Erste Maßnahmen
mögliche Ursache |
Prüfen |
Lösungsansatz
|
Portfilter Regeln greifen nicht |
Menü Regeln aktualisieren blinkt |
Vorhandene Regeln müssen übernommen werden mit Regeln aktualisieren
|
Client Download nicht möglich
Problem |
mögliche Ursache |
Prüfen |
Lösungsansatz
|
Userinterface wird nicht angezeigt |
Falscher Port für User Webinterface |
Menü Reiter Servereinstellungen Kasten Webserver User Webinterface Port: 443 |
Ist hier ein anderer Wert als Port 443 (https) eingetragen, muss der Port im URL des Browsers mit angegeben werden, z.B.: firewall.ttt-point.de:xxx |
|
Befindet sich die UTM hinter einer Fritzbox etc.? |
Beispiel Fritzbox: Menü Internet / Freigaben / Portfreigaben |
Die Fritzbox bzw. der Router muss eine Portweiterleitung zur externen IP-Adresse der UTM zulassen.
|
Zugriff auf Port 443 ist nicht freigegeben |
Menü oder (besser)
|
Entweder der Zugriff auf das User Interface wird über die Impliziten Reglen freigegeben oder (besser) über dezidierte Portfilter Regeln. |
|
Im Regelwerk (DESTNAT) ist Port 443 schon belegt |
https |
Der Port für das Userinterface muss geändert werden
|
Reverse Proxy für https eingerichtet |
Menü |
Wurde ein Reverse Proxy auch für https eingerichtet, muss der Port für das Userinterface geändert werden
|
Benutzer kann sich nicht im Userinterface anmelden |
Benutzer wird durch FailToBan gesperrt |
Menü Reiter Sperrungen |
Evtl. wurde schon mehrmals das Kennwort für den Benutzernamen falsch eingegeben. Aktuelle Sperrung prüfen und ggf. entsperren |
|
Benutzer hat keine Berechtigung |
Menü Reiter Gruppen In welcher Gruppe ist der Benutzer? Welche Berechtigungen hat die Gruppe des Benutzers? |
Der Benutzer muss Mitglied einer Gruppe sein, die auf das Userinterface zugreifen darf (und über die SSL-VPN-Berechtigung verfügt). |
|
Download-Option für den CLient wird nicht angezeigt |
Benutzer / Gruppe hat keine Berechtigung |
Menü Reiter Benutzer Schaltfläche SSL-VPN Client im Userinterface herunterladbar: Ja |
Diese Option muss in den Benutzereinstellungen, bzw. falls Einstellungen aus der Gruppe verwenden: Ja aktiviert in den Gruppeneinstellungen verfügbar sein. |
|
Verbindung kommt nicht zustande
mögliche Ursache |
Prüfen |
Lösungsansatz
|
Es kommen keine Pakete an der UTM an |
- Login per Terminal/putty auf der UTM als root.
- Paketsniffer starten tcpdump -ni eth0 port 1194
|
Kommen keine Pakete an, befindet sich der Initiator der Verbindung sehr wahrscheinlich selber hinter einer Firewall, die den Port 1194 nicht ins Internet lässt.
|
|
Es kommen Pakete an, die aber sofort verworfen werden. |
Menü |
Tauchen die für den Verbindungsaufbau an die UTM gesendeten Pakete auf, weil sie vom Regelwerk der Appliance verworfen werden, sind das Regelwerk bzw. die impliziten Regeln zu überprüfen. |
|
Auswertung der Logdatei des SSL-VPN-Clients:
- Doppelklick auf Client-Icon in der Taskleiste
- Rechtsklick auf Verbindungseintrag
- Log
Verbindung wird mangels Authentifizierung abgebrochen
Fehlermeldung |
mögliche Ursache |
Lösungsansatz
|
TLS ERROR: TLS key negotiation faied |
Die Authentifizierung schlägt fehl |
Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü ) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked |
Reiter Wiederrufen Schaltfläche
|
|
VERIFY ERROR |
Ein Fehler bei der Verifizierung der CA |
|