Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Download über SSL-VPN

Ich habe da ein kleines Problem.

Habe eine SSL-VPN Verbindung zu einer XGS Firewall (SFOS 20.0.0.222) die auch wunderbar funktioniert.

Allerdings wenn ich von ein paar älteren Netgear Switchen (zum Beispiel GS752TPP) mir die Konfiguration, also ein Textfile (*.txt) herunterladen will, bekomme ich je nach Browser gar keine Meldung oder eine Meldung das es einen Netzwerkproblem gibt.

Der Switch selbst ist der Meinung seine Daten erfolgreich gesendet zu haben.

Bei dem Nachfolgeswitch (GS752TPv2) funktioniert es, einziger ersichtliche Unterschied, das Textfile hat als Endung *.cfg

Erlaubt ist eigentlich in der Firewallregel alle Netzwerke mit allen Diensten, kein Webfilter aktiv.

Ich finde auch in den Protokollen (Firewall, VPN, Webfilter, usw) nichts wo geblogt wurde.

Laut der Weboberfläche am Switch, ist es ein HTTP File Upload.

Hat irgendwer eine Idee an was es liegen könnte?



This thread was automatically locked due to age.
Parents
  • Hallo Gerald Gleissner1

    Bitte teilen Sie uns die Fehlermeldung mit, die Sie auf dem Bildschirm erhalten.
    Haben Sie es mit allen verfügbaren Browsern versucht?

    Mit freundlichen Grüßen

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    Edge:

    Chrome:

    Firefox:

    Oder 

    Ich kann halt keine Logfiles oder so finden.

  • Bitte teilen Sie die Firmware-Version mit, an der Sie arbeiten.

    Die Datei wurde früher mit SSL VPN heruntergeladen?

    Überprüfen Sie die Aufzeichnung von Drop-Paketen von der Konsole

    console>dr 'host <Ziel-IP>

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Firmwareversion 20.0.0 GA-Build222

    Ja, die Datei wurde früher mit der UTM per SSL-VPN heruntergeladen

    Select Menu Number [0-7]: 4
    Sophos Firmware Version: SFOS 20.0.0 GA-Build222
    Model: XGS136
    Hostname: gelöscht
    HA node name: Oben
    Current status: Primary (Active) from 06:03:13 AM, Feb 14, 2024

    console> dr 'host 10.242.2.130
    2024-04-02 09:41:37 0128021 IP 10.242.2.130.62836 > 10.242.2.1.53 : proto UDP: packet len: 65 checksum : 28910
    0x0000: 4500 0055 c0fa 0000 8011 5f37 0af2 0282 E..U......_7....
    0x0010: 0af2 0201 f574 0035 0041 70ee d483 0100 .....t.5.Ap.....
    0x0020: 0001 0000 0000 0000 1463 6f6d 6d75 6e69 .........communi
    0x0030: 7479 2d73 6f70 686f 732d 636f 6d0e 7465 ty-sophos-com.te
    0x0040: 6c6c 6967 656e 7463 6c6f 7564 036e 6574 lligentcloud.net
    Date=2024-04-02 Time=09:41:37 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=62836 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=945763541 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:57 0128021 IP 10.242.2.130.64890 > 10.242.2.1.53 : proto UDP: packet len: 65 checksum : 54354
    0x0000: 4500 0055 c0fb 0000 8011 5f36 0af2 0282 E..U......_6....
    0x0010: 0af2 0201 fd7a 0035 0041 d452 6919 0100 .....z.5.A.Ri...
    0x0020: 0001 0000 0000 0000 1463 6f6d 6d75 6e69 .........communi
    0x0030: 7479 2d73 6f70 686f 732d 636f 6d0e 7465 ty-sophos-com.te
    0x0040: 6c6c 6967 656e 7463 6c6f 7564 036e 6574 lligentcloud.net
    Date=2024-04-02 Time=09:41:57 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=64890 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=918640616 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:58 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fc 0000 8011 5f45 0af2 0282 E..E......_E....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:58 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=596816548 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:58 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fd 0000 8011 5f44 0af2 0282 E..E......_D....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:58 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=402047223 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:41:59 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0fe 0000 8011 5f43 0af2 0282 E..E......_C....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:41:59 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=2908037299 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:42:01 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c0ff 0000 8011 5f42 0af2 0282 E..E......_B....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:42:01 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=980576532 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    2024-04-02 09:42:05 0128021 IP 10.242.2.130.53672 > 10.242.2.1.53 : proto UDP: packet len: 49 checksum : 11814
    0x0000: 4500 0045 c100 0000 8011 5f41 0af2 0282 E..E......_A....
    0x0010: 0af2 0201 d1a8 0035 0031 2e26 101a 0100 .......5.1.&....
    0x0020: 0001 0000 0000 0000 054e 4153 3031 0a73 .........NAS01.s
    0x0030: ...
    0x0040: 0000 0100 01 .....
    Date=2024-04-02 Time=09:42:05 log_id=0128021 log_type=Firewall log_component=SSL_VPN log_subtype=Denied log_status=N/A log_priority=Alert duration=N/A in_dev=tun1 out_dev= inzone_id=5 outzone_id=4 source_mac= dest_mac= bridge_name= l3_protocol=IPv4 source_ip=10.242.2.130 dest_ip=10.242.2.1 l4_protocol=UDP source_port=53672 dest_port=53 fw_rule_id=N/A policytype=0 live_userid=0 userid=0 user_gp=0 ips_id=0 sslvpn_id=4 web_filter_id=0 hotspot_id=0 hotspotuser_id=0 hb_src=0 hb_dst=0 dnat_done=0 icap_id=0 app_filter_id=0 app_category_id=0 app_id=0 category_id=0 bandwidth_id=0 up_classid=0 dn_classid=0 nat_id=0 cluster_node=0 inmark=0x0 nfqueue=0 connid=1012014216 masterid=0 status=0 state=0, flag0=549757911040 flags1=17179869184 pbrid[0]=0 pbrid[1]=0 profileid[0]=0 profileid[1]=0

    aufgezeichnet nur während des Downloadversuchs

  • Bitte holen Sie sich mit den folgenden Schritten etwas mehr

    1. Erstellen Sie eine Test-Firewall-Regel von VPN-LAN und lassen Sie die Regel auf TOP, prüfen Sie, ob Downloads funktionieren oder nicht.

    2. Wenn es immer noch nicht funktioniert, NAT auf dieselbe Testregel anwenden 

    3. Führen Sie Drop Packet Capture und tcpdump zusammen mit Packet Capture durch, und wenn Sie eine Verletzung einer konfigurierten nat-Regel feststellen?

    4. haben Sie einen eigenen DNS-Server?

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    Also habe 1 und 2 wie gefordert angelegt, nur die Benutzergruppe habe ich hinzugefügt.

    Download nicht möglich.

    Paketerfassung gestartet ohne jeglichen Filter

    Ergebnis, wenn ich meine eigene IP vom VPN-Client als Ziel-IP angebe = nichts.

    Wenn ich aber als Quell-IP meine IP eingebe und als Ziel IP die des Switches, dann bekomme ich:

    2024-04-02 13:46:40
    IPv4
    10.242.2.2
    10.18.152.13
    TCP
    64366,80
    0
    0
    Verstöße
    INVALID_TRAFFIC

    Er meldet aber weder eine NAT-ID noch eine Regel-ID, beides 0.

    Hilft das irgendwie weiter?

    Ich könnte jetzt noch per Console ein Dumpfile erstellen, aber auf was soll ich es begrenzen, auf Host-IP von meinem VPN-Client oder auf die Host-IP des Switches?

    PS: Vor Ort habe ich keine Probleme den Download zu starten und das obwohl ich dann von einem WLAN Netzwerk (anderer Nummernkreis) auf das lokale Netzwerk zugreife mit einer Firewallregel, dann Quelle ist dann Zone "Wifi-Plus"  Zielzone "LAN" beliebig, alle Dienste, also ziemlich gleich zu VPN

  • Bitte versuchen Sie die folgenden Schritte

    Entfernen Sie die Benutzergruppe aus der Test-Firewall-Regel, die für die Fehlerbehebung erstellt wurde.

    Pingen Sie die Switch-IP nach der Verbindung mit SSL VPN an und überprüfen Sie die tcpdump- und Drop-Packet-Kapazität

    console>tcpdump 'host <switchIP> and proto ICMP
    console>tcpdump 'host <switchIP> and port 80
    console>dr 'host <switchIP> and proto ICMP
    console>dr 'host <switchIP> and port 80

    Versuchen Sie es mit mehreren offenen SSH-Terminals für die obigen Befehle

    Prüfen Sie später den Datenverkehr mit der SSL-VPN-IP-Lease-IP anstelle der Switch-IP.

    Die obige Paketaufzeichnung gibt Aufschluss darüber, ob die Firewall den Datenverkehr verwirft oder nicht.

    Posten Sie die Firewall-Regel und die NAT-Regel, die für den Test wie oben beschrieben erstellt wurden.

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo,

    ok, Firewallregel wurde natürlich wieder gelöscht. Ohne Benutzergruppe, das muss ich außerhalb der Betriebszeiten machen, den es gibt VPN Nutzer mit Zugriff auf nur einen Host in einem Netzwerk. Aber auch VPN-Nutzer die auf alles zugreifen dürfen und es gibt sicher insg. mehr als 100 Netzwerke mit unzähligen Hosts.

    Aber ich Versuche das Morgen früh vor Betriebsbeginn schnell zu erledigen..

Reply
  • Hallo,

    ok, Firewallregel wurde natürlich wieder gelöscht. Ohne Benutzergruppe, das muss ich außerhalb der Betriebszeiten machen, den es gibt VPN Nutzer mit Zugriff auf nur einen Host in einem Netzwerk. Aber auch VPN-Nutzer die auf alles zugreifen dürfen und es gibt sicher insg. mehr als 100 Netzwerke mit unzähligen Hosts.

    Aber ich Versuche das Morgen früh vor Betriebsbeginn schnell zu erledigen..

Children
No Data