Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 20747 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM (Web Application Firewall) VMware View

ipp-barrett
I have a Sophos UTM v9.308-16 and I am trying to setup VMware Horizon View 6 behind the Web Application Firewall. HTTPS and HTML Blast (8443) work fine behind the WAF but I cannot get PCoIP (TCP/UDP 4172) to work. I have tried specifying HTTPS, Blast and PCoIP in WAF and I have tried specifying HTTPS and Blast in WAF and PCoIP in in the firewall. When I try to authenticate with the View client it hangs on "Authenticating" then fails with "connect lost" error. When I specify HTTPS, Blast and PCoIP in the firewall, everything works. So I am looking for some assistance in identifying what I am overlooking as it looks like it maybe something timing out on the UTM. I using the WAF because I only have one IP address and this setup works for other applications like Exchange OWA and ownCloud. Any ideas?


This thread was automatically locked due to age.
  • 0
    Hi, the WAF only handles HTTP/HTTPS traffic, which is never UDP.

    If UDP or not HTTP traffic are needed, you'll need to use DNAT/firewall rules instead of the WAF.

    Also, always check the logs when you're having trouble.
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065

    Barry
  • 0 in reply to BarryG
    Hello, yeah that makes sense. I thought about which is why I created a firewall rule for PCoIP/4172 and Blast/8443, so HTTPS is the only thing going through the WAF. I've looked through the logs and haven't found anything.

    I was hoping someone had experience setting up View in a similar way; I need HTTPS to go through the WAF and PCoIP through the firewall rule.
  • 0
    Do you have a Masquerading rule?

    Nothing in the firewall or IPS logs?

    Barry
  • 0
    Just the default Masquerading rule, Internal > External

    Firewall is showing some dropped access attempts between my UTM and my test location for TCP 443. I am guessing it is the way the Windows View client works since the web interface on 443 is working fine.

    IPS is disabled so nothing in the logs there.

    WAF is showing a proxy error.

    2015:04:16-11:44:36 utm reverseproxy: [Thu Apr 16 11:44:36.346675 2015] [proxy_http:error] [pid 24762:tid 4098206576] (-102)Unknown error 4294967194: [client 173.27.x.x:62411] AH01095: prefetch request body failed to 10.10.0.28:443 (10.10.0.28) from 173.27.x.x ()
    2015:04:16-11:44:36 utm reverseproxy: id="0299" srcip="173.27.x.x" localip="173.28.x.x" size="221" user="-" host="173.27.x.x" method="POST" statuscode="408" reason="-" extra="-" exceptions="-" time="300086194" url="/ice/tunnel" server="view.barrettnetwork.com" referer="-" cookie="-" set-cookie="-"

    I created a Firewall Profile that has everything disabled and I have "Disable Compression Support" and "Pass Host Header" checked. I noticed yesterday that the View client for Android is working but the Windows client still isn't so it seems like its timing or the two clients act differently.
  • 0
    Hi, 

    I would open a support case regarding the 'unknown error' in the WAF log.

    Barry
  • 0
    I was using the View security server which acts as a reverse proxy itself. Removing that from the equation and making the below adjustments I was able to get View to work behind the UTM's firewall and WAF. This may not be best practice for a production environment but great for a lab environment with only one external IP.

    Virtual Webservers

    View_Ext_HTTP
    Interface: External (WAN)(Address)
    Type: Plaintext (HTTP)
    Domains: view.domain.com
    Real Webservers: View_Ext_HTTP
    Firewall Profile: View

    View_Ext_HTTPS
    Interface: External (WAN)(Address)
    Type: Encrypted (HTTPS)
    Domains: view.domain.com
    Real Webservers: View_Ext_HTTPS
    Firewall Profile: View


    Real Webservers

    View_Ext_HTTP
    Type: Plaintext (HTTP)
    Host: ViewTC1
    Port: 80

    View_Ext_HTTPS
    Type: Encrypted (HTTPS)
    Host: ViewTC1
    Port: 443


    Firewall Profiles

    Name: View
    Mode: Reject
    Options:
    Antivirus: Single Scan Mode, Uploads only direction
    Block unscannable content
    Block clients with bad reputation

    Firewall/NAT rules

    Group: View Ports
    Ports: TCP/UDP 4172


    Horizon View Configuration

    Connection servers:
    ViewDC1 (internal)
    PCoIP External URL: Internal IP of connection server

    ViewTC1 (external)
    PCoIP External URL: External IP View environment
  • 0 in reply to ipp-barrett

    Hi, 

    can you post the exact configuration? i have exactly the same problem but cant get it to work :(

Unfiltered HTML