HTTP Download über SSL-VPN

Wie sieht eigentlich der Browser aus, wenn du das herunterlädst im Developer Tool? 

Hallo,

console> show advanced-firewall
Strict Policy : on
FtpBounce Prevention : control
Tcp Conn. Establishment Idle Timeout : 10800
UDP Timeout : 30
UDP Timeout Stream : 60
Fragmented Traffic Policy : allow
Midstream Connection Pickup : off
TCP Seq Checking : on
TCP Window Scaling : on
TCP Appropriate Byte Count : off
TCP Selective Acknowledgements : on
TCP Forward RTO-Recovery[F-RTO] : off
TCP TIMESTAMPS : off
Strict ICMP Tracking : off
ICMP Error Message : allow
Caching for route lookups : on
IPv6 Unknown Extension Header : deny
IPv6 Ready Logo Compliance : off
WAN access control for web admin console : on

Bypass Stateful Firewall
------------------------
Source Genmask Destination Genmask

NAT policy for system originated traffic
---------------------
Destination Network Destination Netmask Interface SNAT IP

nun trage ich die zwei Regeln ein.

console> set advanced-firewall bypass-stateful-firewall-config add source_network 10.18.168.0 source_netmask 255.255.248.0 dest_network 10.22.120.0 dest_netmask 255.255.248.0
Set BypassFirewall Successfully Done.

console> set advanced-firewall bypass-stateful-firewall-config add source_network 10.22.120.0 source_netmask 255.255.248.0 dest_network 10.18.168.0 dest_netmask 255.255.248.0
Set BypassFirewall Successfully Done.

console> show advanced-firewall
Strict Policy : on
FtpBounce Prevention : control
Tcp Conn. Establishment Idle Timeout : 10800
UDP Timeout : 30
UDP Timeout Stream : 60
Fragmented Traffic Policy : allow
Midstream Connection Pickup : off
TCP Seq Checking : on
TCP Window Scaling : on
TCP Appropriate Byte Count : off
TCP Selective Acknowledgements : on
TCP Forward RTO-Recovery[F-RTO] : off
TCP TIMESTAMPS : off
Strict ICMP Tracking : off
ICMP Error Message : allow
Caching for route lookups : on
IPv6 Unknown Extension Header : deny
IPv6 Ready Logo Compliance : off
WAN access control for web admin console : on

Bypass Stateful Firewall
------------------------
Source Genmask Destination Genmask
10.18.168.0 255.255.248.0 10.22.120.0 255.255.248.0
10.22.120.0 255.255.248.0 10.18.168.0 255.255.248.0

NAT policy for system originated traffic
---------------------
Destination Network Destination Netmask Interface SNAT IP

so jetzt starte ich Aufzeichnung und teste,

Geht nicht, ich komme auf meinen Switch nicht mehr drauf

ich stoppe die Aufzeichnung.

Ich glaube nicht das ich beim Misserfolg die Ergebnisse posten soll?

Ich versteh nicht genau was du meinst? Ich habe das noch nie benutzt.

Außerdem, es hat funktioniert, dann Austausch Sophos UTM zu Sophos XGS und es funktioniert nicht mehr.

Also das einzige das sich verändert hat, ist die Firewall selbst und die SSL-VPN Konfigurationsdatei.

Die 3 Browser die ich probiert habe sind, bzw. waren die gleichen.

Hat der nicht funktionierende Switch eine Weboberfläche ... welche funktioniert? Ist der Switch "pingbar"?
Ich würde im "Logviewer" mal auf die Gesamtansicht schalten und den Freitextfilter auf die IP des Switches setzen.
Evtl. ist im Download/Header irgend etwas, was Antivirus/IPS/AppControl oder ähnliches auslöst.
Was kommt dabei heraus?

Ein nächster Versuch würde in Richtung MTU gehen...

Bei der UTM könntest du eine MTU von 1500 gehabt haben. SFOS bietet eine MTU von 1400 in SSLVPN.

Geht der Download nur über SSLVPN nicht? 

Bharat J said:

um die vorgenommene Änderung rückgängig zu machen oder die Bypass Statefull Inspection zu löschen

console>set advanced-firewall bypass-stateful-firewall-config del source_network 10.18.168.0 source_netmask 255.255.248.0 dest_network 10.22.120.0 dest_netmask 255.255.248.0

console>set advanced-firewall bypass-stateful-firewall-config del source_network 10.22.120.0 source_netmask 255.255.248.0 dest_network 10.18.169.0 dest_netmask 255.255.248.0

Sie können "del" verwenden, um den obigen Befehl zu entfernen, der zum Testen gedacht war

Wenn Sie auf dem Laptop die Funktionstaste "f12" drücken, erhalten Sie das Entwickler-Tool

Dem tcpdump zufolge ist der mss-Wert in Frage gestellt.

Teilen Sie auch die aktuellen globalen SSL VPN-Einstellungen mit. Gehen Sie zu Remote Access VPN > SSL VPN und klicken Sie auf SSL VPN Global Settings und posten Sie sie hier

Haben Sie einen eigenen DNS-Server?

Hallo erstmal,

Es sind etwa 80 Switche bei denen das nicht geht.

Ha die sind alle pingbar und die Weboberfläche funktioniert, sonst könnte ich ja auf der Weboberfläche auch nicht auf Download klicken um dieses Konfigurationsfile herunter zu laden. Siehe vorhergehende Posts.

Im Logviewer finde ich viele Einträge aber keine die blockiert wurden von der IP des Switches.

Logviewer IPS, AppControl usw. sind in dem Zeitraum leer

Antivirus; wenn man gelesen hääte, habe es auch schon ohne Virenscanner versucht

MTU, ja ok, und wie könnte ich das feststellen bzw. lösen?

Hallo,

ja über VPN-SSL geht es nicht, vor Ort kann ich. Anderes VPN wird nicht eingesetzt bei dem Kunden.

Hallo,

ja habe ich bereits gelöscht.

Nein, kein eigener DNS Server, an der der Sophos sind eingetragen: 1.1.1.1 und 8.8.8.8

Ich könnte die Aufzeichnung auch mal mit einem Switch machen wo es funktioniert, also tcpdump. Damit man eventuell den Unterschied sehen kann, dann sieht man ja ob es eventuell an diesem mss-Wert liegt?

Relativ einfach: mach ein tcpdump auf der Shell in eine Datei: 

tcpdump -ni any host (VPN Client IP) -b -w /tmp/download.pcap 
dann lädst du die Datei herunter. 
Nun beendest du den dump auf der Advanced Shell und lädst die Datei via SCP herunter: https://support.sophos.com/support/s/article/KB-000035842?language=en_US

Diesen pcap öffnest du in  wireshark und zeigst uns einen Screenshot von dem "tcpdump handshake". bzw. schaust du ob du Pakete mit MTU größer als 1400 siehst.