Proxy nur im Firmennetz

Lulz · Beitrag von **Lulz** » So 14.03.2021, 14:05

Hi,

wie handhabt ihr den Proxy bei Geräten die das Firmenetz verlassen? Wenn Kunde sein Notebook mitnimmt kann er daheim nicht surfen weil noch der Proxy fest in Windows eingestellt ist, best practice?

stefan.burrey · Beitrag von **stefan.burrey** » So 14.03.2021, 18:55

Kurz und knapp: wpad

https://www.msxfaq.de/windows/wpad.htm

merlin · Beitrag von **merlin** » So 14.03.2021, 19:50

Schon etwas älter, aber funktioniert bei uns immer noch problemlos:
viewtopic.php?f=27&t=7154&p=18073&hilit ... gpo#p18073

Lulz · Beitrag von **Lulz** » So 14.03.2021, 22:44

stefan.burrey hat geschrieben: Kurz und knapp: wpad

https://www.msxfaq.de/windows/wpad.htm

Aber ist doch auch mist

also hab ich zur Nutzung des Webfilters nur folgende Optionen (wenn Geräte im Spiel sind die mitgenommen werden)

- mit Proxy:
1.wpad (umständlich einzurichten/zu verteilen)
2.proxyswitcher (Zusatzsoftware)
- mit transparentem Proxy (nur http)
- mit transparentem Proxy mit importiertem Zertifikat (https Fehler wg Zertifikat)

Beitrag von **Mario** » Mo 15.03.2021, 13:42

Der Link zu der Datei ist nicht so umstaendlich zu verteilen. Per DHCP sollte sich das machen lassen.

Kommt der Client an die Datei > Proxy-Einstellungen werden genommen
Findet der Client die Datei nicht > Kein Proxy

florian.pfeil · Beitrag von **florian.pfeil** » Mi 17.03.2021, 14:11

Wir haben uns auch lange mit fixen Proxys gequält, viele Programme etc. können damit nicht umgehen.

Seit dem wir auf Proxy mit Transparenten Modus umgestellt haben, läuft alles viel unkomplizierter.

Seit 11.8 ist es möglich die SSL-Interception auf Seiten zu beschränken, die vom Webfilter abgefangen wurden.

Beitrag von **Mario** » Mi 17.03.2021, 15:12

Eigentlich macht der feste Proxy alles einfacher, speziell wenn etwas nicht direkt klappt. Zudem ist er auch noch flinker.

Wenn es Anwendungen gibt, die den Proxy nicht unterstuetzen, muessen beim Client lokal Ausnahmen gesetzt werden. Das wars dann auch schon. Fuer den Rest gibt es Ausnahmen fuer die Authentifizierung/ SSL Interception (Die man hier nicht braucht fuer den Webfilter, sondern optional zusaetzliche Sicherheit ermoeglicht)

stefan.burrey · Beitrag von **stefan.burrey** » Mi 17.03.2021, 20:10

Mario hat geschrieben: Eigentlich macht der feste Proxy alles einfacher, speziell wenn etwas nicht direkt klappt. Zudem ist er auch noch flinker.

Wenn es Anwendungen gibt, die den Proxy nicht unterstuetzen, muessen beim Client lokal Ausnahmen gesetzt werden. Das wars dann auch schon. Fuer den Rest gibt es Ausnahmen fuer die Authentifizierung/ SSL Interception (Die man hier nicht braucht fuer den Webfilter, sondern optional zusaetzliche Sicherheit ermoeglicht)

So einfach ist das nicht, wenn der einzige Weg nach draußen der Proxy ist.
Alles was am Client exkludiert wird, muss mit extra Regel und HideNAT ins WAN zeigen. So lange noch immer keine DNS basierte Portregeln möglich sind, ein aufwendiges, teils unmögliches Unterfangen.

Beitrag von **Mario** » Do 18.03.2021, 09:58

Letzteres kommt ja dann mit der v12