Watchguard 防火墙 - SSLVPN 问题

Watchguard 防火墙 - SSLVPN 问题

我有一个客户,他在现场安装了 WatchGuard XTM 23 设备作为主要防火墙。几天前我刚刚将其固件升级到该系列的最新版本 11.6.6。

问题是我无法为他们成功设置 VPN 连接。

使用以下说明http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html,我正在尝试设置带有 SSL 连接的 VPN:从防火墙 Web GUI/仪表板,我转到 VPN -> 带有 SSL 的移动 VPN,启用它,添加防火墙连接到的组织的公共 IP 地址。我在 Active Directory 中设置了一个名为“SSLVPN-Users”的组,验证了 WatchGuard 框可以与 Active Directory 服务器通信,并将自己添加到该组。

然后,我将带有 SSL 客户端的 WatchGuard Mobile VPN 下载到我自己的 Windows 7 机器上,走到街对面客户的第二栋楼(该楼有不同的公共互联网连接),并尝试连接到 VPN。

当我尝试连接客户端时,出现以下错误:

2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814)  Built:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443
2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002
2013-06-24T15:41:50.106 failed to get domain name

我今天发现了 Firebox 系统管理器及其“流量监视器”,它提供当前日志信息(每 5 秒刷新一次)。不幸的是,客户端似乎没有设置任何类型的 WatchGuard / Firebox 日志服务器,因此实际上尚未将服务器端日志记录到文件中。如果需要,我可以努力实现这一点。

我注意到,如果我尝试从外部源 ping 客户端的公共 IP 地址,我不会收到响应(除非我向防火墙添加了一个策略以允许来自“外部”的 ICMP 流量,几秒钟前我出于测试目的成功地完成了这个操作 - 该规则现已恢复为不响应外部 ping 请求)。

防火墙中有一项策略,允许从任何外部源向 Firebox 发送 SSLVPN 流量身份验证请求,然后进行身份验证/实际允许 VPN 流量,有一项策略允许 SSLVPN-Users 组中任何人的流量在该用户和内部网络之间流动。

我的问题是:

  1. 有人曾经在 Watchguard VPN 客户端上看到过这些错误吗?或者您对如何解决该错误有什么建议吗?
  2. 如果我需要设置日志服务器来获取防火墙日志(以便进一步解决此问题),这项任务有多复杂?是否需要大量系统资源?我咨询的组织只有 1 台服务器,没有太多资源或技术知识。

答案1

每次我遇到这种情况,解决方法通常是使用 remote.domain.com:4100。即使您的策略规定使用端口 22 或 443,您仍然必须在下载 SSLVPN 客户端后附加 :4100。

相关内容