VPN over HTTPS

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
alkuhn
Beiträge: 2
Registriert: Fr 02.10.2015, 11:28

VPN over HTTPS

Beitrag von alkuhn »

Hallo,

ich beschäftige mich ganz neu mit Securepoint und hätte eine erste Frage.
Gibt es eine Möglichkeit den OpenVPN Server (oder bei IPSec) auf Port 443 zu legen und trotzdem ein Portforwarding von Port 443 z.B. auf einen internen Server zu machen? Unser bisher eingesetzten Produkt konnte IPsec over https was eine sehr sinnvolle Funktion ist, da in vielen WLANs (z.B. Hotel) nur Port 80 oder 443 offen ist. Ich habe hier im Forum auch schon einen Beitrag zu diesem Thema gefunden unter Version 10, aber auf unserer Securepoint bekomme ich es so nicht hin.

Kann mir jemand sagen, ob eine solche Konfiguration möglich ist?

Vielen Dank und viele Grüße
Alex

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ja, das funktioniert problemlos, wenn man den TCP Port 443 auf einen Server im LAN weiterleitet (z.B. Exchange OWA, SSTP etc.).
Für SSL-VPN kann man dann UDP Port 443 verwenden. Dann ist allerdings fraglich, ob eine hypersensible Firewall im Hotel das mitmacht.

Alternativ könnte man auch TCP Port 80 oder UDP Port 53 für SSL-VPN nutzen. UDP Port 53 wird gewöhnlich für DNS verwendet, deswegen bestehen gute Chancen, dass der nicht blockiert wird.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Franz hat geschrieben:UDP Port 53 wird gewöhnlich für DNS verwendet
Genau. Unter anderem auch auf der UTM. Von daher: ganz schlechte Idee.
Port 80/tcp geht vmtl auch nicht, da selbst ein nur mäßig sensibler Proxy feststellen wird, dass das auf keinen Fall Plaintext HTTP ist.

Port 443/tcp hilft in Hotels meistens. Aber dann müssen Sie sich eben entscheiden, ob da der SSLVPN laufen soll oder ob Sie den Port noch anderweitig verwenden wollen. Beides zusammen geht nicht.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Erik hat geschrieben:
Franz hat geschrieben:UDP Port 53 wird gewöhnlich für DNS verwendet
Genau. Unter anderem auch auf der UTM. Von daher: ganz schlechte Idee.
Oh, ich wusste nicht, dass die UTM auch auf DNS-Anfragen aus dem Internet regagieren muss. :)

Aber ich hatte auch schon eine Fall (ISP in Italien), wo nur SSL-VPN auf TCP Port 443 möglich war.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Franz hat geschrieben:Oh, ich wusste nicht, dass die UTM auch auf DNS-Anfragen aus dem Internet reagieren muss. :)
Muss bzw sollte sie sogar nicht. Aber der DNS-Server läuft auf allen Interfaces auf Port 53. Der Zugriff aus dem Internet auf den Port wird über die Portfilter-Regeln verhindert, aber der Dienst benötigt den Port eben doch. Deswegen kann dort nicht ebenfalls der SSLVPN-Server laufen.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ah, das erklärt natürlich, warum es nur dann über den Port 53 funktioniert hat, wenn dem UTM ein Router vorgeschaltet war, auf dem Port 53 auf den Standard-Port 1194 umgeleitet wurde.

Wer einen einigermaßen aktuellen Windows Server (ab 2008) im Netz betreibt, kann SSTP-VPN (das ist die Microsoftvariante von SSL-VPN) und Webdienste wie beispielsweise OWA parallel unter einer URL über TCP Port 443 erreichbar machen. Bei den SBS-Versionen ab 2008 ist das sogar mit wenigen Mausklicks konfigurierbar. SSTP-Clients sind ab Vista bereits im Windows enthalten. Wir setzen SSTP häufig ein, und es ist bisher nicht vorgekommen, dass W-LAN-Zugänge in Hotels o.ä. das blockiert haben.

alkuhn
Beiträge: 2
Registriert: Fr 02.10.2015, 11:28

Beitrag von alkuhn »

Vielen Dank für die Antworten.

Ich lasse den OpenVPN Server jetzt mal auf seinem Standardport und beobachte, wie die Erfahrungen bei den Kunden sind. Da wir bei unseren bisherigen Systemen immer https over ipsec aktiviert hatten, gingen bei den Kunden die Verbindungen immer. Von daher fehlt mir auch das Gefühl, wie die Router in Hotels oder PublicSpots heute konfiguriert sind.

Nochmals vielen Dank und viele Grüße

mako
Beiträge: 4
Registriert: Mo 18.08.2014, 10:28

Beitrag von mako »

Ich benutze den Thread gleich mal für mich weiter, da ich ein ähnliches Problem habe.

Die aktuelle VPN Verbindung geht über den UDP Standardport und das funktioniert ohne Probleme. Um die VPN Verbindung auch über die Hotel WLANs zu ermöglichen, möchte ich den Port ebenfalls auf TCP 443 wechseln. Sobald ich aber in der VPN-Verbindung von UDP auf TCP umstelle, wechselt auch der Status von CONNECTED auf OFFLINE. Was muss denn da noch bedacht werden, damit das funktioniert? (Implizite Regeln sind auch bereits von UDP auf TCP gewechselt). UTM Version ist die 11.6.3

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Auf Port 443/tcp läuft standardmäßig das User-Webinterface. Wenn Sie den Port für SSLVPN benutzen wollen, müssen Sie Das Webinterface vorher woanders hinlegen: Netzwerk -> Servereinstellungen

Ob ein Port bereits belegt ist, findet man übrigens heraus, wenn man auf der root-Shell einmal ausführt:

Code: Alles auswählen

ss -lunt

mako
Beiträge: 4
Registriert: Mo 18.08.2014, 10:28

Beitrag von mako »

Ah ja ok. Scheint zu funktionieren.
Ich dachte dieser Schritt sei mit dem Abhaken des User Portal Interfaces bei den Impliziten Regeln bereits geschehen.

Vielen Dank

Antworten