Hallo,
der Verbindungsaufbau mit dem OpenVPN Connect Clinet hinter des UTM schlägt fehl.
Es liegt an der Webprotection.
Schalte ich diese ab und erlaube Web in der Firewall funktioniert die Verbindung.
Den Port 1194 habe ich schon in den Filtertüten Misc hinzugefügt.
Vor der Ergänzung sah das LiveLog so aus:
2023:03:15-21:55:48 firewall httpproxy[11294]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.XXX.XXX" dstip="" user="" group="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo (containing Internal (Network))" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xda80f100" url="">GI-XXXXX.securedeviceaccess.net:1194/" referer="" error="Target service not allowed" authtime="0" dnstime="0" aptptime="0" cattime="0" avscantime="0" fullreqtime="14097" device="0" auth="0" ua="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" exceptions=""
Danach:
2023:03:15-22:21:14 firewall httpproxy[11294]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.XXX.XXX" dstip="" user="" group="" ad_domain="" statuscode="405" cached="0" profile="REF_HttProContaInterNetwo (containing Internal (Network))" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xda80c000" url="">GI-XXXXX.securedeviceaccess.net:1194/" referer="" error="" authtime="0" dnstime="0" aptptime="0" cattime="341" avscantime="0" fullreqtime="7766" device="0" auth="0" ua="xxxxxxxxxxxxxxxxxxxxxxxxxx" exceptions="" category="9998" reputation="unverified" categoryname="Uncategorized"
Weiß nicht wie ich es hin bekomme das der Traffic zugelassen wird.Vermute es liegt an den Kategorien. Vielleicht habt jemand einen Tip.
Vielen Dank und Grüße
Markus
Ihr arbeitet mit dem Standard-Proxy (expriziter Proxy Eintrag auf jedem Client)?
Anfangs wurde OpenVPN dort hingeschickt, aber Port 1194 war nicht erlaubt.
In Screenshot 2 siehr man, dass wegen //categoryname="Uncategorized"// geblockt wird.
Bei der UTM kann Webseiten/URLs eine Kategorie zugewiesen/überschrieben werden. (Webfilter/Options/..)
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum PartnerSophos Solution Partner since 2003 If a post solves your question, click the 'Verify Answer' link at this post.
Hallo Dirk,
den Proxy nutzen wir im "Transparent mode".
Die Kategorie konnte ich zuweisen.
Sieht nun so aus:
2023:03:19-10:18:42 firewall httpproxy[6357]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.XXX.XXX" dstip="" user="" group="" ad_domain="" statuscode="405" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xdb312e00" url="https://GI-XXXXX.securedeviceaccess.net:1194/" referer="" error="" authtime="0" dnstime="0" aptptime="0" cattime="0" avscantime="0" fullreqtime="8030" device="0" auth="0" ua="XXXXXXXXXXXXXXXXXXXX" exceptions="" overridecategory="1" overridereputation="1" category="178" reputation="trusted" categoryname="Internet Services"
Da der Traffic immer noch geblockt wird - keine Verbindung.
Noch eine Idee?
Viele Grüße
Im Transparenten Mode würde ich 1194 aus dem Webfilter herausnehmen und den Port (zu den nötigen Zielen) per Firewall freigeben.
Sonst wäre zu prüfen, warum der Webfilter das nicht zulässt.
wenn ich den Port 1194 auf aus dem Webfilter nehme also bei "Filter Options -> Misc -> Allowed Target Services" kommt wieder der Error Service not allowed. Verbindung wird nicht hergestellt. Hilft auch nicht den Port in der Firewall frei zu geben.
"Service not allowed" ist aber eine Meldung des Standard-Mode.
Aber ... der Transparente Mode ist ein "add-on". Der Standard-Mode bleibt auch bei aktivierten "Transparent-Mode" verfügbar. Dieser wird verwendet, denn die Client-Systeme einen proxy-Eintrag haben.