Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2834 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSLVPN & Spoof protection

Mokaz
Hi all,

Doing some VPN testings and i've found somthing odd out.

While mounting a VPN with all traffic routed through the tunnel (DNS included) and the UTM firewall configured with 
Firewall --> Advanced --> Spoof protection:	Strict
 then every DNS queries from any SSL VPN client (road warriors) are dropped by the firewall stating "Spoofed packet".

Also, is there any paper or document available onto the connectivity cascade with the UTM? by this i mean something like what happend if you have web filtering rules for some subnet/hosts ON but no NAT on that subnet and no specific firewall rules for that subnet either.. Well im trying to figure out how the divers possible rule sets are traversed indeed.

Thanks,
regards,
m.


This thread was automatically locked due to age.
  • 0
    DNS queries from any SSL VPN client (road warriors) are dropped by the firewall stating "Spoofed packet".

    Interesting - and the problem disappears if you select "Normal" spoof protection?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BarryG
    Hi,

    UTM version # please

    Barry


    Hi guys,

    This is what i'm currently running.

    Firmware version: 9.201-23
    Pattern version: 62516



    To Bob --> yes indeed in "normal" mode DNS queries toward UTM DNS are going through with no issues. Important thing here is that DNS queries from the road warrior client HAVE to be addressed at the VPN server (no split tunnels or how's that called + UTM DNS server only)... 

    I guess this is a bug somehow.

    Thanks,
    regards,
    m.
  • 0
    What subnet is "VPN Pool (SSL)" and is it the same as any other subnet known to the UTM?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    What subnet is "VPN Pool (SSL)" and is it the same as any other subnet known to the UTM?

    Cheers - Bob


    It was set to default (10.242.2.x if my brain works well today) and i've tried changing it to 10.10.10.x which is the current settings.

    When you write "...known by the UTM..." are you talking about physical subnets bound to any Ethernet adapters right? i was wondering if this would be possible, i'd rather have the VPN clients taking an DHCP distributed IP on any chosen UTM physical subnets indeed. And i guess this would be a workaround the issue.

    Also, in my current setup who's taking the VPN Pools DHCP server role? To me I guess it's part of the SSL VPN server code but it's not clear.

    Cheers,
    m.
  • 0
    I didn't follow your last post, but you definitely DON'T want to have any VPN Pool overlap with any other subnet known to the UTM.  The OpenVPN server doesn't do DHCP per se, but it does hand out IP addresses, routes, etc.

    Cheers - Bob
    PS Then again, maybe this is the known MiTM OpenSSL vulnerability.  9.113 was soft-released to address this.  I think 9.203 addresses the same issue for folks on 9.2.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML