Advisory: Support Portal Maintenance. Login is currently unavailable, more info available here.

SSL VPN Pool nicht erreichbar

Moin,

kleine Vorwarnung: Ich habe die IT von meinem Vorgänger übernommen, kann auch damit arbeiten, stehe aber leider noch nicht so richtig stabil im Thema Sophos.
Fangt beim troubleshooten also ruhig etwas gröber an, ich habe den Verdacht, dass das ne Problemstellung ist, die nur an einer kleinen Einstellung/Fehlkonfiguration hängt.

Wir haben eine SG210 mit UTM 9.705-3.

Internes Netz: 10.10.1.1 /24
Standard VPN Pool: 10.242.2.0 /24
IP UTM: 10.10.1.1
IP TK-Anlage: 10.10.1.40

SSL VPN ist konfiguriert und läuft auch wunderbar, Clients können sich einwählen, kriegen eine IP-Adresse aus dem VPN Pool  zugewiesen und auf alle Ressourcen im internen Netz zugreifen.

Unsere Alcatel OmniPCX Office TK-Anlage bietet die Möglichkeit IP Softphones zu verwenden, was im Homeoffice natürlich deutlich angenehmer als Handy o.ä. wäre.

Jedoch kriegen diese Softphones auf Clients im VPN Pool keine Verbindung zur TK-Anlage im internen Netz. Desweiteren kann ich aus dem internen Netz Clients im VPN Pool nicht anpingen. Interessanterweise kann ich die 10.242.2.1 erreichen, alles darüber hinaus nicht.

Im Firewall-Log kann ich sehen, dass die Clients UDP-Pakete an die TK-Anlage schicken, die auch ankommen.

Das Gateway der TK-Anlage ist nicht die Sophos weswegen in der TK-Anlage eine Route eingerichtet ist:
Um Zielnetz: 10.242.2.0 /24 zu erreichen, gehe über 10.10.1.1 

Nachdem ich diese Route eingerichtet hatte, konnte dann auch UDP-Pakete sehen, die von der TK-Anlage zur UTM gehen, aber eben nicht darüber hinaus.

Firewallregel habe ich wie folgt angelegt: TK-Anlage --Any--> VPN Pool + Internes Netz

Intrusion Prevention hatte ich testweise komplett aus, hat nichts verändert. 

Supportticket (03290048) ist seit Wochen offen (erst im Worldwide, jetzt im UK-Team), Lösungsvorschläge kam nur einer: 

cc set packetfilter timeouts ip_conntrack_udp_timeout_stream 150

Hat aber, soweit ich das beurteilen kann nichts geändert, Ping geht ja so oder so nicht. (bei ICMP ist alle an außer "Allow ICMP through Gateway from external networks")

So, langer Text, ich freue mich über jede Art des hilfreichen Inputs!

LG

  • Hallo,

    so verkehrt sieht das alles nicht aus. Der fehlende Ping kann an der Client-Firewall liegen.

    Wie sind denn die Pakete von/zu der TK Anlage zu sehen? (Live-Log/TCP-Dump/...)

    Wie sieht es mit einem Ping von der SG in Richtung VPN-Client aus?

    Mit der TK hatte ich auch schon mal mehr Erfolg, wenn die Verbindung von Client zur TK-Anlage maskiert wurde. Da stimmte an der Anlage was mit den Routen nicht.

    Wie sieht das Firewall-live-log aus?

    Wenn die ICMP-Behandlung an dieser Stelle aktiviert wurde, sieht man leider keine Einräge im Live-Log zu Ping/icmp.


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

  • Danke schonmal für die schnelle Antwort :)
    Die Infos hab ich aus dem Firewall Live Log, sie sehen so aus:

    14:01:06 Packet filter rule #12 UDP 10.242.2.4 : 58769 → 10.10.1.40 : 69 len=89 ttl=127 tos=0x00 srcmac=00:1a:8c:50:c8:ee

    14:01:08 Packet filter rule #21 UDP 10.10.1.40 : 7775   → 10.10.1.1 : 5000 len=51 ttl=64 tos=0x18 srcmac=48:7a:55:10:cb:5a dstmac=00:1a:8c:50:c8:ee

    14:01:13 Packet filter rule #12 UDP 10.242.2.4 : 58770 → 10.10.1.40 : 69 len=82 ttl=127 tos=0x00 srcmac=00:1a:8c:50:c8:ee

    Ping und tracert haben das gleiche Ergebnis, egal ob ich von der Sophos oder meinem PC starte.

    --- 10.242.2.2 ping statistics ---

    5 packets transmitted, 0 received, 100% packet loss, time 4001ms

    Habe jetzt auch mal die meisten Häkchen im ICMP Tab rausgenommen, ändert nichts am Ergebnis oder leeren Live Log. 

  • Hallo Vincent,

    ich rate jetzt mal wild drauflos: der erste EIntrag oben deutet auf die Suche nach einem TFTP-Server hin, was ich bi Softphones ungewöhnlich fände. Wären das Hardware VOIP-Telefone, dann würde ich das verstehen.

    Sind denn im "Remote Access Profile" die "Automatic firewall rules" eingeschaltet?

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hi Philipp,

    die IP Softphones von Alcatel emulieren ein Hardware Telefon, dementsprechend kann das schon sein.
    Ich bin mit unserem Alcatel-Ansprechpartner auch schon alles durchgegangen, der meinte, dass das passen sollte. Er konnte halt nichts zu eventuellen Firewallproblematiken sagen.

    Im internen Netz funktionieren die Softphones sofort und problemlos.  

    Ja, die automatischen Regeln sind auch an.

    MfG
    Vincent Jahn

  • Hallo Vincent.

    Bitte mal unter "Network Protection / Firewall / ICMP" prüfen, ob das Gateway die Pings überhaupt weitergibt..

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Es macht für den Ping in den VPN-Pool tatsächlich keinen Unterschied ob ich die ganzen Häkchen an oder aus habe.

    Was ich jetzt übrigens im Livelog sehe ist folgendes:

    11:59:37 Default DROP UDP 10.10.1.40 : 52013 → 10.10.1.1 : 65129  len=53 ttl=64 tos=0x00 srcmac=48:7a:55:10:cb:5a dstmac=00:1a:8c:50:c8:ee

  • Das sieht jetzt danach aus, als wenn die Firewallregel mt dem "Allow" nicht greift. Mal die Reihenfolge ändern (Regel nach oben stellen).

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • An erster Stelle steht jetzt die automatisch erzeugte Regel vom SSL VPN und auf Platz 2 die Regel, die der TK-Anlage erlaubt mit jedem Protokoll ins interne Netz und den VPN Pool zu senden.  

    Live Log sieht aber immer noch gleich aus.

  • Das sieht für mich aus, als würden die TFTP-Antwortpakete mit dynamischen Ports an die letzte sichtbare IP gesendet.
    Leider passiert das nicht auf eine bestehende Verbindung (ähnlich wie bei FTP)

    Also mal gucken, ob der TFTP-Helper aktiviert ist (wo der Haken ist, kann ich gerade nicht sagen) und ob die Traffic vom SSL-VPN maskiert wird (damit hat TFTP u.U. Probleme). 


    Dirk

    Sophos Solution Partner since 2003
    If a post solves your question click the 'Verify Answer' link.

  • Es handelt sich definitiv um eine TFTP Verbindung, da ich im IP Softphone-Client die IP der TK Anlage in ein Feld namens "TFTP-Server" eintragen muss.

    Der Helper ist aktiv, genau wie eine Maskierungsregel des VPN Pools auf das Interface des internen Netzwerks.
    Bin heute im Homeoffice und habe keine Lust mich selber zu auszusperren, deshalb werde ich morgen mal gucken, was passiert, wenn ich die Maskierung rausnehme.

    Oder hat noch jemand eine Idee ob man stattdessen etwas hinzufügen kann, was das Problem löst?