С двумя проблемами обычно обращаются клиенты, когда берутся за конфигурирование SSL VPN на фаерволах USG Huawei (SSL VPN дает защищенный доступ к внутренним ресурсам фаервола через Интернет). Первая проблема: не проходит аутентификация при попытки залогиниться через web-браузер смартфона. Вторая: не удается ограничить доступ для определенных пользователей (полисер не распознает username). Это не вина клиентов, или программых недоработок продукта, скорее это недостаточная ясность документации.
Ответ на первый вопрос состоит в том, что SSL VPN не работает через web-браузеры смартфонов. Такая функция не поддерживается, не тестировалась и никогда не разрабатывалась (уточняли непосредственно в Huawei TAC). Правда в том, что пользователю дается ложная надежда, когда web-страница фаервола таки открывается, приглашает ввести логин/пароль, а потом ничего - Authentication failed. Есть длинный список программых ограничений, но про мобильные браузеры в нем не упомянуто. Даже напротив, в овервью SSL VPN есть строчка про мобильное устройства, но не уточняется, что речь идет именно о доступе через Secoclient приложение.
Второй вопрос. Клиент сконфигурировал SSL VPN, но доступ есть у всех пользователей ко всем внутренним ресурсам. SSL VPN строится до паблик-интерфейса фаервола, оригинальный пакет инкапсулируется в этот тоннель. Если аутентификация проходит успешно, то пакет декапсулируется и в работу вступают локальные полисеры фаервола, устаналивается TCP сессия. Если пользователь конфигурирует полисер и разрешает в нем доступ только определенным пользователям, то доступ пропадает у всех пользователей. И происходит это потому, что фаервол не распознает username после декапсуляции пакета, а значит отбрасывает все пакеты, которые не соответствуют условиям полисера. Причина этого в том, что настройщик пропускает конфигурацию полисера аутентификации (Authentication Policy). Она просто теряется в сложном и запутанном перечне сценариев документации: в какие-то сценарии ее включили, а в остальные - забыли.
В полисере аутентификации нужно указать разрешенные для доступа локальные адреса.
auth-policy
rule name auth_policy_service
source-address range 10.2.0.2 10.2.0.15 (permit локальные адреса для доступа через SSL VPN)
action exempt-auth
После этого полисеры безопасности начнут отрабатывать корректно. Настраиваются два полисера: один для доступа по схеме Интернет-Фаервол, другой по схеме: Фаервол - Локальная сеть.
security-policy
rule name Интернет-Фаервол
source-zone untrust
destination-zone local
destination-address паблик Фаервола
user пользователь или группа пользователей
service https
action permit
rule name Фаервол - Локальная сеть
source-zone untrust
destination-zone trust
source-address 172.16.1.0 mask 255.255.255.0 (пул адресов для SSL VPN клиентов)
destination-address 10.2.0.0 mask 255.255.255.0
user пользователь или группа пользователей
action permit
Source-address 172.16.1.0 mask 255.255.255.0 (пул адресов для SSL VPN клиентов) эти адреса указываются в настройках Network Extension. После аутентификации и декапсуляции, один из адресов этого пула назначается удаленному клиенту (инициатору соединения), другой выступает в качестве шлюза фаервола для коммуникации между клиентом и локальной подсетью (10.2.0.0/24).
Удачи на стройке.
Детали и скрины о том как Не удается подключиться к SSL VPN через мобильный браузер.
Разбор кейса Source user не отображается при установлении SSL VPN тоннеля (USG6655E)
Комментарии (4)
net_racoon
28.10.2022 10:04+1А у Хуавея есть какой-то курс по их FW? Что-то лазил по сайту у них, нашел только какие-то абстрактные курсы про ИБ в целом.
vasyo Автор
28.10.2022 13:36Конкретно по фаерволам - нет, я такого не знаю. Только если не считать документацию по продукту таким курсом, а в некотором смысле считать его можно: потому что в нем есть не просто инструкции как настроить что-то, но и объяснение протокола, технологии и так далее, общая концепция описана. И если сочетать его с курсом по безопасности HCIP (professional) и симулятором, то что-то может и получится. Например, берете документацию - https://support.huawei.com/hedex/hdx.do?docid=EDOC1100122846&lang=en&idPath=24030814|9856724|21430823|21100508|22690082. Затем берете курс - https://e.huawei.com/en/talent/#/cert/product-details?certifiedProductId=101&authenticationLevel=CTYPE_CARE_HCIP&technicalField=IIC&version=3.0. И берете симулятор eNSP, скачиваете на форуме Huawei - https://forum.huawei.com/enterprise/ru/forum.php?mod=viewthread&tid=746529. Там же есть уже готовые файлы с топологиями и инструкции как настроить web-доступ:
https://forum.huawei.com/enterprise/ru/forum.php?mod=viewthread&tid=977677
https://forum.huawei.com/enterprise/ru/forum.php?mod=collection&action=view&ctid=651
Если появляются вопросы, то задаете их на форуме.
AKudinov
Хотелось бы технических подробностей, почему это происходит именно с мобильными браузерами. Я бы понял, если бы вёрстка поехала и т.п. Но почему аутентификация сломалась?
vasyo Автор
Мы задавали тот же вопрос, но не получили развернутого ответа. Предполагаю, что не написан соответствующий код, но вендоры обычно не раскрывают подробностей, никогда.