Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

HTTP Download über SSL-VPN

Ich habe da ein kleines Problem.

Habe eine SSL-VPN Verbindung zu einer XGS Firewall (SFOS 20.0.0.222) die auch wunderbar funktioniert.

Allerdings wenn ich von ein paar älteren Netgear Switchen (zum Beispiel GS752TPP) mir die Konfiguration, also ein Textfile (*.txt) herunterladen will, bekomme ich je nach Browser gar keine Meldung oder eine Meldung das es einen Netzwerkproblem gibt.

Der Switch selbst ist der Meinung seine Daten erfolgreich gesendet zu haben.

Bei dem Nachfolgeswitch (GS752TPv2) funktioniert es, einziger ersichtliche Unterschied, das Textfile hat als Endung *.cfg

Erlaubt ist eigentlich in der Firewallregel alle Netzwerke mit allen Diensten, kein Webfilter aktiv.

Ich finde auch in den Protokollen (Firewall, VPN, Webfilter, usw) nichts wo geblogt wurde.

Laut der Weboberfläche am Switch, ist es ein HTTP File Upload.

Hat irgendwer eine Idee an was es liegen könnte?



Added V20 TAG
[edited by: Erick Jan at 4:45 AM (GMT -7) on 3 Apr 2024]
Parents
  • Hallo Gerald Gleissner1

    Bitte teilen Sie uns die Fehlermeldung mit, die Sie auf dem Bildschirm erhalten.
    Haben Sie es mit allen verfügbaren Browsern versucht?

    Mit freundlichen Grüßen

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    Edge:

    Chrome:

    Firefox:

    Oder 

    Ich kann halt keine Logfiles oder so finden.

  • Bitte teilen Sie die Firmware-Version mit, an der Sie arbeiten.

    Die Datei wurde früher mit SSL VPN heruntergeladen?

    Überprüfen Sie die Aufzeichnung von Drop-Paketen von der Konsole

    console>dr 'host <Ziel-IP>

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Firmwareversion 20.0.0 GA-Build222

    Ja, die Datei wurde früher mit der UTM per SSL-VPN heruntergeladen

    Select Menu Number [0-7]: 4
    Sophos Firmware Version: SFOS 20.0.0 GA-Build222
    Model: XGS136
    Hostname: gelöscht
    HA node name: Oben
    Current status: Primary (Active) from 06:03:13 AM, Feb 14, 2024

    console> dr 'host 10.242.2.130
    2024-04-02 09:41:37 0128021 IP 10.242.2.130.62836 > 10.242.2.1.53 : proto UDP: packet len: 65 checksum : 28910
    0x0000: 4500 0055 c0fa 0000 8011 5f37 0af2 0282 E..U......_7....
    0x0010: 0af2 0201 f574 0035 0041 70ee d483 0100 .....t.5.Ap.....
    0x0020: 0001 0000 0000 0000 1463 6f6d 6d75 6e69 .........communi
    0x0030: 7479 2d73 6f70 686f 732d 636f 6d0e 7465 ty-sophos-com.te
    0x0040: 6c6c 6967 656e 7463 6c6f 7564 036e 6574 lligentcloud.net
    Date=2024-04-02 Time=09:41:37 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=62836 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=945763541 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:57 0128021 IP 10.242.2.130.64890 > 10.242.2.1.53 : proto UDP: packet len: 65 checksum : 54354
    0x0000: 4500 0055 c0fb 0000 8011 5f36 0af2 0282 E..U......_6....
    0x0010: 0af2 0201 fd7a 0035 0041 d452 6919 0100 .....z.5.A.Ri...
    0x0020: 0001 0000 0000 0000 1463 6f6d 6d75 6e69 .........communi
    0x0030: 7479 2d73 6f70 686f 732d 636f 6d0e 7465 ty-sophos-com.te
    0x0040: 6c6c 6967 656e 7463 6c6f 7564 036e 6574 lligentcloud.net
    Date=2024-04-02 Time=09:41:57 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=64890 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=918640616 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:58 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fc 0000 8011 5f45 0af2 0282 E..E......_E....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:58 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=596816548 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:58 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fd 0000 8011 5f44 0af2 0282 E..E......_D....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:58 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=402047223 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:59 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fe 0000 8011 5f43 0af2 0282 E..E......_C....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:59 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=2908037299 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:42:01 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0ff 0000 8011 5f42 0af2 0282 E..E......_B....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:42:01 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=980576532 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:42:05 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c100 0000 8011 5f41 0af2 0282 E..E......_A....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:42:05 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=1012014216 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    aufgezeichnet nur während des Downloadversuchs

  • Bitte holen Sie sich mit den folgenden Schritten etwas mehr

    1. Erstellen Sie eine Test-Firewall-Regel von VPN-LAN und lassen Sie die Regel auf TOP, prüfen Sie, ob Downloads funktionieren oder nicht.

    2. Wenn es immer noch nicht funktioniert, NAT auf dieselbe Testregel anwenden 

    3. Führen Sie Drop Packet Capture und tcpdump zusammen mit Packet Capture durch, und wenn Sie eine Verletzung einer konfigurierten nat-Regel feststellen?

    4. haben Sie einen eigenen DNS-Server?

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • Bitte holen Sie sich mit den folgenden Schritten etwas mehr

    1. Erstellen Sie eine Test-Firewall-Regel von VPN-LAN und lassen Sie die Regel auf TOP, prüfen Sie, ob Downloads funktionieren oder nicht.

    2. Wenn es immer noch nicht funktioniert, NAT auf dieselbe Testregel anwenden 

    3. Führen Sie Drop Packet Capture und tcpdump zusammen mit Packet Capture durch, und wenn Sie eine Verletzung einer konfigurierten nat-Regel feststellen?

    4. haben Sie einen eigenen DNS-Server?

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

Children
  • Hallo,

    Also habe 1 und 2 wie gefordert angelegt, nur die Benutzergruppe habe ich hinzugefügt.

    Download nicht möglich.

    Paketerfassung gestartet ohne jeglichen Filter

    Ergebnis, wenn ich meine eigene IP vom VPN-Client als Ziel-IP angebe = nichts.

    Wenn ich aber als Quell-IP meine IP eingebe und als Ziel IP die des Switches, dann bekomme ich:

    2024-04-02 13:46:40
    IPv4
    10.242.2.2
    10.18.152.13
    TCP
    64366,80
    0
    0
    Verstöße
    INVALID_TRAFFIC

    Er meldet aber weder eine NAT-ID noch eine Regel-ID, beides 0.

    Hilft das irgendwie weiter?

    Ich könnte jetzt noch per Console ein Dumpfile erstellen, aber auf was soll ich es begrenzen, auf Host-IP von meinem VPN-Client oder auf die Host-IP des Switches?

    PS: Vor Ort habe ich keine Probleme den Download zu starten und das obwohl ich dann von einem WLAN Netzwerk (anderer Nummernkreis) auf das lokale Netzwerk zugreife mit einer Firewallregel, dann Quelle ist dann Zone "Wifi-Plus"  Zielzone "LAN" beliebig, alle Dienste, also ziemlich gleich zu VPN

  • Bitte versuchen Sie die folgenden Schritte

    Entfernen Sie die Benutzergruppe aus der Test-Firewall-Regel, die für die Fehlerbehebung erstellt wurde.

    Pingen Sie die Switch-IP nach der Verbindung mit SSL VPN an und überprüfen Sie die tcpdump- und Drop-Packet-Kapazität

    console>tcpdump 'host <switchIP> and proto ICMP
    console>tcpdump 'host <switchIP> and port 80
    console>dr 'host <switchIP> and proto ICMP
    console>dr 'host <switchIP> and port 80

    Versuchen Sie es mit mehreren offenen SSH-Terminals für die obigen Befehle

    Prüfen Sie später den Datenverkehr mit der SSL-VPN-IP-Lease-IP anstelle der Switch-IP.

    Die obige Paketaufzeichnung gibt Aufschluss darüber, ob die Firewall den Datenverkehr verwirft oder nicht.

    Posten Sie die Firewall-Regel und die NAT-Regel, die für den Test wie oben beschrieben erstellt wurden.

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    ok, Firewallregel wurde natürlich wieder gelöscht. Ohne Benutzergruppe, das muss ich außerhalb der Betriebszeiten machen, den es gibt VPN Nutzer mit Zugriff auf nur einen Host in einem Netzwerk. Aber auch VPN-Nutzer die auf alles zugreifen dürfen und es gibt sicher insg. mehr als 100 Netzwerke mit unzähligen Hosts.

    Aber ich Versuche das Morgen früh vor Betriebsbeginn schnell zu erledigen..

  • Hallo,

    also ich weiß nicht was ich das letzte mal falsch gemacht habe, aber diesmal funktionierte es nur ohne NAT-Regel.

    Sobald ich die NAT-Regel aktivierte konnte ich nicht mehr auf die Switche zugreifen.

    Die Firewallregel:

    ist auch ganz oben:

    Heute bekam ich auch ein neues Fehlerfenster in einen der Browser:

    Die beiden tcpdump-Befehle habe ich leicht abgeändert und direkt in der SSH Konsole verwendet:

    Wie man sieht ist das mit ICMP leer.

    Kann man hier irgendwie ein dumpfile mit hochladen?

    Weil ich weiß nicht wie ich dieses Dumpfile hier zeigen soll?

    Der andere Befehl funktionierte direkt in der Konsole nicht. Also habe ich es in der Adminoberfläche in der Paketerfassung erledigt. Auch hier ist ICMP leer und mit Port 80 habe ich 30 Seiten mit Inhalt. Aber nur Pakete mit Forward..., Eingehe... und Erzeugt!

    Nur soll ich jetzt 30 Seiten posten ob etwas interessantes dabei ist?

  • Bitte prüfen Sie, was NAT id 3 ist?
    Können Sie es deaktivieren und prüfen, ob der Fehler behoben wurde oder nicht?
    Bitte führen Sie nur den Befehl tcpdump und drop packet capture aus, um den Verkehrsfluss zu überprüfen.

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    die NAT ID3 Regel ist nur eine Umleitung für alles was an Port 123 ankommt.

    Unzählige Geräte hatten die alte Sophos UTM als Zeitserver verwendet, das kann ja die neue XGS nicht mehr, deswegen wird alles was an Port 123 ankommt jetzt umgeleitet zu einen Zeitserver.

    Ich habe es trotzdem mal kurz deaktiviert, macht keinen Unterschied.

    Ich hatte doch nur den Befehl tcpdump ausgeführt und das andere in der Paketerfassung finde ich keinen Filter für Drop, nur Allowed, Violation, Consumed, Generated, Incoming und Forwardet

    Oder soll ich diesen Befehl direkt in der SSL Konsole eingeben?

  • Bitte benutzen Sie den untenstehenden Link, um tcpdump und Drop Packet Capture zu erhalten
    docs.sophos.com/.../index.html

    docs.sophos.com/.../index.html

    Scheint ein Problem mit HA zu sein, der Download hat vorher ohne HA funktioniert?

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Also gut,

    ich habe diesmal alles so gemacht wie gefordert. Hatte es vorher unter Devise Management -> Advanced Shell gemacht.

    Also 4x Putty geöffnet und Befehl eingetragen und noch nicht gestartet

    Firewall geöfffnet, test Regel aktiviert

    Vom Switch Weboberfläche geöffnet und entsprechende Seite aufgerufen

    An allen 4 SSH-Fenstern den Befehl gestartet

    Download des Konfigurationsfile gestartet

    An angeblichem Abschluss alle 4 SSH Fenster mit Control-C gestoppt

    Ergebnis:

    console> drop-packet-capture 'host 10.22.120.15 and proto ICMP'
    ^C
    console>

    console> drop-packet-capture 'host 10.22.120.15 and port 80'
    ^C
    console>

    console> tcpdump 'host 10.22.120.15 and proto ICMP'
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
    ^C
    0 packets captured
    0 packets received by filter
    0 packets dropped by kernel
    console>

    console> tcpdump 'host 10.22.120.15 and port 80'
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on any, link-type LINUX_SLL (Linux cooked v1), capture size 262144 bytes
    ^C
    0 packets captured
    0 packets received by filter
    0 packets dropped by kernel
    console>

    Und nein, es liegt nicht an dem HA Cluster.

    Denn auch ohne HA-Cluster das gleiche Ergebnis.

    Ich kann das an anderen Standorten nachvollziehen. Es geht nicht mehr seit dem die XGS die alte UTM ersetzt hat.

    Noch eine kleine Ergänzung:

    Ich habe es auch mit einem Testrechner ohne Virenschutz getestet. Es liegt also auch nicht an dem Sophos Virenschutz an meinem PC.

    Ich habe bei diesem Kunden, an 15 Standorten 17 Firewalls stehen, 120 Accesspoints und 105 Switche. Bei keinem Standort funktioniert es und an allen Standorten hat es vorher funktioniert.

  • Verkehr sollte mit tunn0 unter tcpdump auftreffen

    Bitte führen Sie den folgenden Befehl erneut aus

    Konsole>tcpdump 'Rechner <SchalterIP>
    console>dr 'host <switchIP>

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.