HTTP Download über SSL-VPN

Wie sieht eigentlich der Browser aus, wenn du das herunterlädst im Developer Tool? 

Ich versteh nicht genau was du meinst? Ich habe das noch nie benutzt.

Außerdem, es hat funktioniert, dann Austausch Sophos UTM zu Sophos XGS und es funktioniert nicht mehr.

Also das einzige das sich verändert hat, ist die Firewall selbst und die SSL-VPN Konfigurationsdatei.

Die 3 Browser die ich probiert habe sind, bzw. waren die gleichen.

Hat der nicht funktionierende Switch eine Weboberfläche ... welche funktioniert? Ist der Switch "pingbar"?
Ich würde im "Logviewer" mal auf die Gesamtansicht schalten und den Freitextfilter auf die IP des Switches setzen.
Evtl. ist im Download/Header irgend etwas, was Antivirus/IPS/AppControl oder ähnliches auslöst.
Was kommt dabei heraus?

Ein nächster Versuch würde in Richtung MTU gehen...

Bei der UTM könntest du eine MTU von 1500 gehabt haben. SFOS bietet eine MTU von 1400 in SSLVPN.

Geht der Download nur über SSLVPN nicht? 

Hallo erstmal,

Es sind etwa 80 Switche bei denen das nicht geht.

Ha die sind alle pingbar und die Weboberfläche funktioniert, sonst könnte ich ja auf der Weboberfläche auch nicht auf Download klicken um dieses Konfigurationsfile herunter zu laden. Siehe vorhergehende Posts.

Im Logviewer finde ich viele Einträge aber keine die blockiert wurden von der IP des Switches.

Logviewer IPS, AppControl usw. sind in dem Zeitraum leer

Antivirus; wenn man gelesen hääte, habe es auch schon ohne Virenscanner versucht

MTU, ja ok, und wie könnte ich das feststellen bzw. lösen?

Hallo,

ja über VPN-SSL geht es nicht, vor Ort kann ich. Anderes VPN wird nicht eingesetzt bei dem Kunden.

Relativ einfach: mach ein tcpdump auf der Shell in eine Datei: 

tcpdump -ni any host (VPN Client IP) -b -w /tmp/download.pcap 
dann lädst du die Datei herunter. 
Nun beendest du den dump auf der Advanced Shell und lädst die Datei via SCP herunter: https://support.sophos.com/support/s/article/KB-000035842?language=en_US

Diesen pcap öffnest du in  wireshark und zeigst uns einen Screenshot von dem "tcpdump handshake". bzw. schaust du ob du Pakete mit MTU größer als 1400 siehst. 

OK, ist nicht gerade mein Fachgebiet, aber ist das, das Problem mit den unterschiedlichen MSS?

Aber müssten sich die dann nicht auf 1355 einigen?

Das hängt von dem DF (dont fragment) Paket ab. 

Siehst du in dem 1430 - das DF flag? 

Nein:

Aber in der Antwort darauf auf einmal:

Nein:

Aber in der Antwort darauf auf einmal:

So: Wenn du Pakete mit 1400+ und DF Flag siehst, wird dieses Paket niemals übertragen. 

Du könntest folgendes mal probieren: 

https://hamy.io/post/0004/openvpn-tap-adapter-mtu-in-windows/

Ändere die MTU auf 1468 und versuchs nochmal. 

Also lokal auf meinem PC habe ich jetzt gerade mal im Status nachgesehen für die VPN-Verbindung, da steht:

adjusting link_mtu to 1627

Aber welche MTU hat dein Tap Adapter, weil die MTU muss kleiner als 1500 sein. In der Regel hat der TAP adapter eine MTU von 1400. 

Dort steht 1500!

Vielleicht ist das schon das Thema. Probier mal einen anderen Wert. 

Versuch mal 1464

Habe es mit 1464 versucht, leider ohne Erfolg:

Es scheint auch erstmal Daten zu übertragen, bricht dann aber ab.

Ich weiß nicht ob ich da mal was genau ansehen sollte, weil ich klickte genau um 10.54.00 auf den Button in der Weboberfläche und hatte wieder gleichzeitig ein tcpdump Aufzeichnung gestartet.

+ 450 weitere Zeilen

und hier ungefähr bricht es ab:

Abbricht, jedoch mittels FIN-ACK. Das heißt, die Application möchte den Download nicht weiter durchführen. Nutzt du ein NAT? weil die IP sich ja hier ändert. 

Zur Info zu den IPs:

10.242.2.130 Meine IP im VPN-Tunnel

10.22.120.15 IP-Adresse des Switches

10.18.169.170 IP der Sophos Firewall

Es gibt nur die allgemeine Internal Masq Regel:

Also so wirklich sehe ich aktuell keinen Grund, warum "Sophos" das blockieren sollte. 
Ich sehe eine gültige Verbindung, und danach macht der Client die Verbindung zu. 

Ja, ich verstehe es auch nicht.

Habe schon bei uns in der Firma die mit Sophos Architekt gefragt, dann hier im Forum. Ich denke echt ich mache mal ein Ticket auf bei Sophos, weil es muss an der Sophos bzw. an der neuen VPN Konfiguration liegen.

Hatte vorher lauter UTMs im Einsatz, dann wegen auslaufender Unterstützung zur XGS gewechselt. 

Monatelange Vorbereitung weil wir gleichzeitig die rund 130 APs umgestellt haben auf Sophos Central, da noch rund 80 ausgetauscht, alles funktionierte super, Downtime maximal 5 Minuten.

Naja, dann will man mal von seinen Switchen wo man überall bis zu 15 VLANs eingerichtet hat und die Ports entsprechend eingestellt hat mal sichern. Halt um Zeit zu sparen wenn einer ausfällt. Konfig hoch laden geht schneller wie alles einzeln einrichten. 

Auf jeden Fall hat es bei der UTM problemlos funktioniert, genauso wie jetzt noch bei den neueren Switchen.