Thread Info
  • State Not Answered
  • Replies 49 replies
  • Subscribers 9 subscribers
  • Views 2381 views
  • Users 0 members are here
Options
Suggested

HTTP Download über SSL-VPN

Gerald Gleissner1

Ich habe da ein kleines Problem.

Habe eine SSL-VPN Verbindung zu einer XGS Firewall (SFOS 20.0.0.222) die auch wunderbar funktioniert.

Allerdings wenn ich von ein paar älteren Netgear Switchen (zum Beispiel GS752TPP) mir die Konfiguration, also ein Textfile (*.txt) herunterladen will, bekomme ich je nach Browser gar keine Meldung oder eine Meldung das es einen Netzwerkproblem gibt.

Der Switch selbst ist der Meinung seine Daten erfolgreich gesendet zu haben.

Bei dem Nachfolgeswitch (GS752TPv2) funktioniert es, einziger ersichtliche Unterschied, das Textfile hat als Endung *.cfg

Erlaubt ist eigentlich in der Firewallregel alle Netzwerke mit allen Diensten, kein Webfilter aktiv.

Ich finde auch in den Protokollen (Firewall, VPN, Webfilter, usw) nichts wo geblogt wurde.

Laut der Weboberfläche am Switch, ist es ein HTTP File Upload.

Hat irgendwer eine Idee an was es liegen könnte?



Added V20 TAG
[edited by: Erick Jan at 4:45 AM (GMT -7) on 3 Apr 2024]
  • 0

    Hallo Gerald Gleissner1

    Bitte teilen Sie uns die Fehlermeldung mit, die Sie auf dem Bildschirm erhalten.
    Haben Sie es mit allen verfügbaren Browsern versucht?

    Mit freundlichen Grüßen

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Hallo,

    Edge:

    Chrome:

    Firefox:

    Oder 

    Ich kann halt keine Logfiles oder so finden.

  • 0 in reply to Gerald Gleissner1

    Bitte teilen Sie die Firmware-Version mit, an der Sie arbeiten.

    Die Datei wurde früher mit SSL VPN heruntergeladen?

    Überprüfen Sie die Aufzeichnung von Drop-Paketen von der Konsole

    console>dr 'host <Ziel-IP>

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Firmwareversion 20.0.0 GA-Build222

    Ja, die Datei wurde früher mit der UTM per SSL-VPN heruntergeladen

    Select Menu Number [0-7]: 4
    Sophos Firmware Version: SFOS 20.0.0 GA-Build222
    Model: XGS136
    Hostname: gelöscht
    HA node name: Oben
    Current status: Primary (Active) from 06:03:13 AM, Feb 14, 2024

    console> dr 'host 10.242.2.130
    2024-04-02 09:41:37 0128021 IP 10.242.2.130.62836 > 10.242.2.1.53 : proto UDP: packet len: 65 checksum : 28910
    0x0000: 4500 0055 c0fa 0000 8011 5f37 0af2 0282 E..U......_7....
    0x0010: 0af2 0201 f574 0035 0041 70ee d483 0100 .....t.5.Ap.....
    0x0020: 0001 0000 0000 0000 1463 6f6d 6d75 6e69 .........communi
    0x0030: 7479 2d73 6f70 686f 732d 636f 6d0e 7465 ty-sophos-com.te
    0x0040: 6c6c 6967 656e 7463 6c6f 7564 036e 6574 lligentcloud.net
    Date=2024-04-02 Time=09:41:37 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=62836 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=945763541 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:57 0128021 IP 10.242.2.130.64890 > 10.242.2.1.53 : proto UDP: packet len: 65 checksum : 54354
    0x0000: 4500 0055 c0fb 0000 8011 5f36 0af2 0282 E..U......_6....
    0x0010: 0af2 0201 fd7a 0035 0041 d452 6919 0100 .....z.5.A.Ri...
    0x0020: 0001 0000 0000 0000 1463 6f6d 6d75 6e69 .........communi
    0x0030: 7479 2d73 6f70 686f 732d 636f 6d0e 7465 ty-sophos-com.te
    0x0040: 6c6c 6967 656e 7463 6c6f 7564 036e 6574 lligentcloud.net
    Date=2024-04-02 Time=09:41:57 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=64890 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=918640616 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:58 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fc 0000 8011 5f45 0af2 0282 E..E......_E....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:58 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=596816548 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:58 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fd 0000 8011 5f44 0af2 0282 E..E......_D....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:58 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=402047223 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:59 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fe 0000 8011 5f43 0af2 0282 E..E......_C....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:59 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=2908037299 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:42:01 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0ff 0000 8011 5f42 0af2 0282 E..E......_B....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:42:01 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=980576532 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:42:05 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c100 0000 8011 5f41 0af2 0282 E..E......_A....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:42:05 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=1012014216 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    aufgezeichnet nur während des Downloadversuchs

  • 0 in reply to Gerald Gleissner1

    Bitte holen Sie sich mit den folgenden Schritten etwas mehr

    1. Erstellen Sie eine Test-Firewall-Regel von VPN-LAN und lassen Sie die Regel auf TOP, prüfen Sie, ob Downloads funktionieren oder nicht.

    2. Wenn es immer noch nicht funktioniert, NAT auf dieselbe Testregel anwenden 

    3. Führen Sie Drop Packet Capture und tcpdump zusammen mit Packet Capture durch, und wenn Sie eine Verletzung einer konfigurierten nat-Regel feststellen?

    4. haben Sie einen eigenen DNS-Server?

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Hallo,

    Also habe 1 und 2 wie gefordert angelegt, nur die Benutzergruppe habe ich hinzugefügt.

    Download nicht möglich.

    Paketerfassung gestartet ohne jeglichen Filter

    Ergebnis, wenn ich meine eigene IP vom VPN-Client als Ziel-IP angebe = nichts.

    Wenn ich aber als Quell-IP meine IP eingebe und als Ziel IP die des Switches, dann bekomme ich:

    2024-04-02 13:46:40
    IPv4
    10.242.2.2
    10.18.152.13
    TCP
    64366,80
    0
    0
    Verstöße
    INVALID_TRAFFIC

    Er meldet aber weder eine NAT-ID noch eine Regel-ID, beides 0.

    Hilft das irgendwie weiter?

    Ich könnte jetzt noch per Console ein Dumpfile erstellen, aber auf was soll ich es begrenzen, auf Host-IP von meinem VPN-Client oder auf die Host-IP des Switches?

    PS: Vor Ort habe ich keine Probleme den Download zu starten und das obwohl ich dann von einem WLAN Netzwerk (anderer Nummernkreis) auf das lokale Netzwerk zugreife mit einer Firewallregel, dann Quelle ist dann Zone "Wifi-Plus"  Zielzone "LAN" beliebig, alle Dienste, also ziemlich gleich zu VPN

  • 0 in reply to Gerald Gleissner1

    Bitte versuchen Sie die folgenden Schritte

    Entfernen Sie die Benutzergruppe aus der Test-Firewall-Regel, die für die Fehlerbehebung erstellt wurde.

    Pingen Sie die Switch-IP nach der Verbindung mit SSL VPN an und überprüfen Sie die tcpdump- und Drop-Packet-Kapazität

    console>tcpdump 'host <switchIP> and proto ICMP
    console>tcpdump 'host <switchIP> and port 80
    console>dr 'host <switchIP> and proto ICMP
    console>dr 'host <switchIP> and port 80

    Versuchen Sie es mit mehreren offenen SSH-Terminals für die obigen Befehle

    Prüfen Sie später den Datenverkehr mit der SSL-VPN-IP-Lease-IP anstelle der Switch-IP.

    Die obige Paketaufzeichnung gibt Aufschluss darüber, ob die Firewall den Datenverkehr verwirft oder nicht.

    Posten Sie die Firewall-Regel und die NAT-Regel, die für den Test wie oben beschrieben erstellt wurden.

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Hallo,

    ok, Firewallregel wurde natürlich wieder gelöscht. Ohne Benutzergruppe, das muss ich außerhalb der Betriebszeiten machen, den es gibt VPN Nutzer mit Zugriff auf nur einen Host in einem Netzwerk. Aber auch VPN-Nutzer die auf alles zugreifen dürfen und es gibt sicher insg. mehr als 100 Netzwerke mit unzähligen Hosts.

    Aber ich Versuche das Morgen früh vor Betriebsbeginn schnell zu erledigen..

  • 0 in reply to Bharat J

    Hallo,

    also ich weiß nicht was ich das letzte mal falsch gemacht habe, aber diesmal funktionierte es nur ohne NAT-Regel.

    Sobald ich die NAT-Regel aktivierte konnte ich nicht mehr auf die Switche zugreifen.

    Die Firewallregel:

    ist auch ganz oben:

    Heute bekam ich auch ein neues Fehlerfenster in einen der Browser:

    Die beiden tcpdump-Befehle habe ich leicht abgeändert und direkt in der SSH Konsole verwendet:

    Wie man sieht ist das mit ICMP leer.

    Kann man hier irgendwie ein dumpfile mit hochladen?

    Weil ich weiß nicht wie ich dieses Dumpfile hier zeigen soll?

    Der andere Befehl funktionierte direkt in der Konsole nicht. Also habe ich es in der Adminoberfläche in der Paketerfassung erledigt. Auch hier ist ICMP leer und mit Port 80 habe ich 30 Seiten mit Inhalt. Aber nur Pakete mit Forward..., Eingehe... und Erzeugt!

    Nur soll ich jetzt 30 Seiten posten ob etwas interessantes dabei ist?

Unfiltered HTML