Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5062 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Secondary IP Address problem

BangkokBob
My UTM is version 9.201-23
I have a number of real and virtual web servers already working with Plaintext (HTTP).
Today I wanted to create a Virtual Web server for our web mail gateway (GroupWise).  I first tried with a Plaintext (HTTP) and it works fine.
I then generated a certificate for use when using HTTPS using Certificate Management within the UTM.
When I change the Virtual Web server type to HTTPS I can select the certificate I have created, but when I go to save the new definition for the Virtual Web server I am advised that port 443 is already in use by the User Portal TCP port.
The interface selected for this Virtual Web server is an additional address defined in the UTM Interfaces, and has a separate IP address from the one that is used for the User Portal.
Any ideas how I can overcome this problem?
Thanks


This thread was automatically locked due to age.
  • 0
    Hi,

    this is a known issue. The corresponding Mantis ID is #31307 in case you contact support.

    Otherwise, you can only change the port number for the User Portal or the virtual webserver.

    Best,
     Sabine
  • 0 in reply to BangkokBob
    I changed the user portal address but now get "The TCP port '443' is already in use by the SSL VPN port number".

    I will wait for the issue to be solved.  It is not a serious problem for me right now.
  • 0 in reply to BangkokBob
    I changed the user portal address but now get "The TCP port '443' is already in use by the SSL VPN port number".

    I will wait for the issue to be solved.  It is not a serious problem for me right now.
  • 0 in reply to BangkokBob
    Sorry, I was wrong. The ID concerns only the Webadmin because the Webadmin listens on all interfaces and therefore, the port is blocked for all interfaces. Regarding the user portal, it is possible to select the interface (address). If you have configured SSL VPN on one interface, it is not possible and it will not be possible to configure the WAF on the same interface.

    Best,
     Sabine
  • 0 in reply to Evianne
    I'm afraid I don't follow.  
    Am I correct in understanding from your post that if you have only one public interface, irrespective of the number of IP addresses that you have, if SSL is used for any connection to that one public interface, then it is not possible to use HTTPS in the WAF.
    I believe only the default gateway is available for SSL VPN remote access?  If this is so a company with only one public connection and using other functionality of the UTM would find the WAF of limited functionality.
    Would an acceptable approach be to put a switch in front of the UTM and to split the IP addresses and so use separate ports for WAF access, or is that bad practice?
    Thanks
  • 0 in reply to BangkokBob
    Sorry, if my answer was ambiguous. 

    If it would be possible to run two services on the same address and the same port, the UTM could not distinguish which request belongs to which service. Thus, it is not allowed to configure two services on the same address and the same port.

    If you want to use HTTPS for your virtual webserver and you have already configured SSL VPN on the same address, then you have to change either the port number for the virtual webserver or for the SSL VPN. But it's not possible to use 443 for both services on the same address. 

    I hope, this makes it clearer.

    Best,
     Sabine
  • 0
    Hi, I think the SSL VPN would also work on port 443 if it were configured for UDP.

    Barry
  • 0
    Barry's right.  I like to use UDP instead of TCP because it results in faster tunnels.  Some have reported difficulty with having UDP traffic blocked in some hotels, but I have no direct experience of that.  

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks Bob and Barry for final suggestions.

    That works.  Great!!

    To distil the advice to a few lines:
    To enable WAF using HTTPS when the firewall has a single public interface and other HTTPS services (eg VPN) are required on that interface:

    - change the User Portal port address
    - change SSLVPN to use UDP instead of VPN
    - WAF will now work for HTTPS

    Maybe documentation could be updated to suggest this approach?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?