KKeine Bearbeitungszusammenfassung |
K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“) |
||
(11 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{Set_lang}} | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-vpn-client}} | {{#vardefine:headerIcon|spicon-vpn-client}} | ||
{{:UTM/VPN/SSL VPN-Troubleshooting.lang}} | |||
</div><div class="new_design"></div>{{Select_lang}}{{TOC2}} | |||
{{Header|12.6.0| | |||
* {{#var:neu--rwi}} | |||
|[[UTM/VPN/SSL_VPN-Troubleshooting_v12.5.3 | 12.5.3]] | |||
}} | |||
---- | |||
<div class="Einrücken"> | |||
{{Hinweis-box|{{#var:Leitfaden Schrittweise abarbeiten-Hinweis}}|g|fs__icon=em2}} | |||
</div> | |||
---- | |||
=== {{#var:Erste Maßnahmen}} === | |||
{| class=" | {| class="sptable2 pd5 zh1 Einrücken" | ||
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Lösungsansatz}} | |||
|- | |- | ||
| Portfilter Regeln greifen nicht || | | {{#var:Portfilter Regeln greifen nicht}} || {{#var:Portfilter Regeln greifen nicht--prüfen}} || {{#var:Portfilter Regeln greifen nicht--lösung}} | ||
|} | |} | ||
---- | ---- | ||
{| | |||
=== {{#var:Client Download nicht möglich}} === | |||
! mögliche Ursache !! Prüfen !! Lösungsansatz | {{Bild|{{#var:Client Download nicht möglich--Bild}} |||SSL-VPN Client Download|firewall-user|class=Bild-t}} | ||
<br clear=all> | |||
'''{{#var:Userinterface wird nicht angezeigt}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}} | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Lösungsansatz}} | |||
| class="Bild" rowspan="3" | {{Bild|{{#var:Userinterface wird nicht angezeigt--bild}}|||{{#var:Servereinstellungen}}|{{#var:Netzwerk}}|icon=fa-save}} | |||
|- | |- | ||
| | | {{#var:Falscher Port für User Webinterface}} || {{#var:Falscher Port für User Webinterface--prüfen}} || {{#var:Falscher Port für User Webinterface--lösung}} | ||
|- class="Leerzeile" | |||
| | |||
|- | |- | ||
| | | {{#var:UTM hinter Router}} || {{#var:UTM hinter Router--prüfen}} || {{#var:UTM hinter Router--lösung}} | ||
|- | |- | ||
| | | {{#var:Zugriff auf Port nicht freigegeben}} || {{#var:Zugriff auf Port nicht freigegeben--prüfen}} || {{#var:Zugriff auf Port nicht freigegeben--lösung}} | ||
| class="Bild" rowspan="2" | {{Bild|{{#var:Zugriff auf Port nicht freigegeben--bild}}|||{{#var:Implizite Regeln}}|Firewall|icon=fa-save}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |- | ||
| | | {{#var:Im Regelwerk DESTNAT Port belegt}} || {{Menu-UTM|Firewall|{{#var:Paketfilter}} }} {{ic|https   |rechts|icon=suche}} || {{#var:Im Regelwerk DESTNAT Port belegt--lösung}} | ||
|- | |- | ||
| | | {{#var:Reverse Proxy für https eingerichtet}} || {{#var:Reverse Proxy für https eingerichtet--prüfen}} || {{#var:Reverse Proxy für https eingerichtet--lösung}} | ||
|- | |- class="Leerzeile" | ||
| | |||
|} | |} | ||
</div></div></span> | |||
{| class=" | |||
| | |||
'''{{#var:Benutzer kann sich nicht im Userinterface anmelden}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}} | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Lösungsansatz}} | |||
| class="Bild" rowspan="3" | {{Bild| {{#var:Benutzer wird durch FailToBan gesperrt--bild}} |||IDS/IPS|{{#var:Anwendungen}}|icon=fa-save}} | |||
|- | |- | ||
| {{#var:Benutzer wird durch FailToBan gesperrt}} || {{#var:Benutzer wird durch FailToBan gesperrt--prüfen}} || {{#var:Benutzer wird durch FailToBan gesperrt--lösung}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |- | ||
| | | {{#var:Benutzer hat keine Berechtigung}} || {{#var:Benutzer hat keine Berechtigung--prüfen}} || {{#var:Benutzer hat keine Berechtigung--lösung}} | ||
| class="Bild" rowspan="2" | {{Bild|{{#var:Benutzer hat keine Berechtigung--bild}}|||{{#var:Benutzer bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
</div></div></span> | |||
'''{{#var:Download-Option für Client nicht angezeigt}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}} | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |- | ||
| | ! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Lösungsansatz}} | ||
| class="Bild" rowspan="3" | {{Bild|{{#var:Benutzer hat keine Berechtigung--bild}}|||{{#var:Benutzer bearbeiten}}|{{#var:Authentifizierung}}|{{#var:Benutzer}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|- | |- | ||
| class="Leerzeile" | | | {{#var:Benutzer hat keine Berechtigung}} || {{#var:Benutzer hat keine Berechtigung--prüfen}} || {{#var:Benutzer hat keine Berechtigung--lösung}} | ||
|- class="Leerzeile" | |||
| | |||
|} | |} | ||
</div></div></span> | |||
---- | |||
-- | === {{#var:Verbindungsprobleme}} === | ||
<div class="Einrücken"> | |||
'''{{#var:Grundsätzlich gilt}}:'''<br> | |||
{{#var:Grundsätzlich gilt--desc}} | |||
<br> | |||
'''{{#var:Auswertung Logdatei SSL-VPN-Client}}:'''<br> | |||
{{#var:Auswertung Logdatei SSL-VPN-Client--desc}} | |||
<br> | <br> | ||
'''{{#var:Auswertung des Netzwerk-Verkehrs auf der UTM}}:'''<br> | |||
* {{#var:Auswertung des Netzwerk-Verkehrs auf der UTM--desc}} | |||
* {{#var:livelog}} | |||
** {{#var:livelog-implizite Regel}} | |||
** {{#var:livelog-Netzwerkobjekt}} | |||
** {{#var:Es muss eine Portfilter Regel geben}}: | |||
<br clear=all></div> | |||
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | |||
|- class="bold small no1cell" | |||
| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| class="bc__default" | {{#var:IPSec-Regel-external-interface--desc}} || {{spc|drag|o|-}} || 4 || {{spc|ugrp|o|-}} ssl-vpn-user || {{spc|network|o|-}} internal-network || {{spc|dienste|o|-}} ssl-vpn || || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|} | |||
---- | ---- | ||
==== {{#var:Kommt nicht zustande oder wird abgebrochen}} ==== | |||
<div class="Einrücken"> | |||
! Fehlermeldung !! mögliche Ursache !! Lösungsansatz | {{Bild|SSL-VPN-CLient_Error.PNG|class=Bild-t}} | ||
<br clear=all> | |||
'''{{#var:verbindung}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}} | |||
{| class="sptable2 pd5 zh1" | |||
! {{#var:Fehlermeldung}} !! {{#var:mögliche Ursache}} !! {{#var:Lösungsansatz}} | |||
| class="Bild" rowspan="2" | {{Bild|SSL-VPN-Client_Link-remote.PNG }} | |||
|- | |- | ||
| rowspan="3 | | rowspan="3" | link remote: [AF_INET]''' 192.0.2.192:1194<br> TLS Error: TLS key negotiation failed''' || colspan="2" | {{#var:Der Verbindungsaufbau kommt nicht zustande}} | ||
|- | |- | ||
| | | {{#var:Client-Log IP-Adresse nicht erreichen}} || {{#var:Client-Log IP-Adresse nicht erreichen--prüfen}} | ||
| | | class="Bild" rowspan="1" | {{Bild|{{#var:Client-Log IP-Adresse nicht erreichen--bild}} }} | ||
| class=" | |||
|- | |- | ||
| | | {{#var:Pakete werden verworfen}} || {{#var:Pakete werden verworfen--prüfen}} || class="Bild" rowspan="1" | {{Bild|{{#var:Pakete werden verworfen--bild}} }} | ||
|- | |- | ||
| | | TLS Error: TLS handshake failed<br> TLS ERROR: TLS key negotiation failed || {{#var:abbruch--tls-error--ursache}} || {{#var:abbruch--tls-error--lösung}} | ||
| class=" | | class="Bild" rowspan="1" | {{Bild|{{#var:abbruch--tls-error--bild1}} }}<br> {{Bild|{{#var:abbruch--tls-error--bild2}} }} | ||
|- | |- | ||
| | | VERIFY ERROR || {{#var:Ein Fehler bei der Verifizierung der CA}} || {{#var:verify error--lösung}} | ||
|- | |- | ||
| | | ERROR: Received AUTH_FAILED Control Message || {{#var:abbruch--auth-failed}} || {{#var:abbruch--auth-failed--lösung}} | ||
|- | |- | ||
| | | ERROR: There are not TAP-Windows adapters on this system<br> | ||
ERROR: Application Exiting | ERROR: Application Exiting | ||
| | | {{#var:abbruch--no-tap}} | ||
| Installation der aktuellsten Version des Clients | | {{#var:Installation der aktuellsten Version des Clients}} | ||
| | | class="Bild" rowspan="1" | {{Bild|{{#var:abbruch--no-tap--bild}} }} | ||
|- | |- class="Leerzeile" | ||
| | |||
|} | |} | ||
</div></div></span> | |||
</div> | |||
---- | ---- | ||
==== {{#var:keine-verbindung}} ==== | |||
{{Bild|{{#var:keine-verbindung--bild}} |class=Bild-t}} | |||
<div class="Einrücken"> | |||
{{#var:keine-verbindung--desc}}<br> | |||
{{#var:keine-verbindung--möglichkeiten}} | |||
<br clear=all></div> | |||
<br>< | ---- | ||
===== {{#var:Prüfung Client}} ===== | |||
<div class="Einrücken"> | |||
'''{{#var:Prüfung Client}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}} | |||
{| class=" | {| class="sptable2 pd5 zh1" | ||
|- | |- | ||
! mögliche Ursache !! Prüfen !! Problembeschreibung / Lösungsansatz | ! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Problembeschreibung}} / {{#var:Lösungsansatz}} | ||
| class="Bild" rowspan="2" | {{Bild|SSL-VPN_Routen.PNG}} | |||
|- class="height-auto" | |||
| rowspan="3" | {{#var:Fehlende Routen}} || {{#var:Fehlende Routen--prüfen}} {{code|route print}} || {{#var:Fehlende Routen--lösung}} | |||
|- | |- | ||
| rowspan=" | | rowspan="2" | {{#var:Log-Datei im Client}} || {{#var:fehlende-routen--lösung--log-client}} | ||
| class="Bild" rowspan="1" | {{Bild|SSL-VPN_Client_Routen-geladen.PNG}} | |||
|- | |- | ||
| | | {{#var:Weitere Netzwerke oder Eingabe einzelner Server}} | ||
| class="Bild" rowspan="1" | {{Bild|{{#var:Weitere Netzwerke oder Eingabe einzelner Server--bild}}|||SSL-VPN|VPN|SSL-VPN}} | |||
|- | |- | ||
| | | {{#var:Pakete verlassen den Client nicht}} | ||
| | | {{#var:Pakete verlassen den Client nicht--prüfen}} | ||
| {{#var:Pakete verlassen den Client nicht--lösung}} | |||
|- class="Leerzeile" | |||
| | |||
| | |||
|} | |} | ||
</div></div></span> | |||
</div> | |||
---- | ---- | ||
{ | |||
===== {{#var:Prüfung Gateway}} ===== | |||
<div class="Einrücken"> | |||
'''{{#var:Prüfung Gateway}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}} | |||
{| class="sptable2 pd5 zh1" | |||
|- | |- | ||
! mögliche Ursache !! Prüfen !! Problembeschreibung / Lösungsansatz | ! {{#var:mögliche Ursache}} !! {{#var:Prüfen}} !! {{#var:Problembeschreibung}} / {{#var:Lösungsansatz}} | ||
| class="Bild" rowspan="2" | <small>{{Kasten|DROP: (DEFAULT DROP)|rot}} {{Kasten|10.10.0.2:49874 → tun0 → eth1 192.168.175.22:80|dgrau}}</small> | |||
|- | |- | ||
| | | {{#var:Pakete werden gedroped}} || {{#var:Pakete werden gedroped--prüfen}} || {{#var:Pakete werden gedroped--lösung}} | ||
|- | |- | ||
| | | {{#var:Falsches Gateway für Tunnelverbindung}} || {{#var:Falsches Gateway für Tunnelverbindung--prüfen}} || {{#var:Falsches Gateway für Tunnelverbindung--lösung}} | ||
| class="Bild" rowspan="1" | <small>{{Kasten|m.mueller/192.168.178.114:62242|grün}} {{Kasten|MULTI: bad source address from client [::] packet dropped|blau}}</small> | |||
|- | |- | ||
| | | {{#var:Pakete werden accepted}} || {{#var:Pakete werden accepted--prüfen}} || {{#var:Pakete werden accepted--lösung}} | ||
|- class="Leerzeile" | |||
| | |||
|} | |} | ||
</div></div></span> | |||
</div> | |||
---- | ---- | ||
{| class=" | |||
| | ===== {{#var:Prüfung Zielhost}} ===== | ||
<div class="Einrücken"> | |||
'''{{#var:Prüfung Zielhost}}''' {{Einblenden| {{#var:anzeigen}} | {{#var:ausblenden}} |true|dezent}} | |||
{| class="sptable2 pd5 zh1" | |||
|- class="Leerzeile" | |||
| colspan="3" | {{#var:Prüfung Zielhost--desc}} | |||
|- | |- | ||
| class=" | ! {{#var:Meldung im LOG}} !! {{#var:Problembeschreibung}} !! {{#var:Lösungsansatz}} | ||
| class="Bild" rowspan="3" | {{Bild|Tcpdump_eth1-arp.png}} | |||
|- | |- | ||
| ARP, Request who-has || {{#var:arp--problem}} || {{#var:arp--lösung}} | |||
|- class="Leerzeile" | |||
| | |||
|- | |- | ||
| | | rowspan="2" | ICMP echo request || {{#var:icmp--problem}} || {{#var:icmp--lösung}} | ||
| class="Bild" rowspan="3" | {{Bild|Tcpdump_eth1-icmp-echo.png}} | |||
| class=" | |||
|- | |- | ||
| | | {{#var:icmp--gateway--problem}} || {{#var:icmp--gateway--lösung}} | ||
| class=" | |- class="Leerzeile" | ||
| | |||
|- | |- | ||
| | | ICMP echo request<br> ARP, Request who-has || {{#var:icmp-arp--problem}} || {{#var:icmp-arp--lösung}} | ||
| class="Bild" rowspan="2" | {{Bild|Tcpdump_eth1-subnetz.png}} | |||
|- class="Leerzeile" | |||
| class=" | | | ||
|} | |} | ||
</div></div></span> | |||
</div> | |||
---- |
Aktuelle Version vom 29. Mai 2024, 10:47 Uhr
- Aktualisierung zum Redesign des Webinterfaces
Wichtig ist dabei ein systematisches Vorgehen!
Erste Maßnahmen
Mögliche Ursache | Prüfen | Lösungsansatz |
---|---|---|
Portfilter Regeln greifen nicht | Menü | blinktVorhandene Regeln müssen übernommen werden mit |
Client Download nicht möglich
UTMbenutzer@firewall.name.fqdnfirewall-user
Userinterface wird nicht angezeigt
Benutzer kann sich nicht im Userinterface anmelden
Download-Option für den Client wird nicht angezeigt
Verbindungsprobleme
Grundsätzlich gilt:
Wird keine Verbindung aufgebaut (erkennbar an dem roten Schloss-Symbol in der Infoleiste), kann sich der Fehler nur auf der physikalischen Ebene befinden.
Auswertung der Logdatei des SSL-VPN-Clients:
- Doppelklick auf Client-Icon in der Taskleiste
- Rechtsklick auf Verbindungseintrag
- Log (Größere Schrift mit StrgMausrad nach oben)
Auswertung des Netzwerk-Verkehrs auf der UTM:
- Für die Nutzung des Befehls tcpdump auf der UTM wird ein root-Benutzer benötigt.
- Das Livelog zeigt per Default Meldungen des Paketfilters an. Standardmäßig ist allerdings nur zu sehen, wenn die Default Policy Pakete verwirft, für die es keine passende Firewall-Regel gibt. Es lässt sich aber für selbst angelegte Firewall-Regeln das Logging konfigurieren, so daß auch ein Eintrag erscheint, wenn diese Regel greift.
- Dazu wird die zugehörige implizite Regel deaktiviert: VPN SSL VPN UDP (ggf. TCP) Aus Bereich
- Es muss ein Netzwerkobjekt für die Roadwarrior geben: Gruppen ssl-vpn-user (bzw. entsprechende Gruppe) Bereich SSL-VPN Im Portfilter verfügbar: Ja Bereich
- Es muss eine Portfilter Regel geben:
# | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
4 | ssl-vpn-user | internal-network | ssl-vpn | Accept | Ein |
Kommt nicht zustande oder wird abgebrochen
Keine Verbindung zum Zielhost
Wird eine bestehende Verbindung angezeigt, liegt der Fehler nicht mehr im Verbindungsaufbau. Sollte nun eine Verbindung durch den Tunnel nicht zustande kommen (z.B. PING auf einen Host im Netzwerk hinter dem Gateway), ist die Ursache auf der virtuellen Ebene zu suchen. Auch hier ist es eine gute Idee, zunächst das Portfilter-Regelwerk zu aktualisieren und einen Blick ins Livelog zu werfen.
Bei der Fehlersuche ergeben sich drei Möglichkeiten:
- Das gesuchte Paket taucht nicht auf
→ Ist kein Paket im Livelog sichtbar, dann kommt vermutlich auch keines an der Firewall an. Der Fehler ist hier also auf dem Client zu suchen. - Das gesuchte Paket taucht auf und es wird verworfen (DROP)
→ Wenn ein Paket verworfen wird, fehlt die passende FW-Regel, sie ist inkorrekt formuliert oder noch nicht wirksam (Regelwerk noch nicht aktualisiert). Der Fehler liegt also auf dem Gateway - Das gesuchte Paket taucht auf und es wird akzeptiert (ACCEPT)
→ Wenn ein Paket angenommen wird, dann liegt der Fehler in Richtung Zielhost.
Prüfung Client
Prüfung Gateway
Mögliche Ursache | Prüfen | Problembeschreibung / Lösungsansatz | DROP: (DEFAULT DROP) 10.10.0.2:49874 → tun0 → eth1 192.168.175.22:80 |
---|---|---|---|
Pakete werden gedroped | Livelog der UTM → Nur Paketfiltermeldungen anzeigen | Finden sich hier Pakete, die verworfen werden, muss das Regelwerk angepasst werden | |
Falsches Gateway für Tunnelverbindung | Livelog der UTM → Nur Applikations- und Kernelmeldungen anzeigen | Findet sich hier die Meldung bad source address werden die entsprechenden Pakete verworfen. Das Gateway der SSL-VPN-Verbindung muss angepasst werden: Gruppen (bzw.Benutzer) Gruppe bzw. Benutzer bearbeiten Reiter SSL-VPN Remote Gateway: Auswahl des Gateways, über das der Client die Verbindung herstellt | Bereichm.mueller/192.168.178.114:62242 MULTI: bad source address from client [::] packet dropped |
Pakete werden accepted | Livelog der UTM | Finden sich Pakete, die nicht verworfen werden, muss das Problem beim Zielhost liegen | |