Hallo,
Auf unserer UTM ist eine Portweiterleitung auf Port 443 zu unserem Webserver eingestellt (internet -> Webserver, TCP 443, Destnat: external Interface, TCP 443). Das funktioniert soweit auch wunderbar. Wenn ich aber den Http-Proxy nutze um auf unsere Website zuzugreifen, werde ich nicht weiter geleitet sondern lande auf dem Webinterface der UTM.
Ich habe es mit einer neuen Weiterleitungsregel ( external Interface -> Websever, TCP 443, Destnat: external Interface, TCP 443) versucht, leider ohne Erfolg.
Wenn ich mich über den Proxy auf der UTM anmelde, steht die Anmeldung mit der externen IP im Log. Ich vermute daher, dass ich für eine funktionierende Weiterleitung ein Netzwerkobjekt mit der externen IP in einer anderen Zone als extern, bzw firewall-extern einrichten muss. Mir ist jedoch nicht klar in welcher.
Oder umgeht der Proxy beim Zugriff auf die UTM (also quasi sich selbst) die Firewall komplett?
Portweiterleitung bei Nutzung des Http-Proxy
Moderator: Securepoint
Aendern Sie den Userinterface-Webserverport unter Netzwerk > Servereinstellungen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Nach Ändern der Ports für das Userinterface bekomme ich beim Versuch unsere Seite aufzurufen den Fehler
Andere Webseiten kann ich mit und ohne Proxy problemlos erreichen,
Wenn ich statt der URL die interne IP eingebe, funktioniert alles wie es soll (einschließlich BAD_CERT_DOMAIN Fehler, den man ja wegklicken kann (Ausnahmeregel für die Zertifikatsverifizierung steht bereits))
Wenn ich SSL-Interception deaktiviere kommt stattdessen der FehlerSecure Connection Failed
An error occurred during a connection to www.domain. SSL received a record that exceeded the maximum permissible length.
Error code: SSL_ERROR_RX_RECORD_TOO_LONG
Unklar ist, warum es da einen Unterschied gibt, da für .*domain eine Ausnahme zur SSL-Interception konfiguriert sein sollte.Unable to connect
Firefox can’t establish a connection to the server at www.domain.
Andere Webseiten kann ich mit und ohne Proxy problemlos erreichen,
Wenn ich statt der URL die interne IP eingebe, funktioniert alles wie es soll (einschließlich BAD_CERT_DOMAIN Fehler, den man ja wegklicken kann (Ausnahmeregel für die Zertifikatsverifizierung steht bereits))
Sie versuchen von Intern die Externe IP der Firewall aufzurufen?
Das wird mit dem Transparenten Proxy nicht funktionieren, selbst wenn Sie Ausnahmen definieren und eine Portumleitung Intern bauen.
Benutzen Sie die Externe IP, wenn Sie von Extern kommen. Verwenden Sie die interne IP, wenn Sie von Intern kommen. Das Userinterface muss jedenfalls von Port 443 runter, wenn Sie eine Portweiterleitung auf den internen Server fuer den gleichen Port bauen.
Um den Zugriff auf den Webserver zu Erleichtern sollten Sie intern fuer den FQDN die interne IP zurueckgeben lassen vom verwendeten Nameserver, mit moeglichst kurzer Lifetime.
Das wird mit dem Transparenten Proxy nicht funktionieren, selbst wenn Sie Ausnahmen definieren und eine Portumleitung Intern bauen.
Benutzen Sie die Externe IP, wenn Sie von Extern kommen. Verwenden Sie die interne IP, wenn Sie von Intern kommen. Das Userinterface muss jedenfalls von Port 443 runter, wenn Sie eine Portweiterleitung auf den internen Server fuer den gleichen Port bauen.
Um den Zugriff auf den Webserver zu Erleichtern sollten Sie intern fuer den FQDN die interne IP zurueckgeben lassen vom verwendeten Nameserver, mit moeglichst kurzer Lifetime.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Nach Umstellen des Nameserver leider keine Änderung:
27.10.2020 14:12:09 HTTP-Proxy (squid) Timestamp=1603804329.317 Response time=66310 192.168.x.x 192.168.y.y:443 Squid request status=TCP_TUNNEL/200 Total size=314473 Request method=CONNECT Username=- Squid hierarchy status=HIER_DIRECT/192.168.y.y MIME type=-
27.10.2020 15:17:01 spcfcd ALLOWED ip="192.168.x.x", id="internal%2dnetworks%5cinternal%2dnetworks%5fruleset%5f1", srv="88.198.62.165", cat="", cat_all="127.0.255.255", act="GROUPDEF", url="https://jitsi.domain", sni=""
27.10.2020 14:12:10 HTTP-Proxy (squid) Timestamp=1603804330.728 Response time=20 192.168.x.x jitsi.domain:443 Squid request status=TAG_NONE/503 Total size=0 Request method=CONNECT Username=- Squid hierarchy status=HIER_NONE/- MIME type=-
192.168.y.y ist hier die interne IP von jitsi.domain
27.10.2020 14:12:09 HTTP-Proxy (squid) Timestamp=1603804329.317 Response time=66310 192.168.x.x 192.168.y.y:443 Squid request status=TCP_TUNNEL/200 Total size=314473 Request method=CONNECT Username=- Squid hierarchy status=HIER_DIRECT/192.168.y.y MIME type=-
27.10.2020 15:17:01 spcfcd ALLOWED ip="192.168.x.x", id="internal%2dnetworks%5cinternal%2dnetworks%5fruleset%5f1", srv="88.198.62.165", cat="", cat_all="127.0.255.255", act="GROUPDEF", url="https://jitsi.domain", sni=""
27.10.2020 14:12:10 HTTP-Proxy (squid) Timestamp=1603804330.728 Response time=20 192.168.x.x jitsi.domain:443 Squid request status=TAG_NONE/503 Total size=0 Request method=CONNECT Username=- Squid hierarchy status=HIER_NONE/- MIME type=-
192.168.y.y ist hier die interne IP von jitsi.domain
Warum wird versucht, das Ziel ueber den Proxy aufzurufen? Bitte Ausnahmen beim Client eintragen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de