Hallo,
erstmal allen hier ein gutes neues Jahr 2021.
Ich habe hier folgendes Phänomen: ist zwar eher unwahrscheinlich, dass es direkt an der Parametrierung der UTM liegt, aber da wir schon länger nach einer Lösung suchen, möcht ich jetzt doch auch nochmal die Community von Securepoint befragen- vielleicht hat doch jemand von Ihnen auch schonmal sowas gehabt und ggf. einen Lösungsansatz ?
Ich habe 2 Applikationen (laufen auf win10), die eigentlich sich nur auf eine Maschine im internen Netz /gleicher Adressbereich verbinden sollen für einen Datenaustausch zwischen beiden Instanzen.
Anstelle des direkten Zugriffs von der Maschine auf die Zieladresse wird diese Anfrage aber über den httpProxy der UTM geroutet und fliegt dann dort mangels entsprechender Ausnahmen raus.
Natürlich könnte man das zum Weiterarbeiten vermutlich vordergründig relativ schnell heilen, indem ich jetzt halt entsprechende Regeln für Ausnahmen usw. wieder mache am proxy- aber ich möchte eigentlich nicht ohne Not diese Ausnahmeregelungen hier machen, denn eigentlich muss dieser Verkehr innerhalb ein- und desselben IPAdressbereiches ja überhaupt nicht über die Firewall und ich frage mich, wie das getriggert wird, dass es trotzdem dahinläuft.
Beispiel:
Maschine mit IP 192.168.100.21 soll eigentlich nur auf den Server 192.168.100.11 (OLAP SErver) zugreifen über 10443 - der Aufruf läuft stattdessen über die UTM auf den httpProxy und wird dann dort gesperrt und ich krieg anstelle des Webinterface die rote UTM Meldun.
Fehlermeldung:
Frontend:
The following error was encountered while trying to retrieve url 192.168.100.11: 10443
Access denied
Logs:
192.168.100.21 tpc denied/200 0 connect 192.168.100.11:10443- Hier none
und
192.168.100.21 tag_none/403 148299 get https://192.168.100.11:10443/ncjs/OLAPSERVICE/webjars/olap-webapp/index.html?-Hier_none-text/html
Hat jemand von Ihnen sowas auch schonmal beobachtet und ggf. eine Idee dazu?
Danke und Grüße an alle
interner Aufruf von IPAdresse innerhalb gleichen Adressbereichs läuft ungewollt auf UTM /httpProxy
Moderator: Securepoint
-
Junioruser1976
- Beiträge: 37
- Registriert: Di 02.07.2019, 07:43
Hallo,
wenn der Aufruf über die IP geht und dennoch an den Proxy geschickt wird liegt es daran das Windows das Lokale Netz nicht von den Internetoptionen ausnimmt. Hier sollten explizit das Netz oder die IP ausnehmen.
Gruß Björn
wenn der Aufruf über die IP geht und dennoch an den Proxy geschickt wird liegt es daran das Windows das Lokale Netz nicht von den Internetoptionen ausnimmt. Hier sollten explizit das Netz oder die IP ausnehmen.
Gruß Björn
-
Junioruser1976
- Beiträge: 37
- Registriert: Di 02.07.2019, 07:43
Hallo Bjoern,
herzlichen Dank für die Rückmeldung : das mit Proxyausnahme setzen war auch eigentlich schon ein Lösungsansatz von mir- ich hatte daher zurückliegend beim Systemproxy den Haken bei "nicht für lokale Adressen verwenden" bereits gesetzt, aber das allein hatte nicht gereicht.
Habe jetzt aber motiviert durch Ihre Antwort auch nochmal eine zusätzliche Ausnahme da gesetzt, wo normalerweise zusätzliche lokale Adressen hinkämen- und damit läuft es:-)
Ich gehe davon aus, dass Win einen Algorithmus hat: "wenn Adresse mit https... beginnt, dann ist das was externes und dann muss das wenn nicht explizite Ausnahme vorliegt, zum Proxy"- egal, ob hiermit eine interne oder externe IP Adresse aufgerufen wird - und beide GUI Aufrufe sind eben auch grad solche mit https://.... würde passen...
Viele Grüße
herzlichen Dank für die Rückmeldung : das mit Proxyausnahme setzen war auch eigentlich schon ein Lösungsansatz von mir- ich hatte daher zurückliegend beim Systemproxy den Haken bei "nicht für lokale Adressen verwenden" bereits gesetzt, aber das allein hatte nicht gereicht.
Habe jetzt aber motiviert durch Ihre Antwort auch nochmal eine zusätzliche Ausnahme da gesetzt, wo normalerweise zusätzliche lokale Adressen hinkämen- und damit läuft es:-)
Ich gehe davon aus, dass Win einen Algorithmus hat: "wenn Adresse mit https... beginnt, dann ist das was externes und dann muss das wenn nicht explizite Ausnahme vorliegt, zum Proxy"- egal, ob hiermit eine interne oder externe IP Adresse aufgerufen wird - und beide GUI Aufrufe sind eben auch grad solche mit https://.... würde passen...
Viele Grüße