This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL-VPN über Gast-Interface auf der Sophos Box

Hallo Zusammen,

folgende Fragestellung stellt sich uns gerade. Wir haben ein Sophos SG430 mit UTM 9.508-10 im Einsatz. Dieses System übernimmt neben der Funktion des Webproxy, externen SMTP Gateway auch die Funktion für den Remote Access von Externen Firmen. Soweit funktioniert dies auch alles wie gewünscht.

Zusätzlich zu den genannten Aufgaben, haben wir mit Hilfe eines weiteres Interface auf der Sophos Box und der Cisco ISE und dessen Guest Access Portal einen Gast Zugang realisiert, der auch so funktioniert wie gewünscht. Über unseren Cisco WLAN Controller kommen die Gäste mit Ihren Zugangsdaten zum Sophos Gast Interface und erhalten dort eine IP vom Sophos DHCP auf dem Interface, einen Internetzugang und Webproxy. Soweit so gut.

Jetzt gibt es die Anforderung, dass man sich genau aus diesem Gast WLAN, welches auf dem Sophos Gast Interface terminiert, auch per Remote SSL-VPN einwählen kann, wie es die externen außerhalb unseres Netzwerkes auch tun können.

Versucht man das, läuft man immer in einen Timeout rein. Leider sehe ich sowohl im Remote SSL-VPN, als auch im Firewall Log nichts zu dieser Verbindung. Die Konfiguration des Remote SSL VPN ist nicht auf ein bestimmtes Interface limitiert (any) und läuft über TCP 443. Wir haben außerdem einen override hostname als IP gepflegt.

Nun stellt sich die eigentlich Frage, ob das von uns gewünschte Konstrukt über die Box abzubilden ist, denn im Prinzip kommen wir ja von einem Interface der Box und wollen über ein anderes wieder als ssl-vpn Verbindung wieder rein. Ist das möglich? Falls ja was müssen wir bedenken? Welche Informationen benötigt Ihr noch um hier weiter zu helfen?

Über ein Feedback von euch freue ich mich sehr.

Viele Grüße

Christian



This thread was automatically locked due to age.
  • Keiner eine Idee? Oder ist die Aufgabenstellung bzw. das Konstrukt zu ungenau beschrieben?

  • Hi,

     

    ich bin mir nicht sicher, vermute allerdings, dass Dir der Webproxy in die Suppe spuckt. Du lässt SSL-VPN auf 443 lauschen und möglicherweise blockt der Webfilter die Verbindung aus dem Gastnetztwerk?

  • Sorry for my English answer, but I hope it helps you.

    You most likely need to create a NAT rule for traffic from the inside of the UTM (Guest network) go back inside through the external public IP-address.

    Try a DNAT rule:

    For traffic from: Guest Network
    Going to: External (Address)
    Using service: define the used TCP or UDP port that you are using for Remote VPN

    change destination: Guest Network (Address)

    I'm not sure if this will work, but in stead of connecting to the "outside" address, the DNAT connects to the inside address of the Guest network subnet.


    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

  • Thank you for your answer. English is perfectly fine. I could not test today, but tomorrow I will give it a shot.

  • Hey Thorsten,

    du scheinst mit deiner Vermutung richtig zu liegen. Während des Verbindugnsaufbaus über den Sophos SSL-VPN Client habe ich folgende wiederkehrende Meldung im Proxylog:

     

    2018:12:20-07:42:57 fsta-xxxx-2 httpproxy[16361]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="172.16.xx.xxx" dstip="88.217.xxx.xxx" user="" group="" ad_domain="" statuscode="500" cached="0" profile="REF_HttProContaInterNetwo3 (xxxx Guest Proxy Policie)" filteraction="REF_HttCffxxxxGuestFilte (xxxx Guest FILTER DEFAULT)" size="80" request="0x2fabe400" url="https://88.217.xxx.xxx/" referer="" error="Connection timed out" authtime="0" dnstime="0" cattime="101" avscantime="0" fullreqtime="127251864" device="0" auth="0" ua="" exceptions="" category="9998" reputation="unverified" categoryname="Uncategorized"

     

    Also dürfte das tatsächlich die Ursache sein, denn die DNAT Regel, die ich auch wie vorgeschlagen erstellt habe, greift garnicht, da es gar nicht soweit kommt.

    Jetzt hatte ich versucht, die URL https://88.217.xxx.xxx in unsere Overwrite URL Filter mit aufzunehmen, dies scheint aber keinen Einfluss zu nehmen. Die Anfragen werden immer noch geblockt. Hast du noch eine Idee?

     

    Viele Grüße

    Christian

  • Zunächst würde ich SSL-VPN nicht auf 443 laufen lassen sondern auf Std. Openvpn 1194 glaub ich.

     

    Ansonsten mal unter Web Protection -> Filteroptionen -> Sonstiges -> Transpartenzmodus Aushnahmen die Zieladresse eintragen.

     

    Oder unter Web Protection -> Filteroptionen -> Ausnahmen eine Regel erstellen.

  • Hallo Thorsten,

     

    vielen Dank für deine schnelle Rückmeldung.

    Hat es Auswirklungen auf unsere bestehenden und bereits im Einsatzbefindlichen SSL-VPN Zugänge der Externen, wenn wir nun den Port ändern?

    Zu deinen Vorschlägen.

    Wenn ich den Host in der Transparent Mode Skiplist unter den Zielsystemen eintrage, sehe ich im SSL-VPN Client log, dass keine TCP connection mehr aufgebaut werden kann, dies ging ohne diesen Eintrag.

    TCP connection established with [AF_INET]88.217.xxx.xxx:443

    TCPv4_Client link local [undef]

    TCPv4_Client link remote [AF_INET]88.217.xxx.xxx:443

    Management >> State: Wait

    TLS Error TLS key negotiation failed to ccur withen 60 seconds (check your network connectivity)

    TLS Error TLS handshake failed

    Dies ist ein Auszug ohne die Eintragung des Zielsystems in der Transparent Mode Skip List:

     

    So sieht es mit der Regel aus:

    TCP: connect to [AF_INET]88.217.xxx.xxx:443 failed, will try again in 5 seconds. The system tried to join a drive to a directory on a joined drive.

    Management >> State TCP_Connect...

     

    Womöglich muss ich den Haken "Allow HTTP/S traffic for listed hosts/nets" aktivieren oder? Dieser ist aktuell nicht aktiv.

     

    Eine Ausnahme Regel hatte ich auch probiert, nur schien diese keine Auswirkungen zu haben.

    Bei dieser habe ich den URL Filter geskippt und als Regel:

    Coming from these networks - Guest Network und Matching these URLs https://88.217.xxx.xxx

     

    Ich freue mich über ein kurzes Feedback von dir.

     

    Viele Grüße

    Christian

  • Firewallregel für das Gastnetz, dass 443 durchlässt?

  • Es gibt eine Firewall Regel, diese blockiert aber nicht 443. Im Firewall log gibt es dazu auch keine entsprechenden Einträge.

     

    Kannst du noch etwas zu meinen Fragen bezüglich Portänderung und dem Haken "Allow HTTP/S traffic for listed hosts/nets" sagen?

     

    Viele Grüße

    Christian

  • Naja, Du müsstest eine Regel erstellen, dass aus dem Gast-Netz Zugriff via 443 zugelassen wird.

     

    Wenn Du in den VPN-Einstellungen den Port von 443 auf einen anderen Umstellst, wirkt sich das natürlich global aus. Also alle VPN-Configs müssten angepasst werden.