Securepoint Support Forum

beim aufruf einer html-seite von einem standort in den anderen kann die seite nicht angezeigt werden. es kommt immer die meldung "no route to host". dns einträge stimmen, tracert und ping funktioniert auch

Hallo,

läuft auf dem Standort wo der Webserver steht der transparente Proxy auf der FW?

ja genau

Haben Sie den schon mal ausgeschaltet und dann das Ganze versucht?

sorry

sorry, nach abschalten der transparenten proxys geht es, nur diese brauche ich aber.

Hallo,

der Proxy sendet mit der externen Adresse die Daten ins Internet somit werden die Pakete nicht in den Tunnel geschickt. Sie koennen das Template vom Squid-Proxy anpassen um diesem zu sagen, dass er mit der internn Adresse nach draussen senden soll. Damit greift dann auch das gesamte NAT-Regelwerk und Pakete werden in den Tunnel nicht maskiert aber wenn diese ins Internet gehen.

Das Stichwort lautet:

TCP-Outgoing-Adress:

D.h configuration in der squid.conf?

kann ich in der squid.conf bei der ausgehenden adresse zb tcp_outgoing_address 100.1.1.1 aclname auch ein netz eintragen z.b tcp_outgoing_address 100.1.1.0/255.255.255.0 aclname.

Richtig, Sie müssen das Template anpassen. Beispiele gibt es im Forum:

show extc_template /etc/squid/squid.conf <- Zeigt das aktuelle Template

change extc_template /etc/squid/squid.conf <- Hier können Sie Text einfügen, Z.B in Putty, mit einem Rechtklick aus der Zwischenablage

Return ** Return <- schließt die Eingabe ab

Den Dienst über den Manager neustarten

wipien hat geschrieben: kann ich in der squid.conf bei der ausgehenden adresse zb tcp_outgoing_address 100.1.1.1 aclname auch ein netz eintragen z.b tcp_outgoing_address 100.1.1.0/255.255.255.0 aclname.

Ich denke nicht das das geht, denn es macht einfach keinen Sinn! Das Paket muss ja eindeutig einer IP-Adresse zugewiesen werden können.

Hallo Zusammen,

Ich habe mich heute ebenfalls mit dem transparenten Proxy beschäftigt. Wieso bitte gibt es hier keine wirklich einfach Regelung. Dieses Thema muss doch bei jedem auftauchen, der mit dem Proxy arbeitet und z.B. VPN Verbindungen verwaltet.

Wieso kann beispielsweise kein Schalter in der Software sein, der diesen Eintrag für den Benutzer vornimmt?

Ich kaufe doch eine fertige Firewall, deren Konfiguration über eine mitgelieferte Software stattfinden soll. Alle Beiträge heir im Forum verweisen immer wieder auf die manuelle Änderung der Templates mit Putty.

Ich bin erschüttert.

Thomas Hofmann

Hallo,

es gibt zwei Seiten der Medaille.

Es muss schon einen Mittelweg aus Einstellungsmöglichkeiten und Übersichtlichkeit geben damit auch "Laien" eine Konfiguration machen können.

Nicht immer gelingt es in diesem Bereich alle Benutzer zu frieden zu stellen

Eine Verbesserung gibt es schon mit dem Build 5888, es ist nur noch die Variable OUTGOING_ADDR zu ändern.

Hallo Carsten,

das klingt doch schon fast wie Musik in meinen Ohren ;-) Damit ist es zumindest schon mal möglich, ohne ausbauen des Motors schon mal an die Zündkerzen zu kommen.

Trotzdem, die Securepoint ist sicher nicht bereit für Laien. Ich selbst sehe mich mit solidem Halbwissen ständig an der Grenze zur Verzweiflung. Hier bleibt nur der Vergleich zu anderen Firewalls. Da ist das alles über eine entsrpechende Software machbar, ohne SSH Befehle. Außerdem lässt sich dann auch der jeweilige Zustand über die Software aufrufen. Warum gibt es keine einfache Editiermöglichkeit solcher Einstellungen über die Software? Beispiel: Zu den Diensten einen ordentlichen Knopf zum editieren möglicher Einstellungen des Dienstes ansich.

Die Übersichtlichkeit ist deshalb ja nicht gefährdet.

Eine Art Template/Variablen-Editor habe ich schon an die Entwicklung in Auftrag gegeben.

Ich warte nur noch auf die Umsetzung im Manager.

Nun ja - bei anderen Firewalls ist es aber leider auch so, was nicht über die Konfigurations-Software einstellbar ist, lässt sich überhaupt nicht einstellen, von den weitreichenden Möglichkeiten der Netzwerkanalyse im Fehlerfall mal ganz abgesehen ;-) Höchste Flexibilität und maximale Einfachheit sind nicht einfach unter einen Hut zu bringen.

In der nächsten Software-Version wird übrigens vieles anders und hoffentlich besser - beispielsweise bekommen Sie ein Webinterface mit einer Startseite, auf der Sie auf einem Blick die wichtigsten Zustandsdaten (Netzwerkstatus, Maschinenauslastung, Dienste- und VPN-Status) der Appliance sehen können - diese Übersicht aktualisiert sich dann auch regelmäßig von selbst.

Einen Vorgeschmack darauf erhalten Sie, wenn Sie sich den "Schwarzen Zwerg" anschauen: Terra Black Dwarf

Hallo,

in der nächsten Manager-Version wird bei allen Aktionen, die einen Dienste-Neustart mit sich bringen, der Dienste Status automatisch aktualisiert.