Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 38 subscribers
  • Views 5491 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web-VPN im Gäste-WLAN nicht erreichbar

IPH
Hallo zusammen,

folgendes Phänomen tritt aktuell bei uns auf:

Ein Gast-Mitarbeiter möchte eine VPN-Verbindung zu seinem Firmennetzwerk aufbauen. Dies geschieht über eine HTTPS-Verbindung im Browser.

In unserem Lan oder per Bridged-WLAN geht alles ohne Probleme. Die Seite kann aufgerufen werden und der Mitarbeiter könnte sich theoretisch einloggen. 

Nun arbeitet der Gast-Mitarbeiter aber nicht im Firmennetzwerk sondern geht über unser Gäste-WLAN (separate Zone) ins Internet. Dort funktioniert alles im Web tadellos, außer genau diese HTTPS-Verbindung zu seinem VPN-Anbieter.

Im Forum habe ich bereits über einen Bug mit den MTU-Werten der WLAN-Schnittstelle gelesen und auch bei mir getestet. Leider ohne Erfolg. Die Seite lädt solange bis der Browser irgendwann ein Timeout bringt.

In den Logs kann ich nichts feststellen. Die Seite wird ja auch nicht geblockt und läuft somit nicht auf Fehler.

Habt ihr noch eine Idee?

Besten Dank!

Gruß
Lars


This thread was automatically locked due to age.
  • 0
    Was steht denn genau in den Logs? Nutzt das WLAN den Webproxy? Das LAN auch? Mit unterschiedlichen Profilen? Was wäre der Unterschied?
  • 0 in reply to K.N.
    Was steht denn genau in den Logs? Nutzt das WLAN den Webproxy? Das LAN auch? Mit unterschiedlichen Profilen? Was wäre der Unterschied?


    Naja...nichts steht in den Logs. Sei es im Log der Firewall oder dem Wireless Lan. 

    Das WLAN nutzt nicht den Webproxy, sondern wird per Maskerade direkt rausgeleitet.

    Das Lan nutzt den Webproxy und dort klappt der Aufruf der Seite. 

    Was meinst du mit unterschiedlichen Profilen?

    Der Unterschied liegt lediglich an der getrennten Zone des Gäste-WLAN samt eigenem DHCP und separaten IP-Adressbereich. Außerdem wird das Gäste-WLAN, wie oben erwähnt, per Maskerade direkt über den WAN-Port geleitet. 

    Application Control ist ebenfalls auf allen Netzen aktiviert. 

    Das Gäste-WLAN ist in seiner Geschwindigkeit auf 3 MBit gedrosselt. Diese Drosselung gibt es sonst nicht.
  • 0
    Du hast die Web Protection für das Gäste WLAN nicht aktiviert bzw. es ist im Transparenten Modus nicht aufgeführt bzw. in einem Profil?

    Nice greetings
  • 0 in reply to GuyFawkes
    Du hast die Web Protection für das Gäste WLAN nicht aktiviert bzw. es ist im Transparenten Modus nicht aufgeführt bzw. in einem Profil?

    Nice greetings


    Sorry. Da hab ich mich vertan. Der Webfilter ist für das Gäste-WLAN aktiviert und wird im Standardmodus ausgeführt.
  • 0
    Aha, schau mal in deinem Webfilter Log, was genau dort geblockt wird.
    Live Log aktivieren und einmal den Zugriff testen.

    Gehe davon aus, dass dort die Seite geblockt ist, oder es Probleme gibt mit der Verbindung. Dort ggf. den Virenscan etc. für diese Destination eine Ausnahme definieren.

    Aber guck mal vorher ins Log.

    Nice greetings
  • 0 in reply to GuyFawkes
    Aha, schau mal in deinem Webfilter Log, was genau dort geblockt wird.
    Live Log aktivieren und einmal den Zugriff testen.

    Gehe davon aus, dass dort die Seite geblockt ist, oder es Probleme gibt mit der Verbindung. Dort ggf. den Virenscan etc. für diese Destination eine Ausnahme definieren.

    Aber guck mal vorher ins Log.

    Nice greetings


    Hallo GuyFawkes,

    im Log wird leider nichts angezeigt. Obwohl unser Gäste-WLAN bei den zugelassenen Netzwerken hinterlegt ist, wird der verwendete IP-Adressbereich nicht im Log angezeigt. Lediglich unser internes LAN wird korrekt mitgelogt.

    Sollte ja eigentlich nicht so sein. Bedeutet für mich, dass der Traffic nicht über den Proxy läuft oder sehe ich da etwas falsch?

    Beste Grüße
  • 0
    Du schaust aber im Webfilter Log und nicht im Firewall Log.
    Mit den derzeitigen Infos, sehe ich das auch so.
    Wenn du hier keine Ausnahme definiert hast, dass das Netz nicht geloggt wird, dann sollte hier was drin stehen.

    Dann gucken wir mal, ob es via Firewall geht.

    Du hast ja sicher auch eine Firewall Regel 
    Permit: Gäste WLAN - ANY - Internet IPv4

    Unter Erweitert, kannst du das Log aktivieren. Mach das mal bitte, dann erhälst du im Firewall Log dazu auch positive Einträge.

    Teste danach erneut.

    Nice greetings
  • 0 in reply to GuyFawkes
    Du schaust aber im Webfilter Log und nicht im Firewall Log.
    Mit den derzeitigen Infos, sehe ich das auch so.
    Wenn du hier keine Ausnahme definiert hast, dass das Netz nicht geloggt wird, dann sollte hier was drin stehen.

    Dann gucken wir mal, ob es via Firewall geht.

    Du hast ja sicher auch eine Firewall Regel 
    Permit: Gäste WLAN - ANY - Internet IPv4

    Unter Erweitert, kannst du das Log aktivieren. Mach das mal bitte, dann erhälst du im Firewall Log dazu auch positive Einträge.

    Teste danach erneut.

    Nice greetings


    Ok. Wo kann man diese Ausnahme definieren?

    Genau. Ich habe mehrere Firewallregeln für das Gäste-WLAN. U.a. die Regel WLAN - Web Surfing - Internet IP4.

    Im Log wird mir grün angezeigt, dass der Client durch meine Paketfilterung zum Ziel-Client geleitet wurde. Im Browser selber kommt allerdings weiterhin nach einiger Zeit ein Timeout.

    Verworfene Pakete werden nicht angezeigt.
  • 0 in reply to IPH
    Hat vielleicht noch ein anderer eine Idee?!?

    Beste Grüße und ein schönes Wochenende!
  • 0 in reply to IPH
    Ich habe das Problem, vorerst, beheben können. So wie es scheint ist der MTU wert der WLAN-Schnittstelle schuld.

    Seit dem letzten UTM Update wurde seitens Astaro der Wert auf 1450 runtergeschraubt. Nachdem ich den Wert per Hand auf 1500 umgestellt hatte, ging alles wieder wie gewohnt.

    Für mich ist das Thema damit erledigt. Besten Dank an alle Helfer!

    Gruß
    Lars
Unfiltered HTML