R800+ und Webfilter in der Cloud

[tim]

Hallo zusammen,

ich habe hier einen R800+ mit dem ich folgendes vor habe:

Da dieser Router den von Lancom angebotenen Webfilter leider nicht unterstützt, würde ich gerne den Webfilter von Symantec verwenden.

Dies funktioniert folgendermaßen:

Die Daten (Port 80/443) müssen nur auf "proxy1.eu.webscanningservice.com" und Port 3128 geleitet werden -> also eine Weiterleitung auf einen transparenten Proxy.

Allerdings finde ich keine Möglichkeit dies bei diesem Router einzustellen.

Kann mir jmd. helfen?

Danke schonmal

[backslash]

Hi tim

kurz und knapp: das geht auch nicht... die einzige Chance, die du hast, ist die, dir selbst einen Proxy ins LAN zu stellen und über Policy based Routing allen Traffic an Port 80/443 an diesen weiterzuleiten - und dieser könnte dann mit den Symantec-Proxy sprechen... Dazu richtest du in der Routing-Tabelle eine getaggte Defaultroute ein, die auf den Proxy verweist und über der Firewall versiehst du jeden Traffic an Port 80/443 mit diesem Tag.

Oder du sperrst einfach in der Firewall Port 80/443 komplett und zwingst die User in deinem Netz, den Symantec-Proxy in ihrem Browser einzutragen...

Gruß
Backslash

[tim]

hi backslash,

vielen dank für die schnelle antwort!

einen proxy (port 3128) hätte ich, aber kannst du mir sagen, wie die regel genau aussehen muss? bei mir will es nicht klappen

gruß

[backslash]

Hi tim

als erstes richtest du eine getaggte Defaultroute ein die auf den Proxy zeigt, z.B. mit dem Tag 1: IP-Router -> Routing -> Routing-Tabelle -> Hinzufügen...

Code: Alles auswählen

IP-Adresse:   255.255.255.255
Netzmaske:    0.0.0.0
Routing-Tag:  1


Schaltzustand:
(*) Route ist aktiver und wird immer via RIP propagiert (sticky)
( ) ...
( ) ...


Router:       IP-Adresse des Proxies
Distanz:      0


IP-Maskierung
(*) IP-Maskierung abgeschaltet
( ) ...
( ) ...

und danach richtest du eine Regel ein, die den HTTP(S)-Traffic mit so taggt, daß diese Route genutzt wird: Firewall/QoS -> Regeln -> Regeln... -> Hinzufügen...

Code: Alles auswählen

Allgemein;

Name dieser Regel:   TAG_HTTPS

[x] Diese Regel ist für die Firewall aktiv
[ ] ...
[ ] ...
[X] Diese Regel hält Verbindungszustände nach

Priorität:   0
Routing-Tag: 1

Aktionen:    ACCEPT

Stationen:
Quelle:      Verbindungen von allen Stationen
Ziel:        Verbindungen an alle Stationen

Dienste:
Quelle:      alle Protokolle/Quell-Dienste
Ziel:        HTTP, HTTPS

Der Proxy muß als transparenter Proxy auf den Ports 80 und 443 laufen...

Gruß
Backslash

[tim]

hi backslash,

das habe ich gemacht, aber leider lässt sich dann keine seite mehr öffnen ..

hast du eine idee?

wenn ich direkt über den squid surfe (proxy im browser eingestellt) dann macht es keine probleme..

gruß

[backslash]

Hi tim,

hast du den squid auch als transparenten Proxy eingerichtet? Die Pakete haben nach dem Policy bases Routing immer noch die Ziel-IP, die der Browser ihnen gegeben hat. Wenn der squid nur als normaler proxy eingerichtet ist, dann ignoriert er diese Pakete...

Gruß
Backslash

[tim]

Hi backslash,

Vielen dank für deine Hilfe!
Also der squid sollte transparent sein
Http_Port ip:80 transparent
Https_Port ip:443 transparent

Wenn ich die ip und Port 80 als Proxy im Browser einstelle funktioniert es problemlos.
Ich habe auch im trace gesehen, dass die richtige Route verwendet wird.

Allerdings läd er sich zu Tode.. Dachte auch an ein dns Problem aber der Ping löst jede Domain sauber auf.
Hast du noch eine Idee?

[backslash]

Hi tim,

eine suche bei google führ hier hin: http://blog.proesdorf.de/2010/06/29/squ ... n.html#h15

Wichtig daran ist das Umleiten aller TCP-Pakete an den squid über ip-tables...

Gruß
Backslash

[tim]

hoi backslash,

danke - aber das ist nicht das problem..

die daten kommen gar nicht beim squid an - die logs sind leer..