Unser Firmennetzwerk hängt an eth1 und der gesamte Datenverkehr wird über den HTTP-Proxy (Port 8080) erzwungen (KEIN transparenter Modus). Authentifizierungsmethode ist dabei NTLM (Active-Directory). Wir haben umfangreiche Authentifizierungsausnahmen, Webseiten-Whitelisten (für den Virenscanner) und Regelsätze für den Webfilter eingerichtet. Damit funktioniert alles, was wir brauchen (Windows-, Visual-Studio-, Office- und Virenscanner-Updates, Downloads usw.).
Damit niemand auf die Idee kommt, den Proxy zu umgehen, habe ich Portregeln erstellt, die http und https blocken, wenn diese nicht vorher vom Proxy blockiert wurden. Das sieht man im nächsten Bild im grünen Teil:
Bild mit Portregeln
Das gelbe Teil zeigt die dafür notwendigen Portregeln. Diese gelten für eth1 und die Zone internal.
Das grüne Teil gilt für eth2 und die Zone internal-eth2.
Anmerkung 1:
Analog zu den von eth1 verwendeten Zonen habe ich für eth2 Zonen erstellt und verwendet. Diese haben alle den Suffix "-eth2".
Frage 1:
Nun ist es mir nicht gelungen, eth2 ohne Proxy zu verwenden. Wie es aussieht, gilt der Proxy systemweit – ist das richtig?
Ich musste deswegen im grünen Teil die erste Zeile mit dem Proxy einfügen, damit das an eth2 hängende Netz ins Internet kann. Ich hätte es für diese Schnittstelle aber gerne ganz ohne Proxy.
Anmerkung 2:
Wie weiter oben erwähnt, habe ich alle Einstellungen für eth2 von eth1 dupliziert und entsprechend adaptiert (z. B. bei den neuen Zonen eth2 anstelle von eth1 verwendet). Ich habe penibel darauf geschaut, alle möglichen Einstellungen in der Firewall so zu treffen, dass diese den für eth1 entsprechen. Hier ein Beispiel aus der Netzwerkkonfiguration:
eth1:
internal
firewall-internal
internal_v6
firewall-internal_v6
eth2:
internal-eth2
firewall-internal-eth2
internal-eth2-v6
firewall-internal-eth2-v6
eth0:
external
firewall-external
external_v6
firewall-external_v6
external-eth2
firewall-external-eth2
external-eth2-v6
firewall-external-eth2-v6
Auch die Netzwerkobjekte für eth2 habe ich entsprechend angelegt und verwendet – alles von eth1 quasi gespiegelt.
Nun kann ich vom am eth2 angeschlossenen Netz das Internet erreichen, allerdings stelle ich fest, dass einige Sachen bisher nicht gehen. DNS-Auflösung funktioniert, das Surfen funktioniert, aber ein ping/tracert auf ins Internet geht nicht. Die MIcrosoft-Updates finden z. B. Updates, diese werden aber nicht heruntergeladen – im Ereignisprotokoll finde ich folgende Einträge:
Code: Alles auswählen
Protokollname: Application
Quelle: Windows Error Reporting
Datum: 06.12.2017 10:06:39
Ereignis-ID: 1001
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: SRV-VHOST.test.local
Beschreibung:
Fehlerbucket , Typ 0
Ereignisname: ScriptedDiagFailure
Antwort: Nicht verfügbar
CAB-Datei-ID: 0
Problemsignatur:
P1: Microsoft Windows.NetworkDiagnostics.4.0
P2: 3558064791
P3: 1.0.0.0
P4: Default
P5:
P6:
P7:
P8:
P9:
P10:
Code: Alles auswählen
Protokollname: Application
Quelle: Windows Error Reporting
Datum: 06.12.2017 10:09:06
Ereignis-ID: 1001
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: SRV-VHOST.test.local
Beschreibung:
Fehlerbucket , Typ 0
Ereignisname: WindowsUpdateFailure3
Antwort: Nicht verfügbar
CAB-Datei-ID: 0
Problemsignatur:
P1: 10.0.14393.1914
P2: 80240438
P3: 00000000-0000-0000-0000-000000000000
P4: Scan
P5: 0
P6: 0
P7: 0
P8: Windows Defender (77BDAF73-B396-481F-9042-AD358843EC24)
P9: {9482F4B4-E343-43B6-B170-9A65BC822C77}
P10: 0
Frage 2:
Woran kann das liegen? Wie kann ich den Verursacher finden, wenn das Protokoll nichts auffälliges zeigt?
Im Voraus herzlichen dank für die Hilfe!
Liebe Grüße
René