|
|
Zeile 76: |
Zeile 76: |
| oder | | oder |
| * die Berechtigung zum Aufbau einer SSL VPN-Verbindung fehlt. | | * die Berechtigung zum Aufbau einer SSL VPN-Verbindung fehlt. |
| | |- |
| | | ERROR: There are not TAP-Windows adapters on this system<br> |
| | ERROR: Application Exiting! || fehlender Tap-Treiber || Installation der aktuellsten Version des Clients aus dem [[https://my.securepoint.de/downloads/cat/6/ | Reseller-Portal]] oder im Userinterface der UTM. Diese Versionen beinhalten einen TAP-Treiber |
| |} | | |} |
Version vom 1. April 2020, 18:08 Uhr
Erste Maßnahmen
mögliche Ursache |
Prüfen |
Lösungsansatz
|
Portfilter Regeln greifen nicht |
Menü Regeln aktualisieren blinkt |
Vorhandene Regeln müssen übernommen werden mit Regeln aktualisieren
|
Client Download nicht möglich
Problem |
mögliche Ursache |
Prüfen |
Lösungsansatz
|
Userinterface wird nicht angezeigt |
Falscher Port für User Webinterface |
Menü Reiter Servereinstellungen Kasten Webserver User Webinterface Port: 443 |
Ist hier ein anderer Wert als Port 443 (https) eingetragen, muss der Port im URL des Browsers mit angegeben werden, z.B.: firewall.ttt-point.de:xxx |
|
Befindet sich die UTM hinter einer Fritzbox etc.? |
Beispiel Fritzbox: Menü Internet / Freigaben / Portfreigaben |
Die Fritzbox bzw. der Router muss eine Portweiterleitung zur externen IP-Adresse der UTM zulassen.
|
Zugriff auf Port 443 ist nicht freigegeben |
Menü oder (besser)
|
Entweder der Zugriff auf das User Interface wird über die Impliziten Reglen freigegeben oder (besser) über dezidierte Portfilter Regeln. |
|
Im Regelwerk (DESTNAT) ist Port 443 schon belegt |
https |
Der Port für das Userinterface muss geändert werden
|
Reverse Proxy für https eingerichtet |
Menü |
Wurde ein Reverse Proxy auch für https eingerichtet, muss der Port für das Userinterface geändert werden
|
Benutzer kann sich nicht im Userinterface anmelden |
Benutzer wird durch FailToBan gesperrt |
Menü Reiter Sperrungen |
Evtl. wurde schon mehrmals das Kennwort für den Benutzernamen falsch eingegeben. Aktuelle Sperrung prüfen und ggf. entsperren |
|
Benutzer hat keine Berechtigung |
Menü Reiter Gruppen In welcher Gruppe ist der Benutzer? Welche Berechtigungen hat die Gruppe des Benutzers? |
Der Benutzer muss Mitglied einer Gruppe sein, die auf das Userinterface zugreifen darf (und über die SSL-VPN-Berechtigung verfügt). |
|
Download-Option für den CLient wird nicht angezeigt |
Benutzer / Gruppe hat keine Berechtigung |
Menü Reiter Benutzer Schaltfläche SSL-VPN Client im Userinterface herunterladbar: Ja |
Diese Option muss in den Benutzereinstellungen, bzw. falls Einstellungen aus der Gruppe verwenden: Ja aktiviert in den Gruppeneinstellungen verfügbar sein. |
|
Verbindung kommt nicht zustande
mögliche Ursache |
Prüfen |
Lösungsansatz
|
Es kommen keine Pakete an der UTM an |
- Login per Terminal/putty auf der UTM als root.
- Paketsniffer starten tcpdump -ni eth0 port 1194
|
Kommen keine Pakete an, befindet sich der Initiator der Verbindung sehr wahrscheinlich selber hinter einer Firewall, die den Port 1194 nicht ins Internet lässt.
|
|
Es kommen Pakete an, die aber sofort verworfen werden. |
Menü |
Tauchen die für den Verbindungsaufbau an die UTM gesendeten Pakete auf, weil sie vom Regelwerk der Appliance verworfen werden, sind das Regelwerk bzw. die impliziten Regeln zu überprüfen. |
|
Auswertung der Logdatei des SSL-VPN-Clients:
- Doppelklick auf Client-Icon in der Taskleiste
- Rechtsklick auf Verbindungseintrag
- Log
Verbindung wird mangels Authentifizierung abgebrochen
Fehlermeldung |
mögliche Ursache |
Lösungsansatz
|
TLS Error: TLS handshake failed TLS ERROR: TLS key negotiation faied |
Die Authentifizierung schlägt fehl Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü ) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked |
Reiter Wiederrufen Schaltfläche Entsperren des Zertifikats
|
|
VERIFY ERROR |
Ein Fehler bei der Verifizierung der CA |
|
TLS Error: TLS handshake failed
Wed Apr 01 16:12:37 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
ERROR: TLS error! See log for details
Wed Apr 01 16:12:37 2020 TLS Error: TLS handshake failed
Wed Apr 01 16:12:37 2020 SIGUSR1[soft,tls-error] received, process restarting
Wed Apr 01 16:12:37 2020 Restart pause, 5 second(s)
|
UTM verwirft die Pakete, die zum Verbindungsaufbau benötigt werden.
|
ERROR: Received AUTH_FAILED Control Message |
Benutzerauthentifizierung fehlgeschlagen |
- Username und Passwort nicht stimmen
oder
- die Berechtigung zum Aufbau einer SSL VPN-Verbindung fehlt.
|
ERROR: There are not TAP-Windows adapters on this system
ERROR: Application Exiting! || fehlender Tap-Treiber || Installation der aktuellsten Version des Clients aus dem [| Reseller-Portal] oder im Userinterface der UTM. Diese Versionen beinhalten einen TAP-Treiber
|