This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

OpenVPN Connect aus LAN durch UTM - blocked bei Webprotection

Markus over 2 years ago

Hallo,

der Verbindungsaufbau mit dem OpenVPN Connect Clinet hinter des UTM schlägt fehl.

Es liegt an der Webprotection.

Schalte ich diese ab und erlaube Web in der Firewall funktioniert die Verbindung.

Den Port 1194 habe ich schon in den Filtertüten Misc hinzugefügt.

Vor der Ergänzung sah das LiveLog so aus:

2023:03:15-21:55:48 firewall httpproxy[11294]: id="0002" severity="info" sys="SecureWeb" sub="http" 
name="web request blocked" action="block" method="CONNECT" srcip="192.168.XXX.XXX" dstip="" user="" 
group="" ad_domain="" statuscode="403" cached="0" 
profile="REF_HttProContaInterNetwo (containing Internal (Network))" 
filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" 
request="0xda80f100" url="">GI-XXXXX.securedeviceaccess.net:1194/" referer="" 
error="Target service not allowed" authtime="0" dnstime="0" aptptime="0" cattime="0" avscantime="0" 
fullreqtime="14097" device="0" auth="0" 
ua="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" exceptions=""

Danach:

2023:03:15-22:21:14 firewall httpproxy[11294]: id="0002" severity="info" sys="SecureWeb" sub="http"
name="web request blocked" action="block" method="CONNECT" srcip="192.168.XXX.XXX" dstip="" user="" 
group="" ad_domain="" statuscode="405" cached="0" 
profile="REF_HttProContaInterNetwo (containing Internal (Network))" 
filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0"
request="0xda80c000" url="">GI-XXXXX.securedeviceaccess.net:1194/" referer=""
error="" authtime="0" dnstime="0" aptptime="0" cattime="341" avscantime="0" fullreqtime="7766" device="0" auth="0"
ua="xxxxxxxxxxxxxxxxxxxxxxxxxx" exceptions="" category="9998" reputation="unverified" categoryname="Uncategorized"

Weiß nicht wie ich es hin bekomme das der Traffic zugelassen wird.
Vermute es liegt an den Kategorien. Vielleicht habt jemand einen Tip.

Vielen Dank und Grüße

Markus

This thread was automatically locked due to age.

Parents

0 dirkkotte over 2 years ago

Hallo,

Ihr arbeitet mit dem Standard-Proxy (expriziter Proxy Eintrag auf jedem Client)?

Anfangs wurde OpenVPN dort hingeschickt, aber Port 1194 war nicht erlaubt.

In Screenshot 2 siehr man, dass wegen //categoryname="Uncategorized"// geblockt wird.

Bei der UTM kann Webseiten/URLs eine Kategorie zugewiesen/überschrieben werden. (Webfilter/Options/..)
Cancel
Vote Up 0 Vote Down

Cancel

0 Markus over 2 years ago in reply to dirkkotte

Hallo Dirk,

den Proxy nutzen wir im "Transparent mode".

Die Kategorie konnte ich zuweisen.

Sieht nun so aus:

2023:03:19-10:18:42 firewall httpproxy[6357]: id="0002" severity="info" sys="SecureWeb" 
sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.XXX.XXX" 
dstip="" user="" group="" ad_domain="" statuscode="405" cached="0" 
profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" 
filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" 
size="0" request="0xdb312e00" url="https://GI-XXXXX.securedeviceaccess.net:1194/" 
referer="" error="" authtime="0" dnstime="0" aptptime="0" cattime="0" avscantime="0" 
fullreqtime="8030" device="0" auth="0" ua="XXXXXXXXXXXXXXXXXXXX" exceptions="" 
overridecategory="1" overridereputation="1" category="178" reputation="trusted" 
categoryname="Internet Services"

Da der Traffic immer noch geblockt wird - keine Verbindung.

Noch eine Idee?

Viele Grüße

Markus

Reply

0 Markus over 2 years ago in reply to dirkkotte

Hallo Dirk,

den Proxy nutzen wir im "Transparent mode".

Die Kategorie konnte ich zuweisen.

Sieht nun so aus:

2023:03:19-10:18:42 firewall httpproxy[6357]: id="0002" severity="info" sys="SecureWeb" 
sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.XXX.XXX" 
dstip="" user="" group="" ad_domain="" statuscode="405" cached="0" 
profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" 
filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" 
size="0" request="0xdb312e00" url="https://GI-XXXXX.securedeviceaccess.net:1194/" 
referer="" error="" authtime="0" dnstime="0" aptptime="0" cattime="0" avscantime="0" 
fullreqtime="8030" device="0" auth="0" ua="XXXXXXXXXXXXXXXXXXXX" exceptions="" 
overridecategory="1" overridereputation="1" category="178" reputation="trusted" 
categoryname="Internet Services"

Da der Traffic immer noch geblockt wird - keine Verbindung.

Noch eine Idee?

Viele Grüße

Markus

Children

0 dirkkotte over 2 years ago in reply to Markus

Im Transparenten Mode würde ich 1194 aus dem Webfilter herausnehmen und den Port (zu den nötigen Zielen) per Firewall freigeben.

Sonst wäre zu prüfen, warum der Webfilter das nicht zulässt.
Cancel
Vote Up 0 Vote Down

Cancel
0 Markus over 2 years ago in reply to dirkkotte

wenn ich den Port 1194 auf aus dem Webfilter nehme also bei "Filter Options -> Misc -> Allowed Target Services" kommt wieder der Error Service not allowed. Verbindung wird nicht hergestellt. Hilft auch nicht den Port in der Firewall frei zu geben.

Viele Grüße

Markus
Cancel
Vote Up 0 Vote Down

Cancel
0 dirkkotte over 2 years ago in reply to Markus

"Service not allowed" ist aber eine Meldung des Standard-Mode.

Aber ... der Transparente Mode ist ein "add-on". Der Standard-Mode bleibt auch bei aktivierten "Transparent-Mode" verfügbar. Dieser wird verwendet, denn die Client-Systeme einen proxy-Eintrag haben.
Cancel
Vote Up 0 Vote Down

Cancel