Dav*_*d W 2 firewall watchguard
我有一个客户在现场有一台 WatchGuard XTM 23 设备作为他们的主要防火墙。几天前我刚刚将其固件升级到该系列的最新版本 11.6.6。
问题是我未能成功为他们设置 VPN 连接。
使用http://www.watchguard.com/help/docs/webui/11_XTM/en-US/index.html#en-US/mvpn/ssl/configure_fb_for_mvpn_ssl_c.html 上的说明,我正在尝试设置 VPN使用 SSL 连接:从防火墙 Web GUI/仪表板,我转到 VPN -> Mobile VPN with SSL,启用它,添加防火墙连接到的组织的公共 IP 地址。我在 Active Directory 中设置了一个名为“SSLVPN-Users”的组,验证 WatchGuard 框可以与 Active Directory 服务器通信,并将我自己添加到该组。
然后,我将带有 SSL 客户端的 WatchGuard Mobile VPN 下载到我自己的 Windows 7 机器上,走到街对面客户端的第二栋大楼(具有不同的公共互联网连接),并尝试连接到 VPN。
当我尝试与客户端连接时,出现以下错误:
2013-06-24T15:41:32.119 Launching WatchGuard Mobile VPN with SSL client. Version 11.6.0 (Build 343814) Built:Jun 13 2012 01:42:55
2013-06-24T15:41:37.595 Requesting client configuration from 184.174.143.176:443
2013-06-24T15:41:50.106 FAILED:Cannot perform http request, timeout 12002
2013-06-24T15:41:50.106 failed to get domain name
我今天发现了 Firebox 系统管理器,它的“流量监视器”提供了当前的日志信息(每 5 秒刷新一次)。不幸的是,客户端似乎没有设置任何类型的 WatchGuard / Firebox 日志服务器,因此实际上尚未将服务器端日志记录到文件中。如果需要,我可以努力实现它。
我注意到如果我尝试从外部源 ping 客户端的公共 IP 地址,我不会得到响应(除非我在防火墙中添加了一个策略以允许来自“外部”的 ICMP 流量,我成功地做了一些几秒钟前出于测试目的 - 该规则已恢复为不响应外部 ping 请求)。
防火墙中有一个策略允许来自任何外部源的 SSLVPN 流量身份验证请求到 Firebox,然后进行身份验证/实际允许 VPN 流量,有一个策略允许 SSLVPN-Users 组中的任何人的流量在它们之间流动该用户和内部网络。
所以我的问题是:
每次遇到这个问题时,修复程序通常是使用 remote.domain.com:4100。即使您的策略规定使用端口 22 或 443,您仍然必须在下载 SSLVPN 客户端后附加 :4100。