Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 38 subscribers
  • Views 2302 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP(s) Defualt Drop Problem

Shadowmaker
Tach,

ich stehe grad vor einem echt komischen Problem. Ich habe vor längere Zeit Sophos-APs eingerichtet, die auch funktionierten.
Jetzt musste ich aber feststellen, dass ich keine Webseite mehr aufrufen kann. UTM-Version ist 9.305-4. Es ist eine Regel WLAN->ANY->ANY-Internet vorhanden. Webfilter ist aktiviert und das WLAN-Interface ist eingetragen. Jedoch bekomme ich im Firewall-Live-Log immer einen Default Drop. 
Dort steht dann soetwas wie: 

16:25:44  Default DROP  TCP    
74.125.136.103  :  443
→ 
192.168.20.1  :  44898
  
[RST]  len=40  ttl=64  tos=0x00  srcmac=00:1a:8c:0a:f7:01

Ich habe auch schon mal versuchsweise als allererste Regel Any-Internet->Any->WLAN gemacht, hatte aber keine Auswirkung.
Habe ich eine falsche Einstellung gesetzt, bzw. woran könnte das liegen?

MfG
Shadowmaker


This thread was automatically locked due to age.
  • 0
    Hi Shadowmaker,
    also erstens, nimm bei den Netzdefinitionen ANY (ANY heißt ANY und ggf. kommen user auch in andere Netze, wo sie kein Zugriff haben sollen) weg und nutze für "Netzwerk will ins Internet" die Definition "InternetI Pv4" = Aktives Default GW.

    Zweitens, nutzt du die Web Protection?
    Wenn ja, muss das Netz hier auch erlaubt sein, denn die Pakete werden erst durch die Web Protection verarbeitet.

    Drittens, wenn du einen Port Forward einrichten willst, brauchst du NAT.
    Wenn du Source NAT aktivierst, dann kannst du "automatische Firewallregeln" aktivieren, dann brauchst du nichts mehr in der FW selber einstellen, wenn du den Haken raus lässt, dann kannst du selber eine erstellen.
    Nur mit einer FW Regel wird das nicht gehen von extern nach intern --> NAT!

    Viertens Masquerating und NAT nach extern.

    Nice greetings
  • 0
    Hallo,

    sobald du den Webfilter aktiv hast, zieht die Firewall Regel nicht mehr.

    Passt DNS, NAT Masquerading usw?
  • 0
    Heyho,

    danke für die schnelle Rückmeldung. 
    Wie schon gesagt, dass ganze lief bis vor ca. 2 Monaten auch noch.
    Also das WLAN-Interface ist im Reiter DNS(Zugelassene Netzwerke) eingetragen.
    Unter dem Reiter NAT, im Unterpunkt Maskierung ist auch das Interface eingetragen(also WLAN -> External). Diese Eintragung aktiviert doch SNAT auf das Interface, oder? Einzigst bei der Web Protection habe ich das Gefühl, dass jemand dran rumgeschraubt hat.
    Edit: Also WLAN ist im Default Web Filter Profile eingetragen und dort sind Seiten wie Google auch nicht blockiert.
    Edit2: Nachdem ich im Forum noch ein wenig gesucht habe, bin ich auf einen Threadsteller gestoßen, der Durchsatzprobleme mit einer früheren Softwareversion hatte. Dies hat er er mit einem Heruntersetzen der Interface MTU gelöst. Da ich sonst schon alles versucht hatte, dachte ich mir mache ich das auch mal. Also setzte ich die MTU von 1500 auf 1300 und siehe da alles passt -> WLAn funktioniert wieder!

    MfG Shadowmaker
Unfiltered HTML