Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 5279 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

443 Doesn't work while using 3rd party SSL VPN

ceihelpdesk
Strange one here - need some help.

I have a mobile fleet of laptops. When they connect back to use over SSL VPN, they can't reach any HTTPS site.  All http sites are fine.

Here's how they connect:

* Laptop users use WIFI or Cell Cards for Internet Access
* They have a Sonicwall NetExtender SSL VPN client installed
* The address vpn.ceicmh.org is setup as a DNAT on Astarto SGS525 to forward all 443 traffic to the SSL VPN Appliance
* They are able to connect and use all internal resources fine
* They are able to browse all external HTTP traffic fine
* They cannot browse any external HTTPS traffic.  
* The log shows taffic going out to user but it never displays.

If we change the VPN type from SSL to L2tp it works fine.  

Is it something with using port 443 and forwarding it?


This thread was automatically locked due to age.
  • 0
    Just a guess - in the DNAT traffic selector, change the Traffic Source from "Any" to the "Internet" object. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0
    Our current DNAT is
    Traffic Selector: ANY --> HTTPS --> INTERNET INTERFACE (vpn.ceicmh.org)
    Destination Translation: SSLVPN APPLIANCE (HTTPS)
    Automatic Firewall Rule is checked
    Initial packets are logged is checked

    So you suggest changing it to:

    INTERNET INTERFACE (vpn.ceicmh.org) --> HTTPS --> INTERNET INTERFACE (vpn.ceicmh.org)  ?
  • 0
    The Internet object is a Network definition 0.0.0.0/0 bound to interfaces with a default gateway. 

    Traffic Selector: Internet --> HTTPS --> External (Address)
    Destination Translation: SSLVPN APPLIANCE leave Destination service blank
    Automatic Firewall Rule is checked
    Initial packets are logged is checked



    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Doesn't fix it.... still can't use ssl sites.
  • 0
    I can go to http and that works find.... in this example... I'm going to a banking site.  I get the first http page.  This is what is displayed in web security log:

    2011:12:28-10:47:41 katie httpproxy[7421]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="172.22.76.10" dstip="130.94.75.211" user="" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xae268c8" url="www.laketrust.org/Internet_Banking_Login_177.html" exceptions="content,url,mime,cache,fileextension" error=""

    I can view the page.  Everything is fine.  As soon as I get the login button that takes me to an HTTPS page I get a blank page and nothing shows up in the log.
  • 0
    This last post indicates that your Web Proxy is in Transparent mode, so maybe you need a Firewall (Packet Filter) rule allowing the traffic; something like '{172.22.76.0/24} -> Web Surfing -> Internet : Allow'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Have one in place already.  I used Subnet -> Any -> Any  and still got nothing.
  • 0
    OK, that's enough guessing - I guess we'll need to actually work to find the problem! [;)]

    * The log shows taffic going out to user but it never displays.

    What do you mean, precisely, by that - a picture or logfile lines maybe...

     As soon as I get the login button that takes me to an HTTPS page I get a blank page and nothing shows up in the log. 

    What related line shows up in the Firewall (Packet Filter) log (the full log, not the Live Log) at that time?  Or, is there some thing in the Intrusion Prevention log?

    Cheers - Bob
  • 0
    Make sure you also have a nat masq rule for the ssl vpn network, along with the packet filter rule if https traffic is not going through the proxy.