Wechseln zu:Navigation, Suche
Wiki
KKeine Bearbeitungszusammenfassung
K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“)
 
(19 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Set_lang}}
{{Set_lang}}
{{#vardefine:headerIcon|spicon-vpn-client}}
{{#vardefine:headerIcon|spicon-vpn-client}}
{{:UTM/VPN/SSL VPN-Troubleshooting.lang}}
</div><div class="new_design"></div>{{Select_lang}}{{TOC2}}
{{Header|12.6.0|
* {{#var:neu--rwi}}
|[[UTM/VPN/SSL_VPN-Troubleshooting_v12.5.3 | 12.5.3]]
}}
----
<div class="Einrücken">
{{Hinweis-box|{{#var:Leitfaden Schrittweise abarbeiten-Hinweis}}|g|fs__icon=em2}}
</div>
----


</div>{{DISPLAYTITLE: SSL VPN-Troubleshooting }}


{| class="sptable pd5"
=== {{#var:Erste Maßnahmen}} ===
|+ Erste Maßnahmen
 
! mögliche Ursache !! Prüfen !! Lösungsansatz
{| class="sptable2 pd5 zh1 Einrücken"
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Lösungsansatz}}
|-
|-
| Portfilter Regeln greifen nicht || Menü {{Menu|Firewall|Portfilter}} {{Button|Regeln aktualisieren|play}} blinkt || Vorhandene Regeln müssen übernommen werden mit {{Button|Regeln aktualisieren|play}}  
| {{#var:Portfilter Regeln greifen nicht}} || {{#var:Portfilter Regeln greifen nicht--prüfen}} || {{#var:Portfilter Regeln greifen nicht--lösung}}
|}
|}
----
----
{{pt3| UTM_v11.8.8_Userinterface_RW.png | hochkant=1 }}
'''Client Download nicht möglich '''


{| class="sptable pd5 mw-collapsible mw-collapsed dezent" data-expandtext="anzeigen" data-collapsetext="ausblenden"
 
|+ Userinterface wird nicht angezeigt  
=== {{#var:Client Download nicht möglich}} ===
! mögliche Ursache !! Prüfen !! Lösungsansatz
{{Bild|{{#var:Client Download nicht möglich--Bild}} |||SSL-VPN Client Download|firewall-user|class=Bild-t}}
<br clear=all>
 
'''{{#var:Userinterface wird nicht angezeigt}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}}
 
{| class="sptable2 pd5 zh1 Einrücken"
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Lösungsansatz}}
| class="Bild" rowspan="3" | {{Bild|{{#var:Userinterface wird nicht angezeigt--bild}}|||{{#var:Servereinstellungen}}|{{#var:Netzwerk}}|icon=fa-save}}
|-
|-
| '''Falscher Port für User Webinterface''' || Menü {{Menu| Netzwerk | Servereinstellungen | Servereinstellungen}} Kasten {{Kasten|Webserver}} {{b| User Webinterface Port:}} {{ic|443|c}} || Ist hier ein anderer Wert als Port 443 (https) eingetragen, muss der Port im URL des Browsers mit angegeben werden, z.B.: firewall.ttt-point.de''':''xxx''''' || class="bild width-m" rowspan="1"| {{Bild|UTM_v11.8.8_Netzwerk_Servereinstellungen_Webserver.png}}
| {{#var:Falscher Port für User Webinterface}} || {{#var:Falscher Port für User Webinterface--prüfen}} || {{#var:Falscher Port für User Webinterface--lösung}}
|- class="Leerzeile"
|
|-
|-
| '''Die UTM befindet sich hinter einem Router (Fritzbox etc.)''' || Beispiel Fritzbox: Menü Internet / Freigaben / Portfreigaben || Die Fritzbox bzw. der Router muss eine Portweiterleitung zur externen IP-Adresse der UTM zulassen.
| {{#var:UTM hinter Router}} || {{#var:UTM hinter Router--prüfen}} || {{#var:UTM hinter Router--lösung}}
|-
|-
| '''Zugriff auf Port 443 ist nicht freigegeben''' || Menü {{Menu|Firewall|Implizite Regeln}}<br>oder (besser)<br>{{Menu|Firewall|Portfilter}} || Entweder der Zugriff auf das User Interface wird über die Impliziten Reglen freigegeben oder (besser) über dezidierte Portfilter Regeln. || class="bild width-m" rowspan="1"| {{Bild| UTM_v11.8.8_SSL-VPN_RW-Implied-Rules.png}}
| {{#var:Zugriff auf Port nicht freigegeben}} || {{#var:Zugriff auf Port nicht freigegeben--prüfen}} || {{#var:Zugriff auf Port nicht freigegeben--lösung}}
| class="Bild" rowspan="2" | {{Bild|{{#var:Zugriff auf Port nicht freigegeben--bild}}|||{{#var:Implizite Regeln}}|Firewall|icon=fa-save}}
|- class="Leerzeile"
|
|-
|-
| '''Im Regelwerk (DESTNAT) ist Port 443 schon belegt''' || {{Menu|Firewall|Portfilter}} {{ic| https &emsp; &emsp; | rechts | icon=suche}} ||Der Port für das Userinterface muss geändert werden
| {{#var:Im Regelwerk DESTNAT Port belegt}} || {{Menu-UTM|Firewall|{{#var:Paketfilter}} }} {{ic|https &emsp;&emsp;|rechts|icon=suche}} || {{#var:Im Regelwerk DESTNAT Port belegt--lösung}}
|-
|-
| '''Reverse Proxy für https eingerichtet''' || Menü {{Menu|Anwendungen|Reverse Proxy}} || Wurde ein Reverse Proxy auch für https eingerichtet, muss der Port für das Userinterface geändert werden
| {{#var:Reverse Proxy für https eingerichtet}} || {{#var:Reverse Proxy für https eingerichtet--prüfen}} || {{#var:Reverse Proxy für https eingerichtet--lösung}}
|-
|- class="Leerzeile"
| class="Leerzeile" |<br><br>
|
|}
|}
</div></div></span>


{| class="sptable pd5 mw-collapsible mw-collapsed dezent" data-expandtext="anzeigen" data-collapsetext="ausblenden"
 
|+ Benutzer kann sich nicht im Userinterface anmelden
 
'''{{#var:Benutzer kann sich nicht im Userinterface anmelden}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}}
 
{| class="sptable2 pd5 zh1 Einrücken"
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Lösungsansatz}}
| class="Bild" rowspan="3" | {{Bild| {{#var:Benutzer wird durch FailToBan gesperrt--bild}} |||IDS/IPS|{{#var:Anwendungen}}|icon=fa-save}}
|-
|-
! mögliche Ursache !! Prüfen !! Lösungsansatz
| {{#var:Benutzer wird durch FailToBan gesperrt}} || {{#var:Benutzer wird durch FailToBan gesperrt--prüfen}} || {{#var:Benutzer wird durch FailToBan gesperrt--lösung}}
|- class="Leerzeile"
|
|-
|-
| '''Benutzer wird durch FailToBan gesperrt''' || Menü {{Menu|Anwendungen|IDS / IPS|Sperrungen}} || Evtl. wurde schon mehrmals das Kennwort für den Benutzernamen falsch eingegeben. <br>Aktuelle Sperrung prüfen und ggf. entsperren {{button|1=<span class="glyphicons glyphicons-undo glyphicons-size-14"></span>}} || class="bild width-m" rowspan="1"| {{Bild|UTM_v11.8.8_Anwendungen_IDS-IPS_Sperrungen-user.png}}
| {{#var:Benutzer hat keine Berechtigung}} || {{#var:Benutzer hat keine Berechtigung--prüfen}} || {{#var:Benutzer hat keine Berechtigung--lösung}}
| class="Bild" rowspan="2" | {{Bild|{{#var:Benutzer hat keine Berechtigung--bild}}|||{{#var:Benutzer bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|- class="Leerzeile"
|
|}
</div></div></span>
 
 
'''{{#var:Download-Option für Client nicht angezeigt}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}}
 
{| class="sptable2 pd5 zh1 Einrücken"
|-
|-
| '''Benutzer hat keine Berechtigung''' || Menü {{Menu|Authentifizierung|Benutzer|Gruppen}} <br>In welcher Gruppe ist der Benutzer?<br>Welche Berechtigungen hat die Gruppe des Benutzers? || Der Benutzer muss Mitglied einer Gruppe sein, die auf das Userinterface zugreifen darf (und über die SSL-VPN-Berechtigung verfügt). {{Button||w}} || class="bild width-m" rowspan="1"| {{Bild| UTM_v11.8.8_Authentifizierung_Benutzer_Gruppen_RW_Berechtigung.png }}
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Lösungsansatz}}
| class="Bild" rowspan="3" | {{Bild|{{#var:Benutzer hat keine Berechtigung--bild}}|||{{#var:Benutzer bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
|-
| class="Leerzeile" |<br><br>
| {{#var:Benutzer hat keine Berechtigung}} || {{#var:Benutzer hat keine Berechtigung--prüfen}} || {{#var:Benutzer hat keine Berechtigung--lösung}}
|- class="Leerzeile"
|
|}
|}
</div></div></span>
----


{| class="sptable pd5 mw-collapsible mw-collapsed dezent" data-expandtext="anzeigen" data-collapsetext="ausblenden"
|+ Download-Option für den Client wird nicht angezeigt
|-
! mögliche Ursache !! Prüfen !! Lösungsansatz
|-
| '''Benutzer / Gruppe hat keine Berechtigung''' || Menü {{Menu|Authentifizierung|Benutzer|Benutzer|SSL-VPN}} {{b| Client im Userinterface herunterladbar:}} {{ButtonAn|Ja}} || <p>Diese Option muss in den ''Benutzereinstellungen'' {{ButtonAn|Ja}} aktiviert sein.</p><p>Falls {{b| Einstellungen aus der Gruppe verwenden:}} {{ButtonAn|Ja}} aktiviert wurde, musse diese Option in den ''Gruppeneinstellungen'' {{ButtonAn|Ja}} aktiviert sein.</p> || class="bild width-m" rowspan="1"| {{Bild|UTM_v11.8.8_Authentifizierung_Benutzer_Client.png}}
|-
| class="Leerzeile" |<br><br>
|}


----
=== {{#var:Verbindungsprobleme}} ===
<div class="Einrücken">
'''{{#var:Grundsätzlich gilt}}:'''<br>
{{#var:Grundsätzlich gilt--desc}}
<br>


<p>'''Grundsätzlich gilt:''' <br>
'''{{#var:Auswertung Logdatei SSL-VPN-Client}}:'''<br>
Wird keine Verbindung aufgebaut (erkennbar an dem roten Schloss-Symbol in der Infoleiste), kann sich der Fehler nur auf der physikalischen Ebene befinden.</p>
{{#var:Auswertung Logdatei SSL-VPN-Client--desc}}
<br>


<p>'''Auswertung der Logdatei des SSL-VPN-Clients:'''
'''{{#var:Auswertung des Netzwerk-Verkehrs auf der UTM}}:'''<br>
* Doppelklick auf Client-Icon in der Taskleiste {{spc|vpn1|o|-|c=rot}}
* {{#var:Auswertung des Netzwerk-Verkehrs auf der UTM--desc}}
* Rechtsklick auf Verbindungseintrag
* {{#var:livelog}}
* {{spc|setting|o|-}} Log
** {{#var:livelog-implizite Regel}}
</p>
** {{#var:livelog-Netzwerkobjekt}}
** {{#var:Es muss eine Portfilter Regel geben}}:
<br clear=all></div>


{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"
|- class="bold small no1cell"
| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
|-
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}} || {{spc|drag|o|-}} || 4 || {{spc|ugrp|o|-}} ssl-vpn-user || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} ssl-vpn ||  || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|}
----
----




{| class="sptable pd5 mw-collapsible mw-collapsed dezent" data-expandtext="anzeigen" data-collapsetext="ausblenden"
==== {{#var:Kommt nicht zustande oder wird abgebrochen}} ====
|+ Verbindung kommt nicht zustande oder wird abgebrochen {{pt3| SSL-VPN-CLient_Error.PNG |hochkant=0.5}}
<div class="Einrücken">
! Fehlermeldung !! mögliche Ursache !! Lösungsansatz
{{Bild|SSL-VPN-CLient_Error.PNG|class=Bild-t}}
|-
<br clear=all>
| rowspan="3"  style="min-width: 300px;" | '''link remote: [AF_INET]''' 192.0.2.192:1194<br>''' TLS Error: TLS key negotiation failed''' ||colspan="2" | Der Verbindungsaufbau kommt nicht zustande.
 
| class="bild width-m" rowspan="1"| {{Bild| SSL-VPN-Client_Link-remote.PNG }}
'''{{#var:verbindung}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}}
 
{| class="sptable2 pd5 zh1"
! {{#var:Fehlermeldung}} !! {{#var:mögliche Ursache}} !! {{#var:Lösungsansatz}}
| class="Bild" rowspan="2" | {{Bild|SSL-VPN-Client_Link-remote.PNG }}
|-
|-
| Der Client kann die UTM unter der im Client-Log angezeigten IP-Adresse nicht erreichen. Es kommen keine Pakete an.
| rowspan="3" | link remote: [AF_INET]''' 192.0.2.192:1194<br> TLS Error: TLS key negotiation failed''' || colspan="2" | {{#var:Der Verbindungsaufbau kommt nicht zustande}}  
| Gegenprüfung auf der UTM:
* Login auf der UTM per Terminal oder z.B. putty als root.
* Paketsniffer starten {{code|tcpdump -ni eth0 port 1194}}
Es kommen keine Pakete an.
* IP-Adresse der angesprochenen Schnittstelle in der UTM überprüfen
* Verlassen die Pakete überhaupt den lokalen Rechner / das lokale Netz? (Lokale Firewall?)
| class="bild width-m" rowspan="1"| {{Bild| UTM_v11.8.8_tcpdump_ssl-vpn.PNG}}
|-
|-
| Es kommen Pakete an, die aber sofort verworfen werden || Menü {{Menu|Log}}<br>Tauchen die für den Verbindungsaufbau an die UTM gesendeten Pakete auf, werden aber gedroped, sind das Regelwerk bzw. die impliziten Regeln der Appliance zu überprüfen. || class="bild width-m" rowspan="1"| {{Bild| UTM_v11_Logdateien_SSL-VPN.png }}
| {{#var:Client-Log IP-Adresse nicht erreichen}} || {{#var:Client-Log IP-Adresse nicht erreichen--prüfen}}  
| class="Bild" rowspan="1" | {{Bild|{{#var:Client-Log IP-Adresse nicht erreichen--bild}} }}
|-
|-
| '''TLS Error: TLS handshake failed<br>TLS ERROR: TLS key negotiation faied''' || Die Authentifizierung schlägt fehl<br>Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü {{Menu|LOG}}) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked || {{Menu|Authentifizierung|Zertifikate|Wiederrufen|4=<span class="glyphicons glyphicons-undo glyphicons-size-14"></span> Entsperren des Zertifikats}}
| {{#var:Pakete werden verworfen}} || {{#var:Pakete werden verworfen--prüfen}} || class="Bild" rowspan="1" | {{Bild|{{#var:Pakete werden verworfen--bild}} }}
| class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_2016_Kein_Zertifikat2.png}}<br>{{Bild| UTM_v11_Log_SSL-VPN_Kein-Zertifikat2.png}}
|-
|-
| '''VERIFY ERROR''' || Ein Fehler bei der Verifizierung der CA || Menü {{Menu|Authentifizierung|Zertifikate|Zertifikate}} Verwenden Server-Zertifikat und Client-Zertifikat die gleiche CA?<br>Ist die CA noch gültig?
| TLS Error: TLS handshake failed<br> TLS ERROR: TLS key negotiation failed || {{#var:abbruch--tls-error--ursache}} || {{#var:abbruch--tls-error--lösung}}
| class="Bild" rowspan="1" | {{Bild|{{#var:abbruch--tls-error--bild1}} }}<br> {{Bild|{{#var:abbruch--tls-error--bild2}} }}
|-
|-
| '''ERROR: Received AUTH_FAILED Control Message''' || Benutzerauthentifizierung fehlgeschlagen 
| VERIFY ERROR || {{#var:Ein Fehler bei der Verifizierung der CA}} || {{#var:verify error--lösung}}  
* Username und Passwort stimmen nicht überein
oder
* die Berechtigung zum Aufbau einer SSL VPN-Verbindung fehlt.
|
* Neues Kennwort für den Benutzer vergeben, falls das alte nicht mehr vorliegen sollte.
* {{Menu|Authentifizierung|Benutzer|Gruppen|&nbsp;|w}} {{Reiter|Berechtigungen}} SSL-VPN-Berechtigung für die Gruppe des Benutzers erteilen
|-
|-
| '''ERROR: There are not TAP-Windows adapters on this system<br>
| ERROR: Received AUTH_FAILED Control Message || {{#var:abbruch--auth-failed}} || {{#var:abbruch--auth-failed--lösung}}  
ERROR: Application Exiting!'''
| fehlender Tap-Treiber
| Installation der aktuellsten Version des Clients aus dem [https://my.securepoint.de/downloads/cat/6/ Reseller-Portal] oder im Userinterface der UTM. Diese Versionen beinhalten einen aktuellen TAP-Treiber
| class="bild width-m" rowspan="1"| {{Bild| SSL-VPN-Client_Error_TAP-Treiber-fehlen.PNG }}
|-
|-
| class="Leerzeile" |<br><br>
| ERROR: There are not TAP-Windows adapters on this system<br>
ERROR: Application Exiting
| {{#var:abbruch--no-tap}}
| {{#var:Installation der aktuellsten Version des Clients}}
| class="Bild" rowspan="1" | {{Bild|{{#var:abbruch--no-tap--bild}} }}
|- class="Leerzeile"
|
|}
|}
</div></div></span>
</div>
----
----
{{pt3| SSL-VPN-CLient_Connected.PNG |hochkant=0.5}}
Wird eine bestehende Verbindung angezeigt, liegt der Fehler nicht mehr im Verbindungsaufbau. Sollte nun eine Verbindung durch den Tunnel nicht zustande kommen (z.B. PING auf einen Host im Netzwerk hinter dem Gateway), ist die Ursache auf der virtuellen Ebene zu suchen. Auch hier ist es eine gute Idee, zunächst das '''Portfilter-Regelwerk zu aktualisieren''' und einen Blick ins Livelog zu werfen.<br>
Das Livelog zeigt per Default Meldungen des Paketfilters an. Standardmäßig ist allerdings nur zu sehen, wenn die Default Policy Pakete verwirft, für die es keine passende Firewall-Regel gibt. Es läßt sich aber für selbst angelegte Firewall-Regeln das Logging konfigurieren, so daß auch ein Eintrag erscheint, wenn diese Regel greift.<br>
Dazu wird die zugehörige implizite Regel deaktiviert: {{Menu|Firewall|Implizite Regeln|VPN}} {{ic|SSL VPN UDP}} (ggf. TCP) {{ButtonAus|Aus}}
<br><br>
Es muss ein Netzwerkobjekt für die Roadwarrier geben:
{{Menu|Authentifizierung|Benutzer|Gruppen}} {{ic|ssl-vpn-user (bzw. entsprechende Gruppe)}} {{Button||w}} Reiter {{Reiter|SSL-VPN}} {{b| Im Portfilter verfügbar:}} {{ButtonAn| {{#var:ja}} }}




Es muss eine Portfilter Regel geben:
==== {{#var:keine-verbindung}} ====
{| class="sptable pd5"
{{Bild|{{#var:keine-verbindung--bild}} |class=Bild-t}}
! {{Kasten| Quelle }} !! {{Kasten| Ziel }} !! {{Kasten| Dienst }} || {{Kasten| Logging }}
<div class="Einrücken">
|-
{{#var:keine-verbindung--desc}}<br>
| {{ic|ssl-vpn-user|icon=ugrp}} || {{ic|internal-network|icon=net}} || {{ic|ssl-vpn|icon=dienste}} || {{ic|Short or Long|dr}}
{{#var:keine-verbindung--möglichkeiten}}  
|}
<br clear=all></div>
<br><br>
----
Bei der Fehlersuche ergeben sich drei Möglichkeiten:
 
# Das gesuchte Paket taucht nicht auf<br>→ Ist kein Paket im Livelog sichtbar, dann kommt vermutlich auch keins an der Firewall an. Der Fehler ist hier also auf dem Client zu suchen.<br><br>
# Das gesuchte Paket taucht auf und es wird verworfen (DROP)<br>→ Wenn ein Paket verworfen wird, fehlt die passende FW-Regel, sie ist inkorrekt formuliert oder noch nicht wirksam (Regelwerk noch nicht aktualisiert). Der Fehler liegt also auf dem Gateway<br><br>
# Das gesuchte Paket taucht auf und es wird akzeptiert (ACCEPT)<br>→ Wenn ein Paket angenommen wird, dann liegt der Fehler in Richtung Zielhost.<br><br>


----
===== {{#var:Prüfung Client}} =====
<div class="Einrücken">
'''{{#var:Prüfung Client}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}}


{| class="sptable pd5 mw-collapsible mw-collapsed dezent" data-expandtext="anzeigen" data-collapsetext="ausblenden"
{| class="sptable2 pd5 zh1"
|+ Prüfung Client
|-
|-
! mögliche Ursache !! Prüfen !! Problembeschreibung / Lösungsansatz
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Problembeschreibung}} / {{#var:Lösungsansatz}}
| class="Bild" rowspan="2" | {{Bild|SSL-VPN_Routen.PNG}}
|- class="height-auto"
| rowspan="3" | {{#var:Fehlende Routen}} || {{#var:Fehlende Routen--prüfen}} {{code|route print}} || {{#var:Fehlende Routen--lösung}}
|-
|-
| rowspan="3" | '''fehlende Routen''' || Commandozeile im Client: {{code|route print}} || Finden sich die korrekten Routingeinträge dort nicht, muss im Log des VPN-Clients geprüft werden, ob sie vom Server übertragen oder ob sie nicht korrekt gesetzt werden konnten. || class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_Routen.PNG }}
| rowspan="2" | {{#var:Log-Datei im Client}} || {{#var:fehlende-routen--lösung--log-client}}
| class="Bild" rowspan="1" | {{Bild|SSL-VPN_Client_Routen-geladen.PNG}}
|-
|-
| rowspan="2" | Log-Datei im Client || Wurden die Routen nicht korrekt übertragen, müssen sie in den Einstellungen des SSL VPN-Servers ergänzt bzw. korrigiert werden. Im Beispiel wurde die Route zum Subnetz 10.20.30.0/24 korrekt übergeben.  || class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_Client_Routen-geladen.PNG}}
| {{#var:Weitere Netzwerke oder Eingabe einzelner Server}}
| class="Bild" rowspan="1" | {{Bild|{{#var:Weitere Netzwerke oder Eingabe einzelner Server--bild}}|||SSL-VPN|VPN|SSL-VPN}}
|-
|-
| Ergänzen der benötigten Netzwerke unter {{Menu|VPN|SSL-VPN}} bearbeiten der genutzten Verbindung {{Button||w}} Reiter {{Reiter| Allgemein}} {{b| Servernetzwerke freigeben:}}<br>Auswahl in der Clickbox von weiteren Netzwerken oder Eingabe einzelner Server  || class="bild width-s" rowspan="1"| {{Bild| UTM_v11.8.8_SSL-VPN_Servernetzwerke.png}}
| {{#var:Pakete verlassen den Client nicht}}  
|-
| {{#var:Pakete verlassen den Client nicht--prüfen}}  
| '''Pakete verlassen den Client nicht'''  ||
| {{#var:Pakete verlassen den Client nicht--lösung}}
* Login auf der UTM per Terminal oder z.B. putty als root.
|- class="Leerzeile"
* Paketsniffer starten {{code|tcpdump -i tun0 -nnp}}
|
| Werden hier keine Pakete angezeigt, kommt auch nichts durch den Tunnel an.<br>
Ggf. prüfen, ob eine Clientseitige oder dazwischen liegende Firewall die Pakete filtert
|}
|}
</div></div></span>
</div>
----
----


{| class="sptable pd5 mw-collapsible mw-collapsed dezent" data-expandtext="anzeigen" data-collapsetext="ausblenden"
 
|+ Prüfung Gateway
===== {{#var:Prüfung Gateway}} =====
<div class="Einrücken">
 
'''{{#var:Prüfung Gateway}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}}
 
{| class="sptable2 pd5 zh1"
|-
|-
! mögliche Ursache !! Prüfen !! Problembeschreibung / Lösungsansatz
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Problembeschreibung}} / {{#var:Lösungsansatz}}
| class="Bild" rowspan="2" | <small>{{Kasten|DROP: (DEFAULT DROP)|rot}} {{Kasten|10.10.0.2:49874 → tun0 → eth1 192.168.175.22:80|dgrau}}</small>
|-
|-
| '''Pakete werden gedropt''' || Livelog der UTM → {{ic|Nur Paketfiltermeldungen anzeigen|dr}} || Finden sich hier Pakete, die verworfen werden, muss das Regelwerk angepasst werden || class="bild width-m" rowspan="1"|<small>{{Kasten|DROP: (DEFAULT DROP)|rot}} {{Kasten|10.10.0.2:49874 → tun0 → eth1 192.168.175.22:80|dgrau}}</small>
| {{#var:Pakete werden gedroped}} || {{#var:Pakete werden gedroped--prüfen}} || {{#var:Pakete werden gedroped--lösung}}  
|-
|-
| '''Falsches Gateway für Tunnelverbindung''' || Livelog der UTM → {{ic|Nur Applikations- und Kernelmeldungen anzeigen|dr}} || Findet sich hier die Meldung '' bad source address'' werden die entsprechenden Pakete verworfen. Das Gateway der SSL-VPN-Verbindung muss angepasst werden: {{Menu|Authentifizierung|Benutzer|Gruppen <small>(bzw.Benutzer)</small> }} Gruppe bzw. Benutzer bearbeiten {{Button||w}} Reiter {{Reiter| SSL-VPN}} {{b| Remote Gateway:}} {{ic|Auswahl des Gateways, über das der Client die Verbindung herstellt|dr}} || class="bild width-m" rowspan="1"| <small>{{Kasten| m.mueller/192.168.178.114:62242 | grün}} {{Kasten|MULTI: bad source address from client [::] packet dropped|blau}}</small>
| {{#var:Falsches Gateway für Tunnelverbindung}} || {{#var:Falsches Gateway für Tunnelverbindung--prüfen}} || {{#var:Falsches Gateway für Tunnelverbindung--lösung}}  
| class="Bild" rowspan="1" | <small>{{Kasten|m.mueller/192.168.178.114:62242|grün}} {{Kasten|MULTI: bad source address from client [::] packet dropped|blau}}</small>
|-
|-
| '''Pakete werden accepted''' || Livelog der UTM || Finden sich Pakete, die nicht verworfen werden, muss das Problem beim Zielhost liegen
| {{#var:Pakete werden accepted}} || {{#var:Pakete werden accepted--prüfen}} || {{#var:Pakete werden accepted--lösung}}
|- class="Leerzeile"
|
|}
|}
</div></div></span>
</div>
----
----
Die Kommunikation zum Zielhost kann mit dem Paketsniffer tcpdump auf der zugehörigen Schnittstelle der UTM verfolgt werden:
* Login auf der UTM per Terminal oder z.B. putty als root.
* Paketsniffer starten {{code|tcpdump -i eth1 host 192.168.175.10 -nnp}}
----


{| class="sptable pd5 mw-collapsible mw-collapsed dezent" data-expandtext="anzeigen" data-collapsetext="ausblenden"
 
|+ Prüfung Zielhost
===== {{#var:Prüfung Zielhost}} =====
<div class="Einrücken">
 
'''{{#var:Prüfung Zielhost}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}}
 
{| class="sptable2 pd5 zh1"
|- class="Leerzeile"
| colspan="3" | {{#var:Prüfung Zielhost--desc}}
|-
|-
! style="min-width: 190px;" |  Meldung im LOG !! Problembeschreibung || Lösungsansatz
! {{#var:Meldung im LOG}} !! {{#var:Problembeschreibung}} !! {{#var:Lösungsansatz}}
| class="Bild" rowspan="3" | {{Bild|Tcpdump_eth1-arp.png}}
|-
|-
| '''ARP, Request who-has'''  || Host ist nicht erreichbar <br>Ist der Zielhost physikalisch nicht erreichbar, sind am internen Interface keine IP-Pakete sichtbar, wohl aber ARP-Requests, die das Gateway zur Ermittlung der MAC-Adresse des Zielhosts verschickt. Diese werden nicht beantwortet. ||  
| ARP, Request who-has || {{#var:arp--problem}} || {{#var:arp--lösung}}
* Ist der Host angeschaltet?
|- class="Leerzeile"
* Ist der Host im angesprochenen Netz?
|
| class="bild width-m" rowspan="1"| {{Bild| Tcpdump_eth1-arp.png }}
|-
|-
| rowspan="2" | '''ICMP echo request''' || Sobald an dieser Stelle TCP/IP-Pakete zu sehen sind, ist der Zielhost erreichbar, da die Zustellung dieser Pakete einen erfolgreichen ARP-Request voraussetzt. Es kommen jedoch keine Paket zurück. || Ist auf dem Zielhost eine lokale Firewall aktiviert? <br>Lokale Firewall prüfen
| rowspan="2" | ICMP echo request || {{#var:icmp--problem}} || {{#var:icmp--lösung}}
| class="bild width-m" rowspan="2"| {{Bild| Tcpdump_eth1-icmp-echo.png }}
| class="Bild" rowspan="3" | {{Bild|Tcpdump_eth1-icmp-echo.png}}
|-
|-
| Hat der Zielhost ein anderes / falsches Defaultgateway eingestellt, sind an der UTM die ARP-Requests für dieses Gateway sichtbar || Defaultgateway im Zielhost überprüfen und ggf. korrigieren. <br>Wird ein anderes Defaultgateway benötigt als dasjenige, über welches die SSL-VPN-Verbindung hergestellt wird muss eine Route für das Transfernetz im Zielhost eintragen werden.
| {{#var:icmp--gateway--problem}} || {{#var:icmp--gateway--lösung}}
|- class="Leerzeile"
|
|-
|-
| '''ICMP echo request<br>ARP, Request who-has''' || Fehler in der Netzwerkkonfiguration lassen sich anhand der an der UTM ankommendenARP-Anfragen weiter eingrenzen. Hier versucht der Zielhost, die MAC-Adresse des Quellhosts zu ermitteln, was auf eine falsche Subnetzmaske schliessen lässt || Subnetzmaske im Zielhost überprüfen
| ICMP echo request<br> ARP, Request who-has || {{#var:icmp-arp--problem}} || {{#var:icmp-arp--lösung}}
| class="bild width-m" rowspan="1"| {{Bild| Tcpdump_eth1-subnetz.png }}
| class="Bild" rowspan="2" | {{Bild|Tcpdump_eth1-subnetz.png}}
|- class="Leerzeile"
|
|}
|}
</div></div></span>
</div>
----

Aktuelle Version vom 29. Mai 2024, 10:47 Uhr





























De.png
En.png
Fr.png








Troubleshooting-Guide um Probleme bei einer SSL-VPN-Verbindung zu beheben
Letzte Anpassung zur Version: 12.6.0
Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

12.5.3


notempty
Dieser Leitfaden sollte Schrittweise abgearbeitet werden.
Wichtig ist dabei ein systematisches Vorgehen!


Erste Maßnahmen

Mögliche Ursache Prüfen Lösungsansatz
Portfilter Regeln greifen nicht Menü Firewall Paketfilter Regeln aktualisieren blinkt Vorhandene Regeln müssen übernommen werden mit Regeln aktualisieren


Client Download nicht möglich

SSL-VPN Client Download UTMbenutzer@firewall.name.fqdnfirewall-user UTM v12.6.0 Userinterface RW.png

Userinterface wird nicht angezeigt

Mögliche Ursache Prüfen Lösungsansatz Servereinstellungen UTMbenutzer@firewall.name.fqdnNetzwerk UTM v12.6.0 Netzwerk Servereinstellungen Webserver.png
Falscher Port für User Webinterface Menü Netzwerk Servereinstellungen  Bereich Servereinstellungen
Webserver
User Webinterface Port: 443Link=
Ist hier ein anderer Wert als Port 443 (https) eingetragen, muss der Port im URL des Browsers mit angegeben werden, z.B.: firewall.ttt-point.de:xxx
Die UTM befindet sich hinter einem Router (Fritzbox etc.) Beispiel Fritzbox: Menü Internet / Freigaben / Portfreigaben Die Fritzbox bzw. der Router muss eine Portweiterleitung zur externen IP-Adresse der UTM zulassen.
Zugriff auf Port 443 ist nicht freigegeben Menü Firewall Implizite Regeln
oder (besser)
Firewall Paketfilter
Entweder der Zugriff auf das User Interface wird über die Impliziten Regeln freigegeben oder (besser) über dezidierte Portfilter Regeln. Implizite Regeln UTMbenutzer@firewall.name.fqdnFirewall UTM v12.6.0 Firewall Implizite Regeln SSL-VPN-RW.png
Im Regelwerk (DESTNAT) ist Port 443 schon belegt Firewall Paketfilter https    Der Port für das Userinterface muss geändert werden.
Reverse Proxy für https eingerichtet Menü Anwendungen Reverse Proxy Wurde ein Reverse Proxy auch für https eingerichtet, muss der Port für das Userinterface geändert werden.


Benutzer kann sich nicht im Userinterface anmelden

Mögliche Ursache Prüfen Lösungsansatz IDS/IPS UTMbenutzer@firewall.name.fqdnAnwendungen UTM v12.6.0 Anwendungen IDS-IPS Sperrungen-user.png
Benutzer wird durch FailToBan gesperrt Menü Anwendungen IDS / IPS  Bereich Sperrungen Evtl. wurde schon mehrmals das Kennwort für den Benutzernamen falsch eingegeben.
Aktuelle Sperrung prüfen und ggf. entsperren
Benutzer / Gruppe hat keine Berechtigung Menü Authentifizierung Benutzer  Bereich Benutzer Schaltfläche SSL-VPN Client im Userinterface herunterladbar: Ja Diese Option muss in den Benutzereinstellungen aktiviert sein. Falls Einstellungen aus der Gruppe verwenden: aktiviert wurde, muss diese Option in den Gruppeneinstellungen aktiviert sein. Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6.0 Authentifizierung Benutzer SSL-VPN.png


Download-Option für den Client wird nicht angezeigt

Mögliche Ursache Prüfen Lösungsansatz Benutzer bearbeiten UTMbenutzer@firewall.name.fqdnAuthentifizierungBenutzer UTM v12.6.0 Authentifizierung Benutzer SSL-VPN.png
Benutzer / Gruppe hat keine Berechtigung Menü Authentifizierung Benutzer  Bereich Benutzer Schaltfläche SSL-VPN Client im Userinterface herunterladbar: Ja Diese Option muss in den Benutzereinstellungen aktiviert sein. Falls Einstellungen aus der Gruppe verwenden: aktiviert wurde, muss diese Option in den Gruppeneinstellungen aktiviert sein.


Verbindungsprobleme

Grundsätzlich gilt:
Wird keine Verbindung aufgebaut (erkennbar an dem roten Schloss-Symbol in der Infoleiste), kann sich der Fehler nur auf der physikalischen Ebene befinden.

Auswertung der Logdatei des SSL-VPN-Clients:

  • Doppelklick auf Client-Icon in der Taskleiste
  • Rechtsklick auf Verbindungseintrag
  • Log (Größere Schrift mit StrgMausrad nach oben)


Auswertung des Netzwerk-Verkehrs auf der UTM:

  • Für die Nutzung des Befehls tcpdump auf der UTM wird ein root-Benutzer benötigt.
  • Das Livelog zeigt per Default Meldungen des Paketfilters an. Standardmäßig ist allerdings nur zu sehen, wenn die Default Policy Pakete verwirft, für die es keine passende Firewall-Regel gibt. Es lässt sich aber für selbst angelegte Firewall-Regeln das Logging konfigurieren, so daß auch ein Eintrag erscheint, wenn diese Regel greift.
    • Dazu wird die zugehörige implizite Regel deaktiviert: Firewall Implizite Regeln  Bereich VPN SSL VPN UDP (ggf. TCP) Aus
    • Es muss ein Netzwerkobjekt für die Roadwarrior geben: Authentifizierung Benutzer  Bereich Gruppen ssl-vpn-user (bzw. entsprechende Gruppe) Bereich SSL-VPN Im Portfilter verfügbar: Ja
    • Es muss eine Portfilter Regel geben:

# Quelle Ziel Dienst NAT Aktion Aktiv
Dragndrop.png 4 Ipsetgroup.svg ssl-vpn-user Network.svg internal-network Service-group.svg ssl-vpn Accept Ein


Kommt nicht zustande oder wird abgebrochen

SSL-VPN-CLient Error.PNG


Verbindung
Fehlermeldung Mögliche Ursache Lösungsansatz SSL-VPN-Client Link-remote.PNG
link remote: [AF_INET] 192.0.2.192:1194
TLS Error: TLS key negotiation failed
Der Verbindungsaufbau kommt nicht zustande.
Der Client kann die UTM unter der im Client-Log angezeigten IP-Adresse nicht erreichen. Es kommen keine Pakete an. Gegenprüfung auf der UTM:
  • Login auf der UTM per Terminal oder z.B. putty als root.
  • Paketsniffer starten tcpdump -ni eth0 port 1194 Es kommen keine Pakete an.
  • IP-Adresse der angesprochenen Schnittstelle in der UTM überprüfen
  • Verlassen die Pakete überhaupt den lokalen Rechner / das lokale Netz? (Lokale Firewall?)
UTM v11.8.8 tcpdump ssl-vpn.PNG
Es kommen Pakete an, die aber sofort verworfen werden UTM v11 Logdateien SSL-VPN.png
TLS Error: TLS handshake failed
TLS ERROR: TLS key negotiation failed
Die Authentifizierung schlägt fehl.
Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü LOG ) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werden konnte. Hier wurde das Client-Zertifikat revoked.
Authentifizierung Zertifikate  Bereich Widerrufen Schaltfläche Entsperren des Zertifikats SSL-VPN 2016 Kein Zertifikat2.png

UTM v11 Log SSL-VPN Kein-Zertifikat2.png
VERIFY ERROR Ein Fehler bei der Verifizierung der CA. Menü Authentifizierung Zertifikate  Bereich Zertifikate Verwenden Server-Zertifikat und Client-Zertifikat die gleiche CA?
Ist die CA noch gültig?
ERROR: Received AUTH_FAILED Control Message Benutzerauthentifizierung fehlgeschlagen.
Username und Passwort stimmen nicht überein oder die Berechtigung zum Aufbau einer SSL VPN-Verbindung fehlt.
  • Neues Kennwort für den Benutzer vergeben, falls das alte nicht mehr vorliegen sollte.
  • Authentifizierung Benutzer  Bereich Gruppen Schaltfläche Berechtigungen SSL-VPN-Berechtigung für die Gruppe des Benutzers erteilen
ERROR: There are not TAP-Windows adapters on this system

ERROR: Application Exiting

Fehlender Tap-Treiber Installation der aktuellsten Version des Clients aus dem Reseller-Portal oder im Userinterface der UTM. Diese Versionen beinhalten einen aktuellen TAP-Treiber. SSL-VPN-Client Error TAP-Treiber-fehlen.PNG


Keine Verbindung zum Zielhost

SSL-VPN-CLient Connected.PNG

Wird eine bestehende Verbindung angezeigt, liegt der Fehler nicht mehr im Verbindungsaufbau. Sollte nun eine Verbindung durch den Tunnel nicht zustande kommen (z.B. PING auf einen Host im Netzwerk hinter dem Gateway), ist die Ursache auf der virtuellen Ebene zu suchen. Auch hier ist es eine gute Idee, zunächst das Portfilter-Regelwerk zu aktualisieren und einen Blick ins Livelog zu werfen.
Bei der Fehlersuche ergeben sich drei Möglichkeiten:

  1. Das gesuchte Paket taucht nicht auf
    → Ist kein Paket im Livelog sichtbar, dann kommt vermutlich auch keines an der Firewall an. Der Fehler ist hier also auf dem Client zu suchen.
  2. Das gesuchte Paket taucht auf und es wird verworfen (DROP)
    → Wenn ein Paket verworfen wird, fehlt die passende FW-Regel, sie ist inkorrekt formuliert oder noch nicht wirksam (Regelwerk noch nicht aktualisiert). Der Fehler liegt also auf dem Gateway
  3. Das gesuchte Paket taucht auf und es wird akzeptiert (ACCEPT)
    → Wenn ein Paket angenommen wird, dann liegt der Fehler in Richtung Zielhost.



Prüfung Client
Prüfung Client
Mögliche Ursache Prüfen Problembeschreibung / Lösungsansatz SSL-VPN Routen.PNG
Fehlende Routen Commandozeile im Client: route print Finden sich die korrekten Routingeinträge dort nicht, muss im Log des VPN-Clients geprüft werden, ob sie vom Server übertragen oder ob sie nicht korrekt gesetzt werden konnten.
Log-Datei im Client Wurden die Routen nicht korrekt übertragen, müssen sie in den Einstellungen des SSL VPN-Servers ergänzt bzw. korrigiert werden. Im Beispiel wurde die Route zum Subnetz 10.20.30.0/24 korrekt übergeben. SSL-VPN Client Routen-geladen.PNG
Ergänzen der benötigten Netzwerke unter VPN SSL-VPN bearbeiten der genutzten Verbindung Reiter Allgemein Servernetzwerke freigeben:
Auswahl in der Clickbox von weiteren Netzwerken oder Eingabe einzelner Server.
SSL-VPN UTMbenutzer@firewall.name.fqdnVPNSSL-VPN UTM v12.6.0 SSL-VPN RW Servernezwerke.png
Pakete verlassen den Client nicht
  • Login auf der UTM per Terminal oder z.B. putty als root.
  • Paketsniffer starten tcpdump -i tun0 -nnp
Werden hier keine Pakete angezeigt, kommt auch nichts durch den Tunnel an.
Ggf. prüfen, ob eine Client seitige oder dazwischen liegende Firewall die Pakete filtert


Prüfung Gateway
Prüfung Gateway
Mögliche Ursache Prüfen Problembeschreibung / Lösungsansatz DROP: (DEFAULT DROP) 10.10.0.2:49874 → tun0 → eth1 192.168.175.22:80
Pakete werden gedroped Livelog der UTM → Nur Paketfiltermeldungen anzeigen Finden sich hier Pakete, die verworfen werden, muss das Regelwerk angepasst werden
Falsches Gateway für Tunnelverbindung Livelog der UTM → Nur Applikations- und Kernelmeldungen anzeigen Findet sich hier die Meldung bad source address werden die entsprechenden Pakete verworfen. Das Gateway der SSL-VPN-Verbindung muss angepasst werden: Authentifizierung Benutzer  Bereich Gruppen (bzw.Benutzer) Gruppe bzw. Benutzer bearbeiten Reiter SSL-VPN Remote Gateway: Auswahl des Gateways, über das der Client die Verbindung herstellt m.mueller/192.168.178.114:62242 MULTI: bad source address from client [::] packet dropped
Pakete werden accepted Livelog der UTM Finden sich Pakete, die nicht verworfen werden, muss das Problem beim Zielhost liegen


Prüfung Zielhost
Prüfung Zielhost
Die Kommunikation zum Zielhost kann mit dem Paketsniffer tcpdump auf der zugehörigen Schnittstelle der UTM verfolgt werden:
  • Login auf der UTM per Terminal oder z.B. putty als root.
  • Paketsniffer starten tcpdump -i eth1 host 192.168.175.10 -nnp
Meldung im LOG Problembeschreibung Lösungsansatz Tcpdump eth1-arp.png
ARP, Request who-has Zielhost ist nicht erreichbar.
Ist der Zielhost physikalisch nicht erreichbar, sind am internen Interface keine IP-Pakete sichtbar, wohl aber ARP-Requests, die das Gateway zur Ermittlung der MAC-Adresse des Zielhosts verschickt. Diese werden nicht beantwortet.
  • Ist der Zielhost angeschaltet?
  • Ist der Zielhost im angesprochenen Netz?
ICMP echo request Sobald an dieser Stelle TCP/IP-Pakete zu sehen sind, ist der Zielhost erreichbar, da die Zustellung dieser Pakete einen erfolgreichen ARP-Request voraussetzt. Es kommen jedoch keine Paket zurück. Ist auf dem Zielhost eine lokale Firewall aktiviert?
Lokale Firewall prüfen.
Tcpdump eth1-icmp-echo.png
Hat der Zielhost ein anderes / falsches Defaultgateway eingestellt, sind an der UTM die ARP-Requests für dieses Gateway sichtbar Defaultgateway im Zielhost überprüfen und ggf. korrigieren.
Wird ein anderes Defaultgateway benötigt als dasjenige, über welches die SSL-VPN-Verbindung hergestellt wird muss eine Route für das Transfernetz im Zielhost eintragen werden.
ICMP echo request
ARP, Request who-has
Fehler in der Netzwerkkonfiguration lassen sich anhand der an der UTM ankommenden ARP-Anfragen weiter eingrenzen. Hier versucht der Zielhost, die MAC-Adresse des Quellhosts zu ermitteln, was auf eine falsche Subnetzmaske schliessen lässt Subnetzmaske im Zielhost überprüfen Tcpdump eth1-subnetz.png