Warum kein HTTP, HTTPS im VPN-Tunnel

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Micha81
Beiträge: 64
Registriert: 05 Aug 2013, 15:22

Warum kein HTTP, HTTPS im VPN-Tunnel

Beitrag von Micha81 »

Ich habe hier eine Standard-Regel die für den Internet Verkehr sorgt.

Name: ALLOW_INTERNET
Aktion: ACCEPT
Quelle: LOCALNET
Ziel: alle Stationen
Dienste: Mail, HTTP, HTTPS

Das funktioniert im normalen Betrieb bestens. Sobald ein Tunnel aufgebaut ist, werden die Internet Verbindungen komplett geblockt. Das sieht dann z.b. aus wie folgt.

[Firewall] 2017/08/01 09:16:44,490
Packet matched rule DENY_ALL
DstIP: 80.67.16.224, SrcIP: 192.168.1.221, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 443, SrcPort: 51145, Flags: S
Seq: 4029609634, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1260
Option: NOP
Option: Window scale = 2 (multiply by 4)
Option: NOP
Option: NOP
Option: SACK permitted

Verhindern kann ich die Internet Blockierung indem ich entweder Split-Tunneling verwende oder TCP quasi komplett freischalte, was ich aber aus naheliegenden Gründen nicht tun möchte.

Name: ALLOW_TCP
Aktion: ACCEPT
Quelle: 192.168.1.0/255.255.255.0
Ziel: alle Stationen
Dienste: TCP

Damit geht es dann. Aber sobald ich in der Quelle den IP-Bereich durch LOCALNET ersetze bricht der Internet Verkehr über den Tunnel wieder zusammen.

Wenn ich mir den Log-Eintrag ansehe verstehe ich nicht warum die Pakete ohne die Regel ALLOW_TCP gefiltert werden. SrcIP liegt innerhalb LOCALNET und der DstPort: 443 sprich HTTPS sollte auch erlaubt sein.

Warum greift die ALLOW-INTERNET Regel hier nicht und wie kann ich das am besten über die Firewall lösen ?

Danke und Gruß, Michael
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Warum kein HTTP, HTTPS im VPN-Tunnel

Beitrag von Jirka »

Hallo Michael,

192.168.1.221 ist anscheinend gar kein Client im lokalen Netz sondern ein VPN-Client, dann bedarf es auch einer Firewall-Regel, die Traffic dieses Clients erlaubt.

Viele Grüße,
Jirka
Micha81
Beiträge: 64
Registriert: 05 Aug 2013, 15:22

Re: Warum kein HTTP, HTTPS im VPN-Tunnel

Beitrag von Micha81 »

Ja das ist ein VPN-Client. Eine aktive VPN -Regel gibt es natürlich. Die sieht so aus

Name: ALLOW_VPN_TRAFFIC
Aktion: ACCEPT
Quelle: beliebig
Ziel: VPN-VERBINDUNG
Dienste: ALLE

Das müsste es meiner Ansicht nach doch eigentlich tun.

Gruß, Michael
Micha81
Beiträge: 64
Registriert: 05 Aug 2013, 15:22

Re: Warum kein HTTP, HTTPS im VPN-Tunnel

Beitrag von Micha81 »

So läuft jetzt. Ein Fehler in der Subnetzmaske der VPN-Einwahladressen hat offensichtlich das korrekte Arbeiten verhindert. Man verliert so leicht den Überblick.

Gruß, Michael
Antworten