Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Neuling und Timeout bei Webserververöffentlichung

Hallo,

ich habe hier eine UTM 9 stehen und möchte damit einen Webserver veröffentlichen. Ich habe dazu in der Firewall eine Regel angelegt:

WAN_PORT -->HTTPS-->Webserver (ALLOW)

Für den internen Server gibt es eine DNAT Regel

ANY-->HTTPS-->[WAN-PORT]
und dann wird auf den internen Server umgeleitet.


Wenn ich jetzt eine Verbindung starte bekomme ich viele weiße Einträge in der Form:

15:37:22  TCP   [WAN-Port] : 443   → [UMTS-IP] : 61110  [ACK SYN] len=48 ttl=64 tos=0x00 
15:37:24  TCP   [UMTS-IP] : 61110  → [WAN-Port] : 443    [SYN] len=52 ttl=118 tos=0x00 
15:37:26  TCP   [WAN-Port] : 443   → [UMTS-IP] : 61110  [ACK SYN] len=48 ttl=64 tos=0x00 
15:37:30  TCP   [UMTS-IP] : 61110  → [WAN-Port] : 443    [SYN] len=48 ttl=118 tos=0x00 
15:37:34  TCP   [WAN-Port] : 443   → [UMTS-IP] : 61110  [ACK SYN] len=48 ttl=64 tos=0x00 
15:37:42  TCP   [WAN-Port] : 443   → [UMTS-IP] : 61110  [ACK SYN] len=48 ttl=64 tos=0x00 
15:37:43  TCP   [WAN-Port] : 443   → [UMTS-IP] : 61112  [ACK SYN] len=48 ttl=64 tos=0x00 
15:37:45  TCP   [WAN-Port] : 443   → [UMTS-IP] : 61112  [ACK SYN] len=48 ttl=64 tos=0x00 
15:37:45  TCP   [WAN-Port] : 443   → [UMTS-IP] : 61113  [ACK SYN] len=48 ttl=64 tos=0x00 
15:37:46  TCP   [UMTS-IP] : 61112  → [WAN-Port] : 443    [SYN] len=52 ttl=118 tos=0x00 
15:37:46  TCP   [UMTS-IP] : 61113  → [WAN-Port] : 443    [SYN] len=52 ttl=118 tos=0x00 
15:37:51  TCP   [UMTS-IP] : 61112  → [WAN-Port] : 443    [SYN] len=48 ttl=118 tos=0x00 
15:37:51  TCP   [UMTS-IP] : 61113  → [WAN-Port] : 443    [SYN] len=48 ttl=118 tos=0x00


Einen grünen Eintrag oder roten Eintrag bekomme ich leider nicht. Der Zugriff läuft nach ca. 45 Sekunden auf einen Fehler: Netzwerküberschreitung.


This thread was automatically locked due to age.
  • Das, was da steht, ergibt keinen Sinn - jedenfalls nicht in diesem 
    Kontext. Kannst Du das bitte als Screenshots posten?
  • Das, was da steht, ergibt keinen Sinn - jedenfalls nicht in diesem 
    Kontext. Kannst Du das bitte als Screenshots posten?


    Hallo,

    anbei die Screenshots:



  • Die Quelle in der Firewall-Regel muss any sein. Es geht ja um Traffic der aus dem Internet (Any) auf deinem Webserver will..

    Aber eigentlich musst du keine Regel erstellen da im DNAT automatic firewall rule aktiviert ist.

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

  • Hi sapadm,

    wie schieren schon sagt, eine extra paketfilter regel brauchst du nicht. Das ist doppelt gemoppelt. Dein externer Client schickt immer wieder sync pakete, versucht also eine Verbindung aufzubauen. 

    Siehst du auf dem webserver die ankommenden Verbindungen? Ist auf dem Webserver das richtige Standard Gateway eingetragen?

    vg
    mod
  • Und die ACKSYN sind Grundrauschen? 
    Läuft da eine WAF?
  • Und die ACKSYN sind Grundrauschen? 
    Läuft da eine WAF?


    ich hab wohl irgendwie Knöpfe auf den Augen [:D]

    Aber da fehlt was in dem Log. Wo sind die Initial Anfragen vom NAT? Wenn NAT konfiguriert ist zieht das immer vor einer WAF. Also stimmt hier irgendwas nicht.
  • Jetzt hab ich es verstanden. Der Log ist manuell angepasst worden. Da sind Felder gelöscht worden. [:D]
  • Jetzt hab ich es verstanden. Der Log ist manuell angepasst worden. Da sind Felder gelöscht worden. [[:D]]


    [[:D]] wenn ich schon evtl was löchriges baue mus ich der Welt ja nicht sagen wo sie es findet.[;)]
  • Dann mach jetzt mal folgendes, damit wir eindeutig sehen können was sich da tut.
    Gehe zu den Firewall Rules, wechsle zu automatisch erstellten... und aktiviere das logging für diese automatisch erstelle regel.

    die regel die du manuell angelegt hast zieht nicht. Es werden immer zuerst die automatisch erstellten abgearbeitet.

    Dann kopiere noch mal den livelog in dem moment wo du versuchst auf den webserver zuzugreifen. Dann sehen wir alles was damit zu tun hat. Du kannst gerne die IPs anpassen aber lösche bitte sonst nichts raus.

    vg
    mod