Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Download über SSL-VPN

Ich habe da ein kleines Problem.

Habe eine SSL-VPN Verbindung zu einer XGS Firewall (SFOS 20.0.0.222) die auch wunderbar funktioniert.

Allerdings wenn ich von ein paar älteren Netgear Switchen (zum Beispiel GS752TPP) mir die Konfiguration, also ein Textfile (*.txt) herunterladen will, bekomme ich je nach Browser gar keine Meldung oder eine Meldung das es einen Netzwerkproblem gibt.

Der Switch selbst ist der Meinung seine Daten erfolgreich gesendet zu haben.

Bei dem Nachfolgeswitch (GS752TPv2) funktioniert es, einziger ersichtliche Unterschied, das Textfile hat als Endung *.cfg

Erlaubt ist eigentlich in der Firewallregel alle Netzwerke mit allen Diensten, kein Webfilter aktiv.

Ich finde auch in den Protokollen (Firewall, VPN, Webfilter, usw) nichts wo geblogt wurde.

Laut der Weboberfläche am Switch, ist es ein HTTP File Upload.

Hat irgendwer eine Idee an was es liegen könnte?



This thread was automatically locked due to age.
  • Wie sieht eigentlich der Browser aus, wenn du das herunterlädst im Developer Tool? 

    __________________________________________________________________________________________________________________

  • Hallo,

    console> show advanced-firewall
    Strict Policy : on
    FtpBounce Prevention : control
    Tcp Conn. Establishment Idle Timeout : 10800
    UDP Timeout : 30
    UDP Timeout Stream : 60
    Fragmented Traffic Policy : allow
    Midstream Connection Pickup : off
    TCP Seq Checking : on
    TCP Window Scaling : on
    TCP Appropriate Byte Count : off
    TCP Selective Acknowledgements : on
    TCP Forward RTO-Recovery[F-RTO] : off
    TCP TIMESTAMPS : off
    Strict ICMP Tracking : off
    ICMP Error Message : allow
    Caching for route lookups : on
    IPv6 Unknown Extension Header : deny
    IPv6 Ready Logo Compliance : off
    WAN access control for web admin console : on


    Bypass Stateful Firewall
    ------------------------
    Source Genmask Destination Genmask


    NAT policy for system originated traffic
    ---------------------
    Destination Network Destination Netmask Interface SNAT IP

    nun trage ich die zwei Regeln ein.

    console> set advanced-firewall bypass-stateful-firewall-config add source_network 10.18.168.0 source_netmask 255.255.248.0 dest_network 10.22.120.0 dest_netmask 255.255.248.0
    Set BypassFirewall Successfully Done.

    console> set advanced-firewall bypass-stateful-firewall-config add source_network 10.22.120.0 source_netmask 255.255.248.0 dest_network 10.18.168.0 dest_netmask 255.255.248.0
    Set BypassFirewall Successfully Done.

    console> show advanced-firewall
    Strict Policy : on
    FtpBounce Prevention : control
    Tcp Conn. Establishment Idle Timeout : 10800
    UDP Timeout : 30
    UDP Timeout Stream : 60
    Fragmented Traffic Policy : allow
    Midstream Connection Pickup : off
    TCP Seq Checking : on
    TCP Window Scaling : on
    TCP Appropriate Byte Count : off
    TCP Selective Acknowledgements : on
    TCP Forward RTO-Recovery[F-RTO] : off
    TCP TIMESTAMPS : off
    Strict ICMP Tracking : off
    ICMP Error Message : allow
    Caching for route lookups : on
    IPv6 Unknown Extension Header : deny
    IPv6 Ready Logo Compliance : off
    WAN access control for web admin console : on


    Bypass Stateful Firewall
    ------------------------
    Source Genmask Destination Genmask
    10.18.168.0 255.255.248.0 10.22.120.0 255.255.248.0
    10.22.120.0 255.255.248.0 10.18.168.0 255.255.248.0


    NAT policy for system originated traffic
    ---------------------
    Destination Network Destination Netmask Interface SNAT IP

    so jetzt starte ich Aufzeichnung und teste,

    Geht nicht, ich komme auf meinen Switch nicht mehr drauf

    ich stoppe die Aufzeichnung.

    Ich glaube nicht das ich beim Misserfolg die Ergebnisse posten soll?

  • Ich versteh nicht genau was du meinst? Ich habe das noch nie benutzt.

    Außerdem, es hat funktioniert, dann Austausch Sophos UTM zu Sophos XGS und es funktioniert nicht mehr.

    Also das einzige das sich verändert hat, ist die Firewall selbst und die SSL-VPN Konfigurationsdatei.

    Die 3 Browser die ich probiert habe sind, bzw. waren die gleichen.

  • Hat der nicht funktionierende Switch eine Weboberfläche ... welche funktioniert? Ist der Switch "pingbar"?
    Ich würde im "Logviewer" mal auf die Gesamtansicht schalten und den Freitextfilter auf die IP des Switches setzen.
    Evtl. ist im Download/Header irgend etwas, was Antivirus/IPS/AppControl oder ähnliches auslöst.
    Was kommt dabei heraus?

    Ein nächster Versuch würde in Richtung MTU gehen...


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Bei der UTM könntest du eine MTU von 1500 gehabt haben. SFOS bietet eine MTU von 1400 in SSLVPN.

    Geht der Download nur über SSLVPN nicht? 

    __________________________________________________________________________________________________________________

  • um die vorgenommene Änderung rückgängig zu machen oder die Bypass Statefull Inspection zu löschen


    console>set advanced-firewall bypass-stateful-firewall-config del source_network 10.18.168.0 source_netmask 255.255.248.0 dest_network 10.22.120.0 dest_netmask 255.255.248.0

    console>set advanced-firewall bypass-stateful-firewall-config del source_network 10.22.120.0 source_netmask 255.255.248.0 dest_network 10.18.169.0 dest_netmask 255.255.248.0

    Sie können "del" verwenden, um den obigen Befehl zu entfernen, der zum Testen gedacht war

    Wenn Sie auf dem Laptop die Funktionstaste "f12" drücken, erhalten Sie das Entwickler-Tool

    Dem tcpdump zufolge ist der mss-Wert in Frage gestellt.

    Teilen Sie auch die aktuellen globalen SSL VPN-Einstellungen mit. Gehen Sie zu Remote Access VPN > SSL VPN und klicken Sie auf SSL VPN Global Settings und posten Sie sie hier

    Haben Sie einen eigenen DNS-Server?

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo erstmal,

    Es sind etwa 80 Switche bei denen das nicht geht.

    Ha die sind alle pingbar und die Weboberfläche funktioniert, sonst könnte ich ja auf der Weboberfläche auch nicht auf Download klicken um dieses Konfigurationsfile herunter zu laden. Siehe vorhergehende Posts.

    Im Logviewer finde ich viele Einträge aber keine die blockiert wurden von der IP des Switches.

    Logviewer IPS, AppControl usw. sind in dem Zeitraum leer

    Antivirus; wenn man gelesen hääte, habe es auch schon ohne Virenscanner versucht

    MTU, ja ok, und wie könnte ich das feststellen bzw. lösen?

  • Hallo,

    ja über VPN-SSL geht es nicht, vor Ort kann ich. Anderes VPN wird nicht eingesetzt bei dem Kunden.

  • Hallo,

    ja habe ich bereits gelöscht.

    Nein, kein eigener DNS Server, an der der Sophos sind eingetragen: 1.1.1.1 und 8.8.8.8

    Ich könnte die Aufzeichnung auch mal mit einem Switch machen wo es funktioniert, also tcpdump. Damit man eventuell den Unterschied sehen kann, dann sieht man ja ob es eventuell an diesem mss-Wert liegt?

  • Relativ einfach: mach ein tcpdump auf der Shell in eine Datei: 

    tcpdump -ni any host (VPN Client IP) -b -w /tmp/download.pcap 
    dann lädst du die Datei herunter. 
    Nun beendest du den dump auf der Advanced Shell und lädst die Datei via SCP herunter: https://support.sophos.com/support/s/article/KB-000035842?language=en_US

    Diesen pcap öffnest du in  wireshark und zeigst uns einen Screenshot von dem "tcpdump handshake". bzw. schaust du ob du Pakete mit MTU größer als 1400 siehst. 

    __________________________________________________________________________________________________________________