Firewall Sophos SG135 blockiert QNAP NAS

[owl2010]

Hallo,

Ich habe eine NAS im Einsatz (QNAP), die Meldungen per eMail rausschickt. Das hat bisher auch immer gut geklappt, nur jetzt nach Installation einer Firewall (Sophos SG135) leider nicht mehr. Welche Einstellung muss ich an der Firewall ändern?
Hier die Konfig der NAS:

 

[hpxw]

SMTP Port vom NAS > SMTP Server oder Internet freigeben.
Zur Not kannst auch Firewall log dir angucken, was genau blockiert

 

[owl2010]

Danke für die schnelle Antwort.
Was gebe ich denn als Quelle bzw. als Dient bei der Regel an?
Als Quelle kann ich doch keinen Port angeben oder?

Ergänzung (28. Mai 2018)

Schon gefunden! Hat geklappt!
Super danke!

 

[t-6]

Du kannst als Quelle das NAS angeben.

Als Dienst wählst du SMTP aus (schau nach dass in den Dienstdefinitionen TCP 587 drin ist; sollte bei den vorgefertigten Dienstdefinitionen aber der Fall sein).

Als Ziel - wenn du es richtig machen willst - den DNS-Host smtp.office365.com

 

[owl2010]

Danke!
Hätte noch was, was seitdem die Firewall installiert ist auffällt:
Bei vielen Seiten kommt jetzt die Meldung, dass die Verbindung nicht sicher sein und dann kann man die Seite nicht mehr laden...es handelt sich aber um "seriöse" Seiten. Kann man das irgendwie etwas "lockerer" einstellen?
Des Weiteren noch eine Frage, wenn man z.B. *.exe-Dateien verboten hat, dass diese heruntergeladen werden können-was ja auch in den meisten Fällen sinnvoll ist- aber auch halt nicht immer. Gibt es hier eine Möglichkeit, dass z.B. durch Eingabe eines Passwortes freizuschalten ohne gleich in das Menü der Firewall zu müssen?

 

[t-6]

Gleich vorab, Sophos SG/UTM ist kein kleiner Spaziergang. Deine Symptome klingen danach als ob du nur die Grundeinrichtung & empfohlene Settings eingerichtet hast, abzüglich Email (daher der initiale Block).

Bei vielen Seiten kommt jetzt die Meldung, dass die Verbindung nicht sicher sein und dann kann man die Seite nicht mehr laden...es handelt sich aber um "seriöse" Seiten. Kann man das irgendwie etwas "lockerer" einstellen?

Klingt danach als ob der Webfilter nicht nur reine URL-Analyse macht, sondern SSL-Inspektion. Der Fehler kommt daher dass die Sophos bei der SSL-Inspektion ihr eigenes, selbstsigniertes Zertifikat benutzt und das deinem Browser präsentiert (statt das Zertifikat der Webseite durchzureichen).
Lass dir mal das Zertifikat anzeigen das bei einer "nicht vertrauenswürdigen" Webseite angeboten wird.
"Richtige" Einstellung: Lad dir das selbstsignierte Root Zertifikat von der SG auf deinen PC & installier es. Achtung Firefox: Hier muss es manuell importiert werden. Firefox greift nicht auf den Windows Zert-Store zurück (wie Chrome/IE/Edge).
"Ausreichende" Einstellung (imho): Den Webfilter auf URL-Inspektion belassen.

Gibt es hier eine Möglichkeit, dass z.B. durch Eingabe eines Passwortes freizuschalten ohne gleich in das Menü der Firewall zu müssen?

Du willst wahrscheinlich das hier:

https://ideas.sophos.com/forums/17359-sg-utm/suggestions/6006175-admin-override-of-web-filtering

 

[owl2010]

Danke-das mit dem admin-override hat geklappt!

Wo finde ich denn das selbstsignierte Root Zertifikat bei der SG und was genau ist es?
Muss ich es quasi auf jedem Rechner, der im Netz ist installieren?

 

[owl2010]

Hier ein Beispiel für die Fehlermeldung einer aufgerufenen Seite:

 

[t-6]

Jo, das wird die SSL-Inspektion sein. Geh mal auf "Weiter zu deposcout.de" & klick danach mal auf das durchgestrichene Schloss in der Adresszeile vom Chrome. In den weiteren Informationen kannst du dir dann das Zertifikat anzeigen lassen.

Das Zertifikat das du benötigst ist in den Webfilter-Einstellungen der SG zu finden. Steht relativ prominent da.

 

[owl2010]

Ok, danke.
Ich schaue mal, ob ich es finde.
Was spricht denn eigentlich dagegen, die Einstellung
"HTTPS-Verkehr im Transparenzmodus nicht durch Proxy leiten" zu setzen?

 

[owl2010]

Ach ja, und welchen Modus würdet Ihr wählen beim Webfilter Betriebsmodus? Standard oder Transparenzmodus?