FAQs zu Unified Threat Management

Probleme beim Astaro Security Gateway 120 lösen

Unsere ausgewählten FAQs helfen Ihnen, wenn Sie Schwierigkeiten beim Konfigurieren bestimmter Funktionen beim Astaro Security Gateway 120 haben. Darüber hinaus haben wir weitere Lösungen auf Probleme, die das Arbeiten mit dem ASG 120 erleichtern.

Was ist beim Einrichten von SDLS auf dem Astaro Security Gateway 120 zu beachten?

Wollen Sie auf Ihrem ASG 120 SDSL (Symmetric Digital Subscriber Line) einrichten, dann müssen Sie folgendes beachten: Bei SDSL müssen Sie den "Default Gateway" manuell in Ihren Router eintragen. Bei PPPoE erfolgt dieser Eintrag automatisch. Falls Sie den Gateway nicht explizit eingetragen, können Sie den Router hinter dem Security Gateway nicht sehen und auch nicht per "ping-Befehl" ansprechen.

Zugriff auf interne oder DMZ Webserver vom internen Netzwerk realisieren.

Sie haben das Problem, dass Ihre Arbeitsplatzrechner nicht auf den internen Web-Server innerhalb des Netzwerkes mittels HTTP-Proxy zugreifen können. Dabei Funktioniert der Zugriff von externen Standorten aus über DNAT korrekt.

Die DNS-Auflösung referenziert auf die externe Schnittstellen-Adresse, die durch den externen DNS gegeben ist. Wenn der HTTP-Proxy aktiviert ist, wird in einer Schleife zur externen Adresse des ASG zugegriffen. Dabei versucht das Gateway, sich selbst Zugang zur der Adresse zu verschaffen.

Es gibt zwei Möglichkeiten, um dieses Problem zu vermeiden:

Bei aktiviertem HTTP-Proxy:

Durch die Einstellung eines statischen DNS-Eintrags in dem ASG 120 werden alle Verweise für den internen Webserver auf die richtige interne Adresse statt auf die öffentliche Adresse gesetzt.

Network / DNS / Static Entry

Diese Einstellung muss für interne Webseiten eingestellt werden, die nicht über den ASG-Proxy laufen. Um die interne IP-Adresse nicht auf externe Schnittstellen weiterzuleiten, müssen Sie den DNS-Namen wie im folgenden Beispiel konfigurieren:

Hostname: www.meinwebserver.com

IP: 10.0.0.10

Bei deaktiviertem HTTP-Proxy:

Wenn kein HTTP Proxy verwendet wird, benötigt man eine komplette NAT-Regel. Damit lenkt man den internen Rechner auf den entsprechenden internen Server, statt auf den öffentlichen FQDN (Fully Qualified Domain Name). Die Vorgehensweise ist wie folgt:

Network Security / NAT / DNAT/SNAT

Erstellen Sie eine neue NAT-Regel:

Name: Vollständige Webserver-NAT für die interne Umleitung

Traffic Source: Internal (Netzwerk)

Traffic Service: HTTP

Traffic Destination: Extern (Adresse)

NAT mode: Full NAT

Destination: Interne Server-Adresse

Destination Service: leer lassen

Source: ASG intern (Adresse)

Source Service: leer lassen

Automatic packet filter rule: Check

Einstellungen Speichern

Wie kann man beim ASG 120 den Content Filter aktivieren?

Gehen Sie auf WebSecurity / WebFiltering und stellen den Eintrag auf Enable. Unter dem Menüpunkt allowed networks müssen Sie die Netzwerke eintragen, die den Proxy nutzen sollen. Anschließend speichern Sie diese Einträge.

Ist es möglich, auf Port 5 Adressen zu verwalten?

Ja, unter Netzwerk / Schnittstellen / Zusätzliche Adressen ist es möglich, entsprechende Adressen einzutragen. Alternativ können weitere IP-Adressen auch auf den Clients direkt konfiguriert und dann geroutet werden.