Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 13 replies
  • Answers 2 answers
  • Subscribers 28 subscribers
  • Views 5934 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN über Gast-Interface auf der Sophos Box

Christian Pauli

Hallo Zusammen,

folgende Fragestellung stellt sich uns gerade. Wir haben ein Sophos SG430 mit UTM 9.508-10 im Einsatz. Dieses System übernimmt neben der Funktion des Webproxy, externen SMTP Gateway auch die Funktion für den Remote Access von Externen Firmen. Soweit funktioniert dies auch alles wie gewünscht.

Zusätzlich zu den genannten Aufgaben, haben wir mit Hilfe eines weiteres Interface auf der Sophos Box und der Cisco ISE und dessen Guest Access Portal einen Gast Zugang realisiert, der auch so funktioniert wie gewünscht. Über unseren Cisco WLAN Controller kommen die Gäste mit Ihren Zugangsdaten zum Sophos Gast Interface und erhalten dort eine IP vom Sophos DHCP auf dem Interface, einen Internetzugang und Webproxy. Soweit so gut.

Jetzt gibt es die Anforderung, dass man sich genau aus diesem Gast WLAN, welches auf dem Sophos Gast Interface terminiert, auch per Remote SSL-VPN einwählen kann, wie es die externen außerhalb unseres Netzwerkes auch tun können.

Versucht man das, läuft man immer in einen Timeout rein. Leider sehe ich sowohl im Remote SSL-VPN, als auch im Firewall Log nichts zu dieser Verbindung. Die Konfiguration des Remote SSL VPN ist nicht auf ein bestimmtes Interface limitiert (any) und läuft über TCP 443. Wir haben außerdem einen override hostname als IP gepflegt.

Nun stellt sich die eigentlich Frage, ob das von uns gewünschte Konstrukt über die Box abzubilden ist, denn im Prinzip kommen wir ja von einem Interface der Box und wollen über ein anderes wieder als ssl-vpn Verbindung wieder rein. Ist das möglich? Falls ja was müssen wir bedenken? Welche Informationen benötigt Ihr noch um hier weiter zu helfen?

Über ein Feedback von euch freue ich mich sehr.

Viele Grüße

Christian



This thread was automatically locked due to age.
Parents
  • 0

    Keiner eine Idee? Oder ist die Aufgabenstellung bzw. das Konstrukt zu ungenau beschrieben?

  • +1 in reply to Christian Pauli

    Hi,

     

    ich bin mir nicht sicher, vermute allerdings, dass Dir der Webproxy in die Suppe spuckt. Du lässt SSL-VPN auf 443 lauschen und möglicherweise blockt der Webfilter die Verbindung aus dem Gastnetztwerk?

  • 0 in reply to ThorstenSult

    Hey Thorsten,

    du scheinst mit deiner Vermutung richtig zu liegen. Während des Verbindugnsaufbaus über den Sophos SSL-VPN Client habe ich folgende wiederkehrende Meldung im Proxylog:

     

    2018:12:20-07:42:57 fsta-xxxx-2 httpproxy[16361]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="172.16.xx.xxx" dstip="88.217.xxx.xxx" user="" group="" ad_domain="" statuscode="500" cached="0" profile="REF_HttProContaInterNetwo3 (xxxx Guest Proxy Policie)" filteraction="REF_HttCffxxxxGuestFilte (xxxx Guest FILTER DEFAULT)" size="80" request="0x2fabe400" url="https://88.217.xxx.xxx/" referer="" error="Connection timed out" authtime="0" dnstime="0" cattime="101" avscantime="0" fullreqtime="127251864" device="0" auth="0" ua="" exceptions="" category="9998" reputation="unverified" categoryname="Uncategorized"

     

    Also dürfte das tatsächlich die Ursache sein, denn die DNAT Regel, die ich auch wie vorgeschlagen erstellt habe, greift garnicht, da es gar nicht soweit kommt.

    Jetzt hatte ich versucht, die URL https://88.217.xxx.xxx in unsere Overwrite URL Filter mit aufzunehmen, dies scheint aber keinen Einfluss zu nehmen. Die Anfragen werden immer noch geblockt. Hast du noch eine Idee?

     

    Viele Grüße

    Christian

  • 0 in reply to Christian Pauli

    Zunächst würde ich SSL-VPN nicht auf 443 laufen lassen sondern auf Std. Openvpn 1194 glaub ich.

     

    Ansonsten mal unter Web Protection -> Filteroptionen -> Sonstiges -> Transpartenzmodus Aushnahmen die Zieladresse eintragen.

     

    Oder unter Web Protection -> Filteroptionen -> Ausnahmen eine Regel erstellen.

  • 0 in reply to ThorstenSult

    Hallo Thorsten,

     

    vielen Dank für deine schnelle Rückmeldung.

    Hat es Auswirklungen auf unsere bestehenden und bereits im Einsatzbefindlichen SSL-VPN Zugänge der Externen, wenn wir nun den Port ändern?

    Zu deinen Vorschlägen.

    Wenn ich den Host in der Transparent Mode Skiplist unter den Zielsystemen eintrage, sehe ich im SSL-VPN Client log, dass keine TCP connection mehr aufgebaut werden kann, dies ging ohne diesen Eintrag.

    TCP connection established with [AF_INET]88.217.xxx.xxx:443

    TCPv4_Client link local [undef]

    TCPv4_Client link remote [AF_INET]88.217.xxx.xxx:443

    Management >> State: Wait

    TLS Error TLS key negotiation failed to ccur withen 60 seconds (check your network connectivity)

    TLS Error TLS handshake failed

    Dies ist ein Auszug ohne die Eintragung des Zielsystems in der Transparent Mode Skip List:

     

    So sieht es mit der Regel aus:

    TCP: connect to [AF_INET]88.217.xxx.xxx:443 failed, will try again in 5 seconds. The system tried to join a drive to a directory on a joined drive.

    Management >> State TCP_Connect...

     

    Womöglich muss ich den Haken "Allow HTTP/S traffic for listed hosts/nets" aktivieren oder? Dieser ist aktuell nicht aktiv.

     

    Eine Ausnahme Regel hatte ich auch probiert, nur schien diese keine Auswirkungen zu haben.

    Bei dieser habe ich den URL Filter geskippt und als Regel:

    Coming from these networks - Guest Network und Matching these URLs https://88.217.xxx.xxx

     

    Ich freue mich über ein kurzes Feedback von dir.

     

    Viele Grüße

    Christian

  • 0 in reply to Christian Pauli

    Firewallregel für das Gastnetz, dass 443 durchlässt?

  • 0 in reply to ThorstenSult

    Es gibt eine Firewall Regel, diese blockiert aber nicht 443. Im Firewall log gibt es dazu auch keine entsprechenden Einträge.

     

    Kannst du noch etwas zu meinen Fragen bezüglich Portänderung und dem Haken "Allow HTTP/S traffic for listed hosts/nets" sagen?

     

    Viele Grüße

    Christian

  • 0 in reply to Christian Pauli

    Naja, Du müsstest eine Regel erstellen, dass aus dem Gast-Netz Zugriff via 443 zugelassen wird.

     

    Wenn Du in den VPN-Einstellungen den Port von 443 auf einen anderen Umstellst, wirkt sich das natürlich global aus. Also alle VPN-Configs müssten angepasst werden.

  • 0 in reply to Christian Pauli

    Hallo Christian,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You will find that we work better here with lines copied from logs and pictures of Edits of the relevant configurations.  Please show a picture of the Edit of the SSL VPN Profile that a person in the Guest network would qualify for.  Also a picture of 'Allowed Networks' in Web Filtering.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Reply
  • 0 in reply to Christian Pauli

    Hallo Christian,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You will find that we work better here with lines copied from logs and pictures of Edits of the relevant configurations.  Please show a picture of the Edit of the SSL VPN Profile that a person in the Guest network would qualify for.  Also a picture of 'Allowed Networks' in Web Filtering.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Children
  • 0 in reply to BAlfson

    Hallo Bob,

    vielen Dank für deine Rückmeldung.

    Ich hoffe ich habe von den richtigen Bereiche Screenshots erstellt:

    SSL-Profile:

    Mein verwendeter Testuser ist folgender:

    Allowed Networks:

    Als Hinweis wäre noch wichtig, dass alle Anwender im Gast LAN, sich vorher mit dem Gast Portal von Cisco authentifiziert haben und die dort verwendeten Benutzer andere sind, als die SSL-VPN Profile, die sich dann versuchen über das Gast LAN per SSL-VPN zu verbinden.

    Weiterhin habe ich den Haken "Allow HTTP/S traffic for listed hosts/nets" aktiviert. Leider ohne Erfolg.

  • 0 in reply to Christian Pauli

    There are some "tricks" you will learn here, Christian. ;-)

    In your last picture, selecting 'Allow HTTP/S traffic for listed hosts/nets' only applies to 'Transparent Mode Source Hosts/Nets' and not to Destination.  In any case, in 'Standard Mode', the 'Transparent Mode Skiplist' does not apply - it applies only in Transparent Mode.

    On the 'Global tab of 'Web Filtering', I don't see the "VPN Pool (SSL)" object in 'Allowed Networks'.  I suspect that your configuration includes a firewall rule that allows 'VPN Pool (SSL) -> Web Surfing -> Internet IPv4' traffic and that you have a Masquerading rule for such traffic.  You can confirm that the traffic has been bypassing your HTTP Proxy by looking for it in the Web Filtering log file.

    If the remote users are not logged into their Active Directory account on their laptop, they will fail authorization.  If they haven't chosen an explicit proxy in LAN Settings for their browser, they won't use UTM Web Filtering since you don't have a Transparent Mode Profile.  I normally recommend having the Default Profile in Transparent Mode with a Web Filtering Profile in Standard Mode.

    You might want to review Configuring HTTP/S proxy access with AD SSO.  You also might want to review the three threads pinned to the top of the Web Protection forum.

    MfG - Bob (Bitte auf Deutsch weiterhin.)