"?

Für mich gibts somit 2 Möglichkeiten zur Problemlösung für sauberes Laufen der Anyregel: entweder für die Clients bei den Netzwerkeinstellungen nicht die FW sondern einen anderen DNSServer eintragen (z.B den von Google), das ist dann aber datensicherheitstechnisch nicht so schön, weil "google" -glaub ich jedenfalls- dann "sehen kann" wo ich so surfe;-) - oder eben diese Regel mit DNS zusätzlich anlegen - denn mir ist wichtig, dass die Anyregel notfalls immer 100% greift- damit ich immer mal auch wenn sonst im Alltag alles auf Proxy läuft, auf "any" nochmal umschalten kann, z.B. falls mal was mit Updates o.ä komplett über Proxy nicht zum Laufen zu kriegen ist...

Viele Dank für die Hilfe und noch einen schönen restlichen Feiertag:-))

Junioruser1976
Beiträge: 37
Registriert: Di 02.07.2019, 07:43

Beitrag von Junioruser1976 »

Hallo HaPe,

auch Ihnen schonmal vielen Dank für die Anregungen zur Problemösung- bei DC steht bei Weiterleitungen nur die Firewall mit der eht1 Adresse (192.168.100.1)- sonst nichts, das müsste passen, oder?

ns-lookup hab ich auch grad mal probiert:
 für securepoint.de z.B. folgende Antwort:
www.securepoint.de
Server:  Server01.praxis.local
Address:  192.168.100.11

Nicht autorisierende Antwort:
Name:    http://www.securepoint.de
Address:  195.4.152.240
 
Für mich zum Dazulernen: ja, schnell ging es, keine Verzögerung- und hier wurde immer der Server der Domäne  (192.168.100.11) angegeben- ich les das jetzt so, dass der Client von dem ich das probiert habe, zunächst als primären DNS Server wie bei Netzwerkeinstellungen auch so eingestellt hat, den Server verwendet hat und der hat dann, wenn er es nicht kannte an die 192.168.100.1 (eth1) weitergeleitet- lese/verstehe ich das so richtig?

Viele Grüße und auch Ihnen noch einen schönen restlichen Feiertag

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

Auch wenn das Problem wohl schon gelöst ist, kurze Anmerkung dazu:
"die Clients ohne Proxy haben zunächst den Server der AD als bevorzugten DNS-Server und die UTM ist als alternativer DNS-Sever eingetragen." - Absolutes Nogo, in die DNS Konfiguration kommen immer nur DNS Server der Domain, als in dem Fall nur der eine DC wenn ich das richtig rauslese. Niemals der Router, Firewall oder sonst was. Maximal, wenn auf der Securepoint eine Relay Zone für die Domain angelegt wäre, aber das glaube ich nicht dass das bei Ihnen der Fall ist. Das sollten Sie also anpassen, nur den DC rein sonst machen Sie sich nur mehr Probleme ;-)

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Petasch hat geschrieben:Auch wenn das Problem wohl schon gelöst ist, kurze Anmerkung dazu:
"die Clients ohne Proxy haben zunächst den Server der AD als bevorzugten DNS-Server und die UTM ist als alternativer DNS-Sever eingetragen." - Absolutes Nogo, in die DNS Konfiguration kommen immer nur DNS Server der Domain, als in dem Fall nur der eine DC wenn ich das richtig rauslese. Niemals der Router, Firewall oder sonst was. Maximal, wenn auf der Securepoint eine Relay Zone für die Domain angelegt wäre, aber das glaube ich nicht dass das bei Ihnen der Fall ist. Das sollten Sie also anpassen, nur den DC rein sonst machen Sie sich nur mehr Probleme ;-)
Das würde mich interessieren, warum?
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

David hat geschrieben:
Petasch hat geschrieben:Auch wenn das Problem wohl schon gelöst ist, kurze Anmerkung dazu:
"die Clients ohne Proxy haben zunächst den Server der AD als bevorzugten DNS-Server und die UTM ist als alternativer DNS-Sever eingetragen." - Absolutes Nogo, in die DNS Konfiguration kommen immer nur DNS Server der Domain, als in dem Fall nur der eine DC wenn ich das richtig rauslese. Niemals der Router, Firewall oder sonst was. Maximal, wenn auf der Securepoint eine Relay Zone für die Domain angelegt wäre, aber das glaube ich nicht dass das bei Ihnen der Fall ist. Das sollten Sie also anpassen, nur den DC rein sonst machen Sie sich nur mehr Probleme ;-)
Das würde mich interessieren, warum?
Da handelt man sich Probleme im eigenen AD ein.
Sollte der DC mal nicht schnell genug antworten (für eine DNS-Anfrage ins lokale AD), dann bekommt der Client ein "kenn ich nicht" vom Router (ohne Relay-Zone) zurück.

Antworten