6
Sophos Proxy Transparent
Guten Tag Leute ,
aktuell Arbeite ich mit einer neuen Sophos XGS 3100 und Teste mich da am Proxy.
Per GPO wird die Sophos als Proxy mit Port 3128 verteilt.
Unsere Sophos macht auch einen AD Abgleich ( STAS) zwecks Benutzer.
Nun hätte ich es gern das aller Web Traffic über den Proxy der Sophos läuft sodass der ganze Webfilter und Co greifen.
Nur irgendwie klappt es mal und mal wieder nicht.
Komisch ist das er manchmal den Benutzer mit angibt ( Schwarz gemacht) auf Regel 2 und dann wieder auf Regel 20.
Vllt hat ja jemand eine Idee . Wichtig ist das die User kein Anmeldfenster bekommen.
LG Nico
Aktuell hab ich diese Zwei Regeln gebaut.
Zweite:
Protokoll:
aktuell Arbeite ich mit einer neuen Sophos XGS 3100 und Teste mich da am Proxy.
Per GPO wird die Sophos als Proxy mit Port 3128 verteilt.
Unsere Sophos macht auch einen AD Abgleich ( STAS) zwecks Benutzer.
Nun hätte ich es gern das aller Web Traffic über den Proxy der Sophos läuft sodass der ganze Webfilter und Co greifen.
Nur irgendwie klappt es mal und mal wieder nicht.
Komisch ist das er manchmal den Benutzer mit angibt ( Schwarz gemacht) auf Regel 2 und dann wieder auf Regel 20.
Vllt hat ja jemand eine Idee . Wichtig ist das die User kein Anmeldfenster bekommen.
LG Nico
Aktuell hab ich diese Zwei Regeln gebaut.
Zweite:
Protokoll:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 42979730983
Url: https://administrator.de/contentid/42979730983
Printed on: April 27, 2024 at 21:04 o'clock
6 Comments
Latest comment
also ich hab das per Netzwerk Subnet oder per IP Adressen Transparent gemacht.
UserAuthentifizierung ist so ne sache... woher soll die sophos das wissen welcher User das ist?
Klar soll das irgendwie gehen, aber das hab ich auch nicht ans laufen gebracht...
Aber wenns jemand weiss, würde mich auch interessieren.
UserAuthentifizierung ist so ne sache... woher soll die sophos das wissen welcher User das ist?
Klar soll das irgendwie gehen, aber das hab ich auch nicht ans laufen gebracht...
Aber wenns jemand weiss, würde mich auch interessieren.
1
Zitat von @nmartin89:
aktuell Arbeite ich mit einer neuen Sophos XGS 3100 und Teste mich da am Proxy.
Wenn
- die AD Controller der Sophos bekannt sind
- AD Benutzer/Gruppen importiert sind
- das AD als Authentifizierungsendpunkt konfiguriert ist
- STAS die An- und Abmeldung des Benutzers am AD der Sophos übermitteln kann
- der Browser SSO via NTLM/Kerberos unterstützt
- eine passende FW Regeln für die Gruppen/Benutzer existiert
Kannst du mir sagen wie die FW Regel aussehen muss ?
Warum nimmt er mal die Regel 2 über Ziel Port 3128 und dann mal Regel 20 über http /https?
1. ja ist bekannt DC01-03
2.Muss ich schauen
3. ist gesetzt
4. und 5. muss ich gucken
Warum nimmt er mal die Regel 2 über Ziel Port 3128 und dann mal Regel 20 über http /https?
1. ja ist bekannt DC01-03
2.Muss ich schauen
3. ist gesetzt
4. und 5. muss ich gucken
Zitat von @raxxis990:
Kannst du mir sagen wie die FW Regel aussehen muss ?
Welche?
Warum nimmt er mal die Regel 2 über Ziel Port 3128 und dann mal Regel 20 über http /https?
kein SSO vom Browser, fehlerhafte STAS Implementierung, Benutzer/Gruppe ist nicht in der Regel angegeben, Web Policy trifft nicht zu, Quell-/Zielnetz stimmen nicht, Regelposition ist falsch, ...
Genaueres sollte das Firewall Log zeigen.
1
Moin @nmartin89,
das ist dann aber ein direkter Proxy und kein transparenter Proxy.
Bei einem Transparenten Proxy muss du am Client nämlich überhaupt nichts Richtung Proxy konfigurieren. 😉
😱 ... warum das denn, diesen alten Knochen benötigt man eigentlich überhaupt nicht mehr.
Das sieht für mich so aus, als ob bei dir die AD Authentifizierung/Kopplung (AD-SSO) noch nicht richtig eingerichtet ist.
https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onli ...
Wenn AD-SSO korrekt eingerichtet ist, kommt kein Anmeldefenster beim Benutzer.
Das ist wie oben schon geschrieben kein transparenter, sondern ein direkter Proxy.
Wenn du einen direkten Proxy haben möchtest, dann schmeisse bei der Regel den Port 3128 raus und mache dafür UDP/TCP 80&443 rein und deaktivieren die Proxy-Einstellungen auf den Clients.
Gruss Alex
aktuell Arbeite ich mit einer neuen Sophos XGS 3100 und Teste mich da am Proxy.
Per GPO wird die Sophos als Proxy mit Port 3128 verteilt.
Per GPO wird die Sophos als Proxy mit Port 3128 verteilt.
das ist dann aber ein direkter Proxy und kein transparenter Proxy.
Bei einem Transparenten Proxy muss du am Client nämlich überhaupt nichts Richtung Proxy konfigurieren. 😉
Unsere Sophos macht auch einen AD Abgleich ( STAS) zwecks Benutzer.
😱 ... warum das denn, diesen alten Knochen benötigt man eigentlich überhaupt nicht mehr.
Nun hätte ich es gern das aller Web Traffic über den Proxy der Sophos läuft sodass der ganze Webfilter und Co greifen.
Nur irgendwie klappt es mal und mal wieder nicht.
Komisch ist das er manchmal den Benutzer mit angibt ( Schwarz gemacht) auf Regel 2 und dann wieder auf Regel 20.
Nur irgendwie klappt es mal und mal wieder nicht.
Komisch ist das er manchmal den Benutzer mit angibt ( Schwarz gemacht) auf Regel 2 und dann wieder auf Regel 20.
Das sieht für mich so aus, als ob bei dir die AD Authentifizierung/Kopplung (AD-SSO) noch nicht richtig eingerichtet ist.
https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onli ...
Vllt hat ja jemand eine Idee . Wichtig ist das die User kein Anmeldfenster bekommen.
Wenn AD-SSO korrekt eingerichtet ist, kommt kein Anmeldefenster beim Benutzer.
LG Nico
Aktuell hab ich diese Zwei Regeln gebaut.
Aktuell hab ich diese Zwei Regeln gebaut.
Das ist wie oben schon geschrieben kein transparenter, sondern ein direkter Proxy.
Wenn du einen direkten Proxy haben möchtest, dann schmeisse bei der Regel den Port 3128 raus und mache dafür UDP/TCP 80&443 rein und deaktivieren die Proxy-Einstellungen auf den Clients.
Gruss Alex
Moin @raxxis990,
weil der TO vergessen hat, in der ersten Regel neben neben dem Port 3128 auch die HTTP und HTTPS Ports mit freizugeben und ja, das muss man bei der XG(S) leider so machen.
Den Port 3128 muss man soweit ich weiss per FW-Regel nicht wirklich explizit mit freigeben, das wird schon per Administration --> Device access gesteuert.
Gruss Alex
Warum nimmt er mal die Regel 2 über Ziel Port 3128 und dann mal Regel 20 über http /https?
weil der TO vergessen hat, in der ersten Regel neben neben dem Port 3128 auch die HTTP und HTTPS Ports mit freizugeben und ja, das muss man bei der XG(S) leider so machen.
Den Port 3128 muss man soweit ich weiss per FW-Regel nicht wirklich explizit mit freigeben, das wird schon per Administration --> Device access gesteuert.
Gruss Alex
