Watchguard Firewall - проблемы с SSLVPN
У меня есть клиент, на котором в качестве основного брандмауэра установлено устройство WatchGuard XTM 23. Я только что обновил его прошивку пару дней назад до последней версии для этой серии, 11.6.6.
Проблема в том, что мне не удалось настроить VPN-соединение для них.
Используя инструкции на http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html, я пытаюсь настроить VPN с подключением SSL: в веб-интерфейсе / панели мониторинга брандмауэра я захожу в VPN -> Mobile VPN с SSL, я включаю его, добавляю общедоступный IP-адрес организации, к которому подключен брандмауэр. Я настроил группу в Active Directory с именем "SSLVPN-Users", проверил, что окно WatchGuard может общаться с сервером Active Directory, и добавил себя в эту группу.
Затем я загрузил WatchGuard Mobile VPN с клиентом SSL на свой собственный компьютер с Windows 7, прошел ко 2-му зданию клиента через улицу (который имеет другое общедоступное подключение к Интернету) и попытался подключиться к VPN.
Когда я пытаюсь соединиться с клиентом, я получаю следующие ошибки:
2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814) Built:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443
2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002
2013-06-24T15:41:50.106 failed to get domain name
Сегодня я обнаружил Firebox System Manager и его "Traffic Monitor", который выдает текущую информацию журнала (обновляется каждые 5 секунд). К сожалению, похоже, что клиент не настроил какой-либо сервер журналирования WatchGuard / Firebox, поэтому фактически запись журналов на стороне сервера в файл не была выполнена. Я могу работать над реализацией этого, если мне нужно.
Я заметил, что если я попытаюсь пропинговать общедоступный IP-адрес клиента из внешнего источника, я не получу ответ обратно (если я не добавил политику в брандмауэр, чтобы разрешить трафик ICMP от "Внешнего", что я успешно сделал несколько секунд назад для целей тестирования - с тех пор это правило было отменено, чтобы не отвечать на внешние запросы ping).
В брандмауэре есть политика, позволяющая разрешать запросы аутентификации трафика SSLVPN, поступающие из любого внешнего источника в Firebox, а затем выполнять аутентификацию / фактически разрешать трафик VPN. Существует политика, позволяющая передавать трафик для любого пользователя в группе SSLVPN-Users. этот пользователь и внутренняя сеть.
Итак, мои вопросы:
- Кто-нибудь видел эти ошибки ранее от клиента Watchguard VPN, и / или у вас есть какие-либо предложения о том, как я могу устранить эту ошибку?
- Если мне нужно настроить сервер журналирования для получения журналов брандмауэра (для дальнейшего устранения этой проблемы), насколько сложна эта задача и требует ли она много системных ресурсов? В организации, с которой я консультируюсь, есть только 1 сервер, а не много ресурсов или технических ноу-хау.
1 ответ
Каждый раз, когда я сталкиваюсь с этим, исправление обычно использует remote.domain.com:4100. Даже если ваша политика предусматривает использование порта 22 или 443, вы все равно должны добавить: 4100 после того, как вы загружаете клиент SSLVPN.