Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 13 replies
  • Answers 2 answers
  • Subscribers 28 subscribers
  • Views 5938 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN über Gast-Interface auf der Sophos Box

Christian Pauli

Hallo Zusammen,

folgende Fragestellung stellt sich uns gerade. Wir haben ein Sophos SG430 mit UTM 9.508-10 im Einsatz. Dieses System übernimmt neben der Funktion des Webproxy, externen SMTP Gateway auch die Funktion für den Remote Access von Externen Firmen. Soweit funktioniert dies auch alles wie gewünscht.

Zusätzlich zu den genannten Aufgaben, haben wir mit Hilfe eines weiteres Interface auf der Sophos Box und der Cisco ISE und dessen Guest Access Portal einen Gast Zugang realisiert, der auch so funktioniert wie gewünscht. Über unseren Cisco WLAN Controller kommen die Gäste mit Ihren Zugangsdaten zum Sophos Gast Interface und erhalten dort eine IP vom Sophos DHCP auf dem Interface, einen Internetzugang und Webproxy. Soweit so gut.

Jetzt gibt es die Anforderung, dass man sich genau aus diesem Gast WLAN, welches auf dem Sophos Gast Interface terminiert, auch per Remote SSL-VPN einwählen kann, wie es die externen außerhalb unseres Netzwerkes auch tun können.

Versucht man das, läuft man immer in einen Timeout rein. Leider sehe ich sowohl im Remote SSL-VPN, als auch im Firewall Log nichts zu dieser Verbindung. Die Konfiguration des Remote SSL VPN ist nicht auf ein bestimmtes Interface limitiert (any) und läuft über TCP 443. Wir haben außerdem einen override hostname als IP gepflegt.

Nun stellt sich die eigentlich Frage, ob das von uns gewünschte Konstrukt über die Box abzubilden ist, denn im Prinzip kommen wir ja von einem Interface der Box und wollen über ein anderes wieder als ssl-vpn Verbindung wieder rein. Ist das möglich? Falls ja was müssen wir bedenken? Welche Informationen benötigt Ihr noch um hier weiter zu helfen?

Über ein Feedback von euch freue ich mich sehr.

Viele Grüße

Christian



This thread was automatically locked due to age.
  • 0 in reply to Christian Pauli

    Hallo Christian,

    Erstmal herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You will find that we work better here with lines copied from logs and pictures of Edits of the relevant configurations.  Please show a picture of the Edit of the SSL VPN Profile that a person in the Guest network would qualify for.  Also a picture of 'Allowed Networks' in Web Filtering.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Hallo Bob,

    vielen Dank für deine Rückmeldung.

    Ich hoffe ich habe von den richtigen Bereiche Screenshots erstellt:

    SSL-Profile:

    Mein verwendeter Testuser ist folgender:

    Allowed Networks:

    Als Hinweis wäre noch wichtig, dass alle Anwender im Gast LAN, sich vorher mit dem Gast Portal von Cisco authentifiziert haben und die dort verwendeten Benutzer andere sind, als die SSL-VPN Profile, die sich dann versuchen über das Gast LAN per SSL-VPN zu verbinden.

    Weiterhin habe ich den Haken "Allow HTTP/S traffic for listed hosts/nets" aktiviert. Leider ohne Erfolg.

  • 0 in reply to Christian Pauli

    There are some "tricks" you will learn here, Christian. ;-)

    In your last picture, selecting 'Allow HTTP/S traffic for listed hosts/nets' only applies to 'Transparent Mode Source Hosts/Nets' and not to Destination.  In any case, in 'Standard Mode', the 'Transparent Mode Skiplist' does not apply - it applies only in Transparent Mode.

    On the 'Global tab of 'Web Filtering', I don't see the "VPN Pool (SSL)" object in 'Allowed Networks'.  I suspect that your configuration includes a firewall rule that allows 'VPN Pool (SSL) -> Web Surfing -> Internet IPv4' traffic and that you have a Masquerading rule for such traffic.  You can confirm that the traffic has been bypassing your HTTP Proxy by looking for it in the Web Filtering log file.

    If the remote users are not logged into their Active Directory account on their laptop, they will fail authorization.  If they haven't chosen an explicit proxy in LAN Settings for their browser, they won't use UTM Web Filtering since you don't have a Transparent Mode Profile.  I normally recommend having the Default Profile in Transparent Mode with a Web Filtering Profile in Standard Mode.

    You might want to review Configuring HTTP/S proxy access with AD SSO.  You also might want to review the three threads pinned to the top of the Web Protection forum.

    MfG - Bob (Bitte auf Deutsch weiterhin.)