FAQs zu Unified Threat Management
Probleme beim Astaro Security Gateway 120 lösen
Was ist beim Einrichten von SDLS auf dem Astaro Security Gateway 120 zu beachten?
Wollen Sie auf Ihrem ASG 120 SDSL (Symmetric Digital Subscriber Line) einrichten, dann müssen Sie folgendes beachten: Bei SDSL müssen Sie den "Default Gateway" manuell in Ihren Router eintragen. Bei PPPoE erfolgt dieser Eintrag automatisch. Falls Sie den Gateway nicht explizit eingetragen, können Sie den Router hinter dem Security Gateway nicht sehen und auch nicht per "ping-Befehl" ansprechen.
Zugriff auf interne oder DMZ Webserver vom internen Netzwerk realisieren.
Sie haben das Problem, dass Ihre Arbeitsplatzrechner nicht auf den internen Web-Server innerhalb des Netzwerkes mittels HTTP-Proxy zugreifen können. Dabei Funktioniert der Zugriff von externen Standorten aus über DNAT korrekt.
Die DNS-Auflösung referenziert auf die externe Schnittstellen-Adresse, die durch den externen DNS gegeben ist. Wenn der HTTP-Proxy aktiviert ist, wird in einer Schleife zur externen Adresse des ASG zugegriffen. Dabei versucht das Gateway, sich selbst Zugang zur der Adresse zu verschaffen.
Es gibt zwei Möglichkeiten, um dieses Problem zu vermeiden:
Bei aktiviertem HTTP-Proxy:
Durch die Einstellung eines statischen DNS-Eintrags in dem ASG 120 werden alle Verweise für den internen Webserver auf die richtige interne Adresse statt auf die öffentliche Adresse gesetzt.
Network / DNS / Static Entry
Diese Einstellung muss für interne Webseiten eingestellt werden, die nicht über den ASG-Proxy laufen. Um die interne IP-Adresse nicht auf externe Schnittstellen weiterzuleiten, müssen Sie den DNS-Namen wie im folgenden Beispiel konfigurieren:
Hostname: www.meinwebserver.com
IP: 10.0.0.10
Bei deaktiviertem HTTP-Proxy:
Wenn kein HTTP Proxy verwendet wird, benötigt man eine komplette NAT-Regel. Damit lenkt man den internen Rechner auf den entsprechenden internen Server, statt auf den öffentlichen FQDN (Fully Qualified Domain Name). Die Vorgehensweise ist wie folgt:
Network Security / NAT / DNAT/SNAT
Erstellen Sie eine neue NAT-Regel:
Name: Vollständige Webserver-NAT für die interne Umleitung
Traffic Source: Internal (Netzwerk)
Traffic Service: HTTP
Traffic Destination: Extern (Adresse)
NAT mode: Full NAT
Destination: Interne Server-Adresse
Destination Service: leer lassen
Source: ASG intern (Adresse)
Source Service: leer lassen
Automatic packet filter rule: Check
Einstellungen Speichern
Wie kann man beim ASG 120 den Content Filter aktivieren?
Gehen Sie auf WebSecurity / WebFiltering und stellen den Eintrag auf Enable. Unter dem Menüpunkt allowed networks müssen Sie die Netzwerke eintragen, die den Proxy nutzen sollen. Anschließend speichern Sie diese Einträge.
Ist es möglich, auf Port 5 Adressen zu verwalten?
Ja, unter Netzwerk / Schnittstellen / Zusätzliche Adressen ist es möglich, entsprechende Adressen einzutragen. Alternativ können weitere IP-Adressen auch auf den Clients direkt konfiguriert und dann geroutet werden.