web-dev-qa-db-ja.com

Watchguard Firewall-SSLVPNに関する問題

プライマリファイアウォールとしてサイトにWatchGuard XTM 23デバイスがあるクライアントがあります。数日前にファームウェアをそのシリーズの最新バージョン11.6.6にアップグレードしました。

問題は、VPN接続を正常にセットアップできなかったことです。

http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html の説明を使用して、 SSL接続でVPNをセットアップしようとしています:ファイアウォールのWeb GUI /ダッシュボードから、VPN-> Mobile VPN with SSLに移動し、SSLを有効にして、ファイアウォールが接続されている組織のパブリックIPアドレスを追加します。 「SSLVPN-Users」という名前のグループをActive Directoryにセットアップし、WatchGuardボックスがActive Directoryサーバーと通信できることを確認し、自分をそのグループに追加しました。

次に、WatchGuard Mobile VPN with SSLクライアントを自分のWindows 7マシンにダウンロードし、通りの向こう側にあるクライアントの2番目の建物(別のパブリックインターネット接続がある)に歩いて行き、VPNに接続しようとしました。

クライアントに接続しようとすると、次のエラーが発生します。

2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814)  Built:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443
2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002
2013-06-24T15:41:50.106 failed to get domain name

今日、Firebox System Managerと、現在のログ情報(5秒ごとに更新)を提供する「トラフィックモニター」を発見しました。残念ながら、クライアントが何らかのWatchGuard/Fireboxロギングサーバーをセットアップしているようには見えないため、サーバー側のログをファイルに実際に記録することは行われていません。必要に応じて、実装に取り​​組むことができます。

クライアントのパブリックIPアドレスに外部のソースからpingを実行しようとしても、応答が返されないことに気付きました(ファイアウォールにポリシーを追加して「外部」からのICMPトラフィックを許可しない限り、テスト目的で数秒前-そのルールは、外部のpingリクエストに応答しないように戻されています)。

ファイアウォールには、外部ソースからFireboxへのSSLVPNトラフィック認証要求を許可するポリシーがあり、認証を実行するために、実際にVPNトラフィックを許可するために、SSLVPN-Usersグループの誰もがトラフィックをフローできるようにするポリシーがあります。そのユーザーと内部ネットワーク。

だから私の質問は:

  1. Watchguard VPNクライアントから以前にこれらのエラーを見た人はいますか、そのエラーを解決する方法について何か提案はありますか?
  2. ファイアウォールログを取得するようにログサーバーをセットアップする必要がある場合(この問題をさらにトラブルシューティングするため)、タスクはどれほど複雑で、多くのシステムリソースが必要ですか?私が相談している組織にはサーバーが1台しかなく、リソースや技術的なノウハウはあまりありません。
2
David W

私がこれに遭遇するたびに、修正は通常remote.domain.com:4100を使用することです。ポリシーでポート22または443を使用するように指示されている場合でも、SSLVPNクライアントをダウンロードするのと同じように、:4100を追加する必要があります。

5
David V