Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 7 subscribers
  • Views 901 views
  • Users 0 members are here
Options
Suggested

SSL/TLS inspection für SSL-VPN-Verbindungen

Torsten Rueter

Hallo ihr lieben,

unsere Familie ist ein bisschen verstreut unterwegs, aber alle greifen auf Zuhause zu. Das klappt hervorragend und fast so, wie ich und wir es mir wünschen.

Ich habe eine Catch All-Regel für die SSL/TLS Inspection hinterlegt und diese einer Firewall-Regel zugeordnet, welche den internen Zugriff auf das WWW regelt. Das funktioniert prima.

Dieses würde ich gerne mit SSL-VPN Verbindungen machen, allerdings wird, wenn ich entsprechendes in der Firewallregel aktiviere, der Datenfluss sofort unterbrochen. Es wird nichts mehr über VPN übertragen. Demnach läuft der Datenverkehr aktuell ohne entsprechende Inspection.

Ich habe schon oft darüber nachgedacht, vieles ausprobiert und jetzt das Momentum genutzt und frage euch. Ist das generell möglich? Gerne liefere ich Informationen über meine Konfiguration. 

Was ist eure Meinung, kann eventuell jemand helfen?

Beste Grüße und vielen Dank für eure Zeit!

Beste Grüße

Torsten



Added TAGs
[edited by: Raphael Alganes at 3:24 PM (GMT -7) on 21 May 2024]
Parents
  • 0

    Hallo Torsten,

    macht die Sophos-Firewall das VPN? Dann bräuchtest du aber dafür keine extra Regel.

    Wenn der VPN-Tunnel nur "durch" die FW geht ... einen SSL-VPN-Tunnel aufzubrechen zerstört diesen. Das wird wahrscheinlich nicht funktionieren.

    Konfigurationsdetails wären natürlich hilfreich.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

    vielen Dank für deine Rückmeldung. Leuchtet mir ein, den Tunnel aufzubrechen ist der falsche Ansatz :-) Morgen kann ich mir etwas Zeit dafür nehmen, und werde Informationen zur Konfiguration mitgeben :-)

    Grundsätzlich habe ich eine erste FW-Regel, die alle nicht unmittelbar genutzten IP nach außen sperrt, gefolgt von einer FW-Regel zum Country Blocking. Dann kommt die FW-Regel LAN-WAN in welcher ich den Webproxy sowie "Decrypt HTTPS during web proxy filtering" aktiviert habe. Dazu habe ich in den SSL/TLS Settings meine Catch All Regel.

    Darauf folgt eine Regel VPN-WAN, in welcher ich den Webproxy aktiviert habe. Das läuft gut. Aktiviere ich "Decrypt HTTPS during web proxy filtering" blockiert es. Da habe ich vielleicht einen Denkfehler. Allerdings müsste das ja irgendwie doch auch funktionieren :-)

    Zum VPN: Ja, die Sophos macht das. Sophos läuft virtuell auf einem Proxmox-Server mit drei dedizierten Netzwerkkarten. 

    Morgen kann ich wie gesagt etwas genaueres zur Konfiguration schreiben. Was könnte die explizit helfen?

    Vielen Dank noch einmal & leibe Grüße

    Torsten

  • 0 in reply to Torsten Rueter

    Hallo Dirk,

    ich kann doch heute schon ein paar weitere Infos geben und hoffe, dass du damit wieterführend etwas anfangen kannst.

    Die SSL-VPN Verbindung wird über de Sophos kontrolliert. Der Indernetverkehr läuft hierfür über eine FW-Regel VPN-WAN:

    Source Zone: VPN

    Source Networks VPN Netz

    Destination Zone: WAN

    Destination NEtworks: any

    Merke: Decrypt HTTPS during web proxy ist deaktiviert.

    Meine SSL/TLS inspection rules sind die standardmäßig aktivierte Exclusion und mein Catch-All:

    Source Zones: VPN, LAN

    Source Networks:  Any

    Destination Zone: WAN

    Destination Networks: Any

    Services: Any

    -> aktiviere ich Decrypt HTTPS during web proxy, fangen die probleme an...

    Wie beschrieben habe ich vielleicht einen Denkfehler. Ich denke halt dass SSL-Verbindungen auch dann gescannt werden können, wenn ich mich per SSL-VPN einwähle.

    Ich hoffe es hilft! Lasse mich wissen, wenn du weitere Angaben benötigst! Vielen Dank noch einmal dafür, dass du dich damit beschäftigst!

    Beste Grüße

    Torsten

  • 0 in reply to Torsten Rueter

    Momentan sehe ich noch nicht durch. Ich muss mir das morgen in Ruhe ansehen.

    Warum verwendet du den WebProxy statt DPI? Der hat nur wenige Vorteile, aber viele Nachteile.

    Dein Ziel ist es, die Nutzertraffic, welche durch den Tunnel kommt und ins Internet geht zu decrypten und zu untersuchen?

    PS: Ich verwende meist einen offensichtlichen Port (ungleich 443) für SSL-VPN (z.B. 1194). Dieser kann einfacher in AusnahmeRegeln verwendet werden.

    Meist hilft der Log-Viewer weiter. Suche hier mal nach der externen IP des VPN-Clients und was mir den Paketen passiert.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to Torsten Rueter

    Momentan sehe ich noch nicht durch. Ich muss mir das morgen in Ruhe ansehen.

    Warum verwendet du den WebProxy statt DPI? Der hat nur wenige Vorteile, aber viele Nachteile.

    Dein Ziel ist es, die Nutzertraffic, welche durch den Tunnel kommt und ins Internet geht zu decrypten und zu untersuchen?

    PS: Ich verwende meist einen offensichtlichen Port (ungleich 443) für SSL-VPN (z.B. 1194). Dieser kann einfacher in AusnahmeRegeln verwendet werden.

    Meist hilft der Log-Viewer weiter. Suche hier mal nach der externen IP des VPN-Clients und was mir den Paketen passiert.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    Hallo Dirk,

    sorry, de letzten Tage waren wirklich voll gestopft mit allem möglichen...

    Warum verwende ich den WebProxy? Zu den Nutzern der VPN Verbindung (und insgesamt des Netzwerkes) zählt unter anderem meine noch weit von der Volljährigkeit entferte Tochter. Da liefert der WebProxy SafeSeach und limitiert Youtube. Darin sehe ich den Vorteil, denn Sophos hat dieses für das DPI nicht entsprechend dokumentiert.

    Ich hoffe das ich am Wochenende dazu komme, mir den Log-Viewer genauer anzusehen. 

    Beste Grüße

    Torsten

Unfiltered HTML