gateway to gateway ipsec. keine html verbindung

Moderator: Securepoint

Gesperrt
wipien
Beiträge: 9
Registriert: Fr 07.03.2008, 12:49
Wohnort: Germany
Kontaktdaten:

gateway to gateway ipsec. keine html verbindung

Beitrag von wipien »

beim aufruf einer html-seite von einem standort in den anderen kann die seite nicht angezeigt werden. es kommt immer die meldung "no route to host". dns einträge stimmen, tracert und ping funktioniert auch

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

läuft auf dem Standort wo der Webserver steht der transparente Proxy auf der FW?
There are 10 types of people in the world... those who understand binary and those who don\'t.

wipien
Beiträge: 9
Registriert: Fr 07.03.2008, 12:49
Wohnort: Germany
Kontaktdaten:

Beitrag von wipien »

ja genau

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Haben Sie den schon mal ausgeschaltet und dann das Ganze versucht?
There are 10 types of people in the world... those who understand binary and those who don\'t.

wipien
Beiträge: 9
Registriert: Fr 07.03.2008, 12:49
Wohnort: Germany
Kontaktdaten:

Beitrag von wipien »

sorry
Zuletzt geändert von wipien am Do 08.05.2008, 09:44, insgesamt 1-mal geändert.

wipien
Beiträge: 9
Registriert: Fr 07.03.2008, 12:49
Wohnort: Germany
Kontaktdaten:

Beitrag von wipien »

sorry, nach abschalten der transparenten proxys geht es, nur diese brauche ich aber.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

der Proxy sendet mit der externen Adresse die Daten ins Internet somit werden die Pakete nicht in den Tunnel geschickt. Sie koennen das Template vom Squid-Proxy anpassen um diesem zu sagen, dass er mit der internn Adresse nach draussen senden soll. Damit greift dann auch das gesamte NAT-Regelwerk und Pakete werden in den Tunnel nicht maskiert aber wenn diese ins Internet gehen.

Das Stichwort lautet:

TCP-Outgoing-Adress:
There are 10 types of people in the world... those who understand binary and those who don\'t.

wipien
Beiträge: 9
Registriert: Fr 07.03.2008, 12:49
Wohnort: Germany
Kontaktdaten:

Beitrag von wipien »

D.h configuration in der squid.conf?

wipien
Beiträge: 9
Registriert: Fr 07.03.2008, 12:49
Wohnort: Germany
Kontaktdaten:

Beitrag von wipien »

kann ich in der squid.conf bei der ausgehenden adresse zb tcp_outgoing_address 100.1.1.1 aclname auch ein netz eintragen z.b tcp_outgoing_address 100.1.1.0/255.255.255.0 aclname.

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Richtig, Sie müssen das Template anpassen. Beispiele gibt es im Forum:

show extc_template /etc/squid/squid.conf <- Zeigt das aktuelle Template

change extc_template /etc/squid/squid.conf <- Hier können Sie Text einfügen, Z.B in Putty, mit einem Rechtklick aus der Zwischenablage

Return ** Return <- schließt die Eingabe ab

Den Dienst über den Manager neustarten

wipien hat geschrieben: kann ich in der squid.conf bei der ausgehenden adresse zb tcp_outgoing_address 100.1.1.1 aclname auch ein netz eintragen z.b tcp_outgoing_address 100.1.1.0/255.255.255.0 aclname.
Ich denke nicht das das geht, denn es macht einfach keinen Sinn! Das Paket muss ja eindeutig einer IP-Adresse zugewiesen werden können.
Zuletzt geändert von carsten am Di 03.06.2008, 15:50, insgesamt 1-mal geändert.
There are 10 types of people in the world... those who understand binary and those who don\'t.

Benutzeravatar
Thomas Hofmann
Beiträge: 60
Registriert: Do 11.09.2008, 13:25
Wohnort: München
Kontaktdaten:

Beitrag von Thomas Hofmann »

Hallo Zusammen,

Ich habe mich heute ebenfalls mit dem transparenten Proxy beschäftigt. Wieso bitte gibt es hier keine wirklich einfach Regelung. Dieses Thema muss doch bei jedem auftauchen, der mit dem Proxy arbeitet und z.B. VPN Verbindungen verwaltet.

Wieso kann beispielsweise kein Schalter in der Software sein, der diesen Eintrag für den Benutzer vornimmt?

Ich kaufe doch eine fertige Firewall, deren Konfiguration über eine mitgelieferte Software stattfinden soll. Alle Beiträge heir im Forum verweisen immer wieder auf die manuelle Änderung der Templates mit Putty.

Ich bin erschüttert.

Thomas Hofmann
Thomas Hofmann
Hofmann PC-Systeme

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Hallo,

es gibt zwei Seiten der Medaille.

Es muss schon einen Mittelweg aus Einstellungsmöglichkeiten und Übersichtlichkeit geben damit auch "Laien" eine Konfiguration machen können.

Nicht immer gelingt es in diesem Bereich alle Benutzer zu frieden zu stellen ;)

Eine Verbesserung gibt es schon mit dem Build 5888, es ist nur noch die Variable OUTGOING_ADDR zu ändern.

Code: Alles auswählen

change extc_value http_proxy OUTGOING_ADDR 192.168.1.1
Zuletzt geändert von carsten am Fr 20.02.2009, 18:06, insgesamt 1-mal geändert.
There are 10 types of people in the world... those who understand binary and those who don\'t.

Benutzeravatar
Thomas Hofmann
Beiträge: 60
Registriert: Do 11.09.2008, 13:25
Wohnort: München
Kontaktdaten:

Beitrag von Thomas Hofmann »

Hallo Carsten,

das klingt doch schon fast wie Musik in meinen Ohren ;-) Damit ist es zumindest schon mal möglich, ohne ausbauen des Motors schon mal an die Zündkerzen zu kommen.

Trotzdem, die Securepoint ist sicher nicht bereit für Laien. Ich selbst sehe mich mit solidem Halbwissen ständig an der Grenze zur Verzweiflung. Hier bleibt nur der Vergleich zu anderen Firewalls. Da ist das alles über eine entsrpechende Software machbar, ohne SSH Befehle. Außerdem lässt sich dann auch der jeweilige Zustand über die Software aufrufen. Warum gibt es keine einfache Editiermöglichkeit solcher Einstellungen über die Software? Beispiel: Zu den Diensten einen ordentlichen Knopf zum editieren möglicher Einstellungen des Dienstes ansich.

Die Übersichtlichkeit ist deshalb ja nicht gefährdet.
Thomas Hofmann
Hofmann PC-Systeme

carsten
Beiträge: 644
Registriert: Fr 05.10.2007, 12:56

Beitrag von carsten »

Eine Art Template/Variablen-Editor habe ich schon an die Entwicklung in Auftrag gegeben.

Ich warte nur noch auf die Umsetzung im Manager.
There are 10 types of people in the world... those who understand binary and those who don\'t.

Andreas
Securepoint
Beiträge: 124
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

Nun ja - bei anderen Firewalls ist es aber leider auch so, was nicht über die Konfigurations-Software einstellbar ist, lässt sich überhaupt nicht einstellen, von den weitreichenden Möglichkeiten der Netzwerkanalyse im Fehlerfall mal ganz abgesehen ;-) Höchste Flexibilität und maximale Einfachheit sind nicht einfach unter einen Hut zu bringen.

In der nächsten Software-Version wird übrigens vieles anders und hoffentlich besser - beispielsweise bekommen Sie ein Webinterface mit einer Startseite, auf der Sie auf einem Blick die wichtigsten Zustandsdaten (Netzwerkstatus, Maschinenauslastung, Dienste- und VPN-Status) der Appliance sehen können - diese Übersicht aktualisiert sich dann auch regelmäßig von selbst.

Einen Vorgeschmack darauf erhalten Sie, wenn Sie sich den "Schwarzen Zwerg" anschauen: Terra Black Dwarf
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)

Andreas
Securepoint
Beiträge: 124
Registriert: Di 18.03.2008, 15:56
Wohnort: Wrestedt
Kontaktdaten:

Beitrag von Andreas »

Hallo,

in der nächsten Manager-Version wird bei allen Aktionen, die einen Dienste-Neustart mit sich bringen, der Dienste Status automatisch aktualisiert.
Such dir einen Beruf den du liebst und du musst nie wieder arbeiten! (chinesische Weisheit)

Gesperrt