nmartin89
Goto Top

Sophos Proxy Transparent

Guten Tag Leute ,

aktuell Arbeite ich mit einer neuen Sophos XGS 3100 und Teste mich da am Proxy.

Per GPO wird die Sophos als Proxy mit Port 3128 verteilt.

Unsere Sophos macht auch einen AD Abgleich ( STAS) zwecks Benutzer.

Nun hätte ich es gern das aller Web Traffic über den Proxy der Sophos läuft sodass der ganze Webfilter und Co greifen.

Nur irgendwie klappt es mal und mal wieder nicht.

Komisch ist das er manchmal den Benutzer mit angibt ( Schwarz gemacht) auf Regel 2 und dann wieder auf Regel 20.


Vllt hat ja jemand eine Idee . Wichtig ist das die User kein Anmeldfenster bekommen.

LG Nico

Aktuell hab ich diese Zwei Regeln gebaut.

1
2

Zweite:

3
4

Protokoll:

5

Content-Key: 42979730983

Url: https://administrator.de/contentid/42979730983

Printed on: May 18, 2024 at 03:05 o'clock

Member: ThePinky777
ThePinky777 Mar 11, 2024 at 15:39:59 (UTC)
Goto Top
also ich hab das per Netzwerk Subnet oder per IP Adressen Transparent gemacht.
UserAuthentifizierung ist so ne sache... woher soll die sophos das wissen welcher User das ist?
Klar soll das irgendwie gehen, aber das hab ich auch nicht ans laufen gebracht...

Aber wenns jemand weiss, würde mich auch interessieren.
Member: mbehrens
mbehrens Mar 11, 2024 at 18:42:30 (UTC)
Goto Top
Zitat von @nmartin89:

aktuell Arbeite ich mit einer neuen Sophos XGS 3100 und Teste mich da am Proxy.

Wenn
  • die AD Controller der Sophos bekannt sind
  • AD Benutzer/Gruppen importiert sind
  • das AD als Authentifizierungsendpunkt konfiguriert ist
  • STAS die An- und Abmeldung des Benutzers am AD der Sophos übermitteln kann
  • der Browser SSO via NTLM/Kerberos unterstützt
  • eine passende FW Regeln für die Gruppen/Benutzer existiert
funktioniert dies ohne GPO für den Endbenutzer völlig transparent.
Member: raxxis990
raxxis990 Mar 11, 2024 updated at 19:13:55 (UTC)
Goto Top
Kannst du mir sagen wie die FW Regel aussehen muss ?

Warum nimmt er mal die Regel 2 über Ziel Port 3128 und dann mal Regel 20 über http /https?

1. ja ist bekannt DC01-03
2.Muss ich schauen
3. ist gesetzt
4. und 5. muss ich gucken
Member: mbehrens
mbehrens Mar 11, 2024 at 19:34:16 (UTC)
Goto Top
Zitat von @raxxis990:

Kannst du mir sagen wie die FW Regel aussehen muss ?

Welche?

Warum nimmt er mal die Regel 2 über Ziel Port 3128 und dann mal Regel 20 über http /https?

kein SSO vom Browser, fehlerhafte STAS Implementierung, Benutzer/Gruppe ist nicht in der Regel angegeben, Web Policy trifft nicht zu, Quell-/Zielnetz stimmen nicht, Regelposition ist falsch, ...
Genaueres sollte das Firewall Log zeigen.
Member: MysticFoxDE
MysticFoxDE Mar 11, 2024 at 19:59:31 (UTC)
Goto Top
Moin @nmartin89,

aktuell Arbeite ich mit einer neuen Sophos XGS 3100 und Teste mich da am Proxy.

Per GPO wird die Sophos als Proxy mit Port 3128 verteilt.

das ist dann aber ein direkter Proxy und kein transparenter Proxy.
Bei einem Transparenten Proxy muss du am Client nämlich überhaupt nichts Richtung Proxy konfigurieren. ­čśë

Unsere Sophos macht auch einen AD Abgleich ( STAS) zwecks Benutzer.

­čś▒ ... warum das denn, diesen alten Knochen benötigt man eigentlich überhaupt nicht mehr.

Nun hätte ich es gern das aller Web Traffic über den Proxy der Sophos läuft sodass der ganze Webfilter und Co greifen.

Nur irgendwie klappt es mal und mal wieder nicht.

Komisch ist das er manchmal den Benutzer mit angibt ( Schwarz gemacht) auf Regel 2 und dann wieder auf Regel 20.

Das sieht für mich so aus, als ob bei dir die AD Authentifizierung/Kopplung (AD-SSO) noch nicht richtig eingerichtet ist.

https://docs.sophos.com/nsg/sophos-firewall/19.5/Help/en-us/webhelp/onli ...

Vllt hat ja jemand eine Idee . Wichtig ist das die User kein Anmeldfenster bekommen.

Wenn AD-SSO korrekt eingerichtet ist, kommt kein Anmeldefenster beim Benutzer.

LG Nico

Aktuell hab ich diese Zwei Regeln gebaut.

1
2


Das ist wie oben schon geschrieben kein transparenter, sondern ein direkter Proxy.
Wenn du einen direkten Proxy haben möchtest, dann schmeisse bei der Regel den Port 3128 raus und mache dafür UDP/TCP 80&443 rein und deaktivieren die Proxy-Einstellungen auf den Clients.

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Mar 11, 2024 at 20:10:18 (UTC)
Goto Top
Moin @raxxis990,

Warum nimmt er mal die Regel 2 über Ziel Port 3128 und dann mal Regel 20 über http /https?

weil der TO vergessen hat, in der ersten Regel neben neben dem Port 3128 auch die HTTP und HTTPS Ports mit freizugeben und ja, das muss man bei der XG(S) leider so machen.
Den Port 3128 muss man soweit ich weiss per FW-Regel nicht wirklich explizit mit freigeben, das wird schon per Administration --> Device access gesteuert.

Gruss Alex