Ist hier ein anderer Wert als Port 443 (https) eingetragen, muss der Port im URL des Browsers mit angegeben werden, z.B.: firewall.ttt-point.de:xxx
Befindet sich die UTM hinter einer Fritzbox etc.?
Beispiel Fritzbox: Menü Internet / Freigaben / Portfreigaben
Die Fritzbox bzw. der Router muss eine Portweiterleitung zur externen IP-Adresse der UTM zulassen.
Zugriff auf Port 443 ist nicht freigegeben
Menü → Firewall →Implizite Regeln oder (besser) → Firewall →Portfilter
Entweder der Zugriff auf das User Interface wird über die Impliziten Reglen freigegeben oder (besser) über dezidierte Portfilter Regeln.
Im Regelwerk (DESTNAT) ist Port 443 schon belegt
→ Firewall →Portfilterhttps
Der Port für das Userinterface muss geändert werden
Reverse Proxy für https eingerichtet
Menü → Anwendungen →Reverse Proxy
Wurde ein Reverse Proxy auch für https eingerichtet, muss der Port für das Userinterface geändert werden
Benutzer kann sich nicht im Userinterface anmelden
Benutzer wird durch FailToBan gesperrt
Menü → Anwendungen →IDS / IPSReiter Sperrungen
Evtl. wurde schon mehrmals das Kennwort für den Benutzernamen falsch eingegeben. Aktuelle Sperrung prüfen und ggf. entsperren
Benutzer hat keine Berechtigung
Menü → Authentifizierung →BenutzerReiter Gruppen In welcher Gruppe ist der Benutzer? Welche Berechtigungen hat die Gruppe des Benutzers?
Der Benutzer muss Mitglied einer Gruppe sein, die auf das Userinterface zugreifen darf (und über die SSL-VPN-Berechtigung verfügt).
Download-Option für den CLient wird nicht angezeigt
Benutzer / Gruppe hat keine Berechtigung
Menü → Authentifizierung →BenutzerReiter Benutzer Schaltfläche SSL-VPNClient im Userinterface herunterladbar:Ja
Diese Option muss in den Benutzereinstellungen, bzw. falls Einstellungen aus der Gruppe verwenden:Ja aktiviert in den Gruppeneinstellungen verfügbar sein.
Grundsätzlich gilt:
Solange noch keine Verbindung aufgebaut wurde (erkennbar an dem roten Schloss-Symbol in der Infoleiste), kann sich der Fehler nur auf der physikalischen Ebene befinden.
Verbindung kommt nicht zustande
mögliche Ursache
Prüfen
Lösungsansatz
Es kommen keine Pakete an der UTM an
Öffnen des CLI (Login per Terminal oder z.B. putty) auf der UTM als root.
Paketsniffer starten tcpdump -ni eth0 port 1194
Kommen keine Pakete an, befindet sich der Initiator der Verbindung sehr wahrscheinlich selber hinter einer Firewall, die den Port 1194 nicht ins Internet lässt.
Es kommen Pakete an, die aber sofort verworfen werden.
Menü → Log
Tauchen die für den Verbindungsaufbau an die UTM gesendeten Pakete auf, weil sie vom Regelwerk der Appliance verworfen werden, sind das Regelwerk bzw. die impliziten Regeln zu überprüfen.
Auswertung der Logdatei des SSL-VPN-Clients:
Doppelklick auf Client-Icon in der Taskleiste
Rechtsklick auf Verbindungseintrag
Log
Verbindung wird mangels Authentifizierung abgebrochen
Die Authentifizierung schlägt fehl Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü → LOG ) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked
→ Authentifizierung →ZertifikateReiter Wiederrufen Schaltfläche Entsperren des Zertifikats
VERIFY ERROR
Ein Fehler bei der Verifizierung der CA
TLS Error: TLS handshake failed
Wed Apr 01 16:12:37 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
ERROR: TLS error! See log for details
Wed Apr 01 16:12:37 2020 TLS Error: TLS handshake failed
Wed Apr 01 16:12:37 2020 SIGUSR1[soft,tls-error] received, process restarting
Wed Apr 01 16:12:37 2020 Restart pause, 5 second(s)
UTM verwirft die Pakete, die zum Verbindungsaufbau benötigt werden.
ERROR: Received AUTH_FAILED Control Message
Benutzerauthentifizierung fehlgeschlagen
Username und Passwort stimmen nicht überein
oder
die Berechtigung zum Aufbau einer SSL VPN-Verbindung fehlt.
Neues Kennwort für den Benutzer vergeben, falls das alte nicht mehr vorliegen sollte.
→ Authentifizierung →BenutzerReiter Gruppen Schaltfläche Berechtigungen SSL-VPN-Berechtigung für die Gruppe des Benutzers erteilen
ERROR: There are not TAP-Windows adapters on this system
ERROR: Application Exiting!
fehlender Tap-Treiber
Installation der aktuellsten Version des Clients aus dem Reseller-Portal oder im Userinterface der UTM. Diese Versionen beinhalten einen TAP-Treiber
Wird eine bestehende Verbindung angezeigt, liegt der Fehler nicht mehr im Verbindungsaufbau. Sollte nun eine Verbindung durch den Tunnel nicht zustande kommen (z.B. PING auf einen Host im Netzwerk hinter dem Gateway), ist die Ursache auf der virtuellen Ebene zu suchen. Auch hier ist es eine gute Idee, zunächst das Portfilter-Regelwerk zu aktualisieren und einen Blick ins Livelog zu werfen.