VLAN+Proxy=Problem

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

VLAN+Proxy=Problem

Beitrag von it@ff-don.de »

Hallo zusammen,

wir haben jetzt über einen längeren Zeitraum unsere Black Dwarf im Einsatz mit mehreren VLAN´s, alles problemlos.

Das VLAN 100 und VLAN 200 sind komplett voneinander getrennt, lediglich die Internetverbindung wird über die Securepoint geteilt.

Nachdem ich mal wieder das Thema Proxy/Webfilter in Angriff genommen habe ist mir aufgefallen das ich jetzt auf einmal von einem VLAN ins andere komme, obwohl ich nur 1 Rechner probehalber mit dem Proxy umgestellt habe.

Zum Verständnis:

VLAN 100 = Alle Rechner unberührt, Konfi und Portregeln nicht angepasst.

VLAN 200 = Einen Rechner mit dem Proxy Konfiguriert und dem VLAN 200 Netzwerk den Webcach auf dem VLAN 200 Interface freigegeben.

Der Transparent Proxy ist Deaktiviert.
SSL Intercept ist Aktiviert und Funktioniert.



Kann irgendwer dieses verhalten erklären? bzw. hat eine Lösung dies wieder abzustellen.
Ebenso ist mir aufgefallen das ich mit Proxyverbindung auch auf die Adminoberfläche der Securepoint komme obwohl dies eigentlich nicht möglich sein sollte



Gruß Dennis

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

das liegt daran das es ein Dienst der Firewall ist. Daher sind die Netze bekannt und werden dann dementsprechend weitergegeben. Wenn Sie dies nicht wollen sollten Sie in den Internetoptionen die Subnetze aus dem Proxy ausnehmen oder über den Webfilter blockieren.


Gruß Björn

it@ff-don.de
Beiträge: 18
Registriert: Mo 03.09.2018, 18:28

Beitrag von it@ff-don.de »

Bjoern hat geschrieben:Hallo,

das liegt daran das es ein Dienst der Firewall ist. Daher sind die Netze bekannt und werden dann dementsprechend weitergegeben. Wenn Sie dies nicht wollen sollten Sie in den Internetoptionen die Subnetze aus dem Proxy ausnehmen oder über den Webfilter blockieren.


Gruß Björn
Danke für deine Antwort, ich werde das später mal ausprobieren

ThomasSWCS
Beiträge: 52
Registriert: Di 31.12.2019, 11:50

Beitrag von ThomasSWCS »

Bjoern hat geschrieben:Hallo,

das liegt daran das es ein Dienst der Firewall ist. Daher sind die Netze bekannt und werden dann dementsprechend weitergegeben. Wenn Sie dies nicht wollen sollten Sie in den Internetoptionen die Subnetze aus dem Proxy ausnehmen oder über den Webfilter blockieren.


Gruß Björn
Hallo, ich möchte mehrere VLAN's einrichten, die keine Verbindung untereinander haben sollen. Mehrere, nicht alle, sollen aber den Proxy/ Webfilter nutzen. Können sie bitte kurz erläutern, was sie mit
die Subnetze aus dem Proxy ausnehmen oder über den Webfilter blockieren.
genau meinen ?.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

in den Internetoptionen von Windows können Sie beim Proxy Ausnahmen setzen. Hier wären dann die Zielnetze als Ausnahme zu setzen.

Gruß Björn

ThomasSWCS
Beiträge: 52
Registriert: Di 31.12.2019, 11:50

Beitrag von ThomasSWCS »

Hallo, ok, habe ich verstanden. Die "Ausnahmen" nutzen dann nicht den Proxy, damit gelten wieder die Firewallregeln.
Also eine Ausnahme wie "192.168.xxx.0/24" löst das Problem.

Danke

Thomas

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Hallo,

also besser wäre es doch das über den Webfilter zu machen bzw. für den transparenten Proxy Ausnahmen in der Securepoint einzutragen - ansonsten braucht der Benutzer nur die Ausnahmen aus dem IE rauslöschen und kommt wieder hin wo er ggf. garnicht hin soll...

Aber danke für den Thread - jetzt ist mir auch gerade aufgefallen, dass da letztens ja was war - nur hatte ich keine Zeit das gleich näher zu hinterfragen, warum das doch geht, obwohl´s eigentlich nicht sollte.

Eventuell wäre hier auch ein gewisses Umdenken seitens Securepoint hilfreich, denn wenn man Verbindungen über den Proxy zwischen internen VLANs will, dann sollte man das einstellen müssen anstatt darüber nachzudenken, wo überall alle möglichen Kombinationen verboten werden sollten, damit da kein Verkehr über den Proxy von einem VLAN ins andere gelangt.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Warum? Dies ist doch bereits moeglich?

Fuer den Proxy kann eine ausgehende IP-Adresse angegeben werden. Eingehend an den Interfaces entsprechend fuer den festen Proxy helfen Portfilterregeln. Und beim TP kann man zum Schluss  Exclude-Regeln erstellen.

Die Firewall darf alles. Wenn man das im Hinterkopf behaelt sind die notwendigen Schritte schnell unternommen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten