UTM/VPN/SSL VPN-Troubleshooting: Unterschied zwischen den Versionen

← Zum vorherigen Versionsunterschied Zum nächsten Versionsunterschied →

Version vom 1. April 2020, 14:51 Uhr

Erste Maßnahmen
mögliche Ursache	Prüfen	Lösungsansatz
Portfilter Regeln greifen nicht	Menü → Firewall →Portfilter Regeln aktualisieren blinkt	Vorhandene Regeln müssen übernommen werden mit Regeln aktualisieren

Client Download nicht möglich
Problem	mögliche Ursache	Prüfen	Lösungsansatz
Userinterface wird nicht angezeigt	Falscher Port für User Webinterface	Menü → Netzwerk →ServereinstellungenReiter Servereinstellungen Kasten Webserver User Webinterface Port: 443	Ist hier ein anderer Wert als Port 443 (https) eingetragen, muss der Port im URL des Browsers mit angegeben werden, z.B.: firewall.ttt-point.de:xxx
	Befindet sich die UTM hinter einer Fritzbox etc.?	Beispiel Fritzbox: Menü Internet / Freigaben / Portfreigaben	Die Fritzbox bzw. der Router muss eine Portweiterleitung zur externen IP-Adresse der UTM zulassen.
	Zugriff auf Port 443 ist nicht freigegeben	Menü → Firewall →Implizite Regeln oder (besser) → Firewall →Portfilter	Entweder der Zugriff auf das User Interface wird über die Impliziten Reglen freigegeben oder (besser) über dezidierte Portfilter Regeln.
	Im Regelwerk (DESTNAT) ist Port 443 schon belegt	→ Firewall →Portfilter https	Der Port für das Userinterface muss geändert werden
	Reverse Proxy für https eingerichtet	Menü → Anwendungen →Reverse Proxy	Wurde ein Reverse Proxy auch für https eingerichtet, muss der Port für das Userinterface geändert werden
Benutzer kann sich nicht im Userinterface anmelden	Benutzer wird durch FailToBan gesperrt	Menü → Anwendungen →IDS / IPSReiter Sperrungen	Evtl. wurde schon mehrmals das Kennwort für den Benutzernamen falsch eingegeben. Aktuelle Sperrung prüfen und ggf. entsperren
Benutzer kann sich nicht im Userinterface anmelden	Benutzer hat keine Berechtigung	Menü → Authentifizierung →BenutzerReiter Gruppen In welcher Gruppe ist der Benutzer? Welche Berechtigungen hat die Gruppe des Benutzers?	Der Benutzer muss Mitglied einer Gruppe sein, die auf das Userinterface zugreifen darf (und über die SSL-VPN-Berechtigung verfügt).
Download-Option für den CLient wird nicht angezeigt	Benutzer / Gruppe hat keine Berechtigung	Menü → Authentifizierung →BenutzerReiter Benutzer Schaltfläche SSL-VPN Client im Userinterface herunterladbar: Ja	Diese Option muss in den Benutzereinstellungen, bzw. falls Einstellungen aus der Gruppe verwenden: Ja aktiviert in den Gruppeneinstellungen verfügbar sein.

Verbindung kommt nicht zustande
mögliche Ursache	Prüfen	Lösungsansatz
Es kommen keine Pakete an der UTM an	Login per Terminal/putty auf der UTM als root. Paketsniffer starten tcpdump -ni eth0 port 1194	Kommen keine Pakete an, befindet sich der Initiator der Verbindung sehr wahrscheinlich selber hinter einer Firewall, die den Port 1194 nicht ins Internet lässt.
Es kommen Pakete an, die aber sofort verworfen werden.	Menü → Log	Tauchen die für den Verbindungsaufbau an die UTM gesendeten Pakete auf, weil sie vom Regelwerk der Appliance verworfen werden, sind das Regelwerk bzw. die impliziten Regeln zu überprüfen.

Auswertung der Logdatei des SSL-VPN-Clients:

Doppelklick auf Client-Icon in der Taskleiste
Rechtsklick auf Verbindungseintrag
Log

Verbindung wird mangels Authentifizierung abgebrochen
Fehlermeldung	mögliche Ursache	Lösungsansatz
TLS ERROR: TLS key negotiation faied	Die Authentifizierung schlägt fehl	Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü → LOG ) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked	→ Authentifizierung →ZertifikateReiter Wiederrufen Schaltfläche
VERIFY ERROR	Ein Fehler bei der Verifizierung der CA

@@ Zeile 50: / Zeile 50: @@
 |}
+Auswertung der Logdatei des SSL-VPN-Clients:
+* Doppelklick auf Client-Icon in der Taskleiste {{spc|vpn1|o|-}}
+* Rechtsklick auf Verbindungseintrag
+* {{spc|setting|o|-}} Log
 {| class="sptable pd5 mw-collapsible mw-collapsed dezent" data-expandtext="anzeigen" data-collapsetext="ausblenden"
 |+ Verbindung wird mangels Authentifizierung abgebrochen
-! mögliche Ursache !! Prüfen !! Lösungsansatz
+! Fehlermeldung !! mögliche Ursache !! Lösungsansatz
 |-
-| Die Authentifizierung schlägt fehl || Logdatei des Clients:
+| TLS ERROR: TLS key negotiation faied || Die Authentifizierung schlägt fehl || Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü {{Menu|LOG}}) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked || {{Menu|Authentifizierung|Zertifikate|Wiederrufen|4=<span class="glyphicons glyphicons-undo glyphicons-size-14"></span>}}
-* Doppelklick auf Client-Icon in der Taskleiste {{spc|vpn1|o|-|c=green}}
-* Rechtsklick auf Verbindungseintrag
-* {{spc|setting|o|-}} Log
-| Im folgenden Beispiel wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab.Das Livelog des Gateways zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked
 | class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_2016_Kein_Zertifikat2.png}}<br>{{Bild| UTM_v11_Log_SSL-VPN_Kein-Zertifikat2.png}}
+|-
+| VERIFY ERROR || Ein Fehler bei der Verifizierung der CA ||
 |}