Wechseln zu:Navigation, Suche
Wiki

UTM/VPN/SSL VPN-Troubleshooting: Unterschied zwischen den Versionen

Aus Securepoint Wiki
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 64: Zeile 64:
! mögliche Ursache !! Prüfen !! Lösungsansatz
! mögliche Ursache !! Prüfen !! Lösungsansatz
|-
|-
| Es kommen keine Pakete an der UTM an ||  
| '''Es kommen keine Pakete an der UTM an''' ||  
* Login auf der UTM per Terminal oder z.B. putty als root.
* Login auf der UTM per Terminal oder z.B. putty als root.
* Paketsniffer starten {{code|tcpdump -ni eth0 port 1194}}
* Paketsniffer starten {{code|tcpdump -ni eth0 port 1194}}
Zeile 70: Zeile 70:
| class="bild width-m" rowspan="1"| {{Bild| UTM_v11.8.8_tcpdump_ssl-vpn.PNG}}
| class="bild width-m" rowspan="1"| {{Bild| UTM_v11.8.8_tcpdump_ssl-vpn.PNG}}
|-
|-
| Es kommen Pakete an, die aber sofort verworfen werden. || Menü {{Menu|Log}} || Tauchen die für den Verbindungsaufbau an die UTM gesendeten Pakete auf, weil sie vom Regelwerk der Appliance verworfen werden, sind das Regelwerk bzw. die impliziten Regeln zu überprüfen. || class="bild width-m" rowspan="1"| {{Bild| UTM_v11_Logdateien_SSL-VPN.png }}
| '''Es kommen Pakete an, die aber sofort verworfen werden''' || Menü {{Menu|Log}} || Tauchen die für den Verbindungsaufbau an die UTM gesendeten Pakete auf, weil sie vom Regelwerk der Appliance verworfen werden, sind das Regelwerk bzw. die impliziten Regeln zu überprüfen. || class="bild width-m" rowspan="1"| {{Bild| UTM_v11_Logdateien_SSL-VPN.png }}
|-
|-
| class="Leerzeile" |<br><br>
| class="Leerzeile" |<br><br>
Zeile 86: Zeile 86:
! Fehlermeldung !! mögliche Ursache !! Lösungsansatz
! Fehlermeldung !! mögliche Ursache !! Lösungsansatz
|-
|-
| TLS Error: TLS handshake failed<br>TLS ERROR: TLS key negotiation faied || Die Authentifizierung schlägt fehl<br>Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü {{Menu|LOG}}) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked || {{Menu|Authentifizierung|Zertifikate|Wiederrufen|4=<span class="glyphicons glyphicons-undo glyphicons-size-14"></span> Entsperren des Zertifikats}}
| '''TLS Error: TLS handshake failed<br>TLS ERROR: TLS key negotiation faied''' || Die Authentifizierung schlägt fehl<br>Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü {{Menu|LOG}}) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked || {{Menu|Authentifizierung|Zertifikate|Wiederrufen|4=<span class="glyphicons glyphicons-undo glyphicons-size-14"></span> Entsperren des Zertifikats}}
| class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_2016_Kein_Zertifikat2.png}}<br>{{Bild| UTM_v11_Log_SSL-VPN_Kein-Zertifikat2.png}}
| class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_2016_Kein_Zertifikat2.png}}<br>{{Bild| UTM_v11_Log_SSL-VPN_Kein-Zertifikat2.png}}
|-
|-
| VERIFY ERROR || Ein Fehler bei der Verifizierung der CA ||
| '''VERIFY ERROR''' || Ein Fehler bei der Verifizierung der CA || Menü {{Menu|Authentifizierung|Zertifikate|Zertifikate}} Verwenden Server-Zertifikat und Client-Zertifikat die gleiche CA?<br>Ist die CA noch gültig?
|-
|-
| TLS Error: TLS handshake failed
| '''ERROR: Received AUTH_FAILED Control Message''' || Benutzerauthentifizierung fehlgeschlagen   
 
Wed Apr 01 16:12:37 2020 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
ERROR: TLS error! See log for details
Wed Apr 01 16:12:37 2020 TLS Error: TLS handshake failed
Wed Apr 01 16:12:37 2020 SIGUSR1[soft,tls-error] received, process restarting
Wed Apr 01 16:12:37 2020 Restart pause, 5 second(s)
| UTM verwirft die Pakete, die zum Verbindungsaufbau benötigt werden.
|-
| ERROR: Received AUTH_FAILED Control Message || Benutzerauthentifizierung fehlgeschlagen   
* Username und Passwort stimmen nicht überein
* Username und Passwort stimmen nicht überein
oder
oder
Zeile 108: Zeile 99:
* {{Menu|Authentifizierung|Benutzer|Gruppen|&nbsp;|w}} {{Reiter|Berechtigungen}} SSL-VPN-Berechtigung für die Gruppe des Benutzers erteilen
* {{Menu|Authentifizierung|Benutzer|Gruppen|&nbsp;|w}} {{Reiter|Berechtigungen}} SSL-VPN-Berechtigung für die Gruppe des Benutzers erteilen
|-
|-
| ERROR: There are not TAP-Windows adapters on this system<br>
| '''ERROR: There are not TAP-Windows adapters on this system<br>
ERROR: Application Exiting!  
ERROR: Application Exiting!'''
| fehlender Tap-Treiber  
| fehlender Tap-Treiber  
| Installation der aktuellsten Version des Clients aus dem [https://my.securepoint.de/downloads/cat/6/ Reseller-Portal] oder im Userinterface der UTM. Diese Versionen beinhalten einen TAP-Treiber
| Installation der aktuellsten Version des Clients aus dem [https://my.securepoint.de/downloads/cat/6/ Reseller-Portal] oder im Userinterface der UTM. Diese Versionen beinhalten einen aktuellen TAP-Treiber
|  class="bild width-m" rowspan="1"| {{Bild| SSL-VPN-Client_Error_TAP-Treiber-fehlen.PNG }}
|  class="bild width-m" rowspan="1"| {{Bild| SSL-VPN-Client_Error_TAP-Treiber-fehlen.PNG }}
|}
|}
Zeile 117: Zeile 108:
{{pt3| SSL-VPN-CLient_Connected.PNG |hochkant=0.5}}
{{pt3| SSL-VPN-CLient_Connected.PNG |hochkant=0.5}}
Wird eine bestehende Verbindung angezeigt, liegt der Fehler nicht mehr im Verbindungsaufbau. Sollte nun eine Verbindung durch den Tunnel nicht zustande kommen (z.B. PING auf einen Host im Netzwerk hinter dem Gateway), ist die Ursache auf der virtuellen Ebene zu suchen. Auch hier ist es eine gute Idee, zunächst das '''Portfilter-Regelwerk zu aktualisieren''' und einen Blick ins Livelog zu werfen.<br>
Wird eine bestehende Verbindung angezeigt, liegt der Fehler nicht mehr im Verbindungsaufbau. Sollte nun eine Verbindung durch den Tunnel nicht zustande kommen (z.B. PING auf einen Host im Netzwerk hinter dem Gateway), ist die Ursache auf der virtuellen Ebene zu suchen. Auch hier ist es eine gute Idee, zunächst das '''Portfilter-Regelwerk zu aktualisieren''' und einen Blick ins Livelog zu werfen.<br>
Das Livelog zeigt per Default Meldungen des Paketfilters an. Standardmäßig ist allerdings nur zu sehen, wenn die Default Policy Pakete verwirft, für die es keine passende Firewall-Regel gibt. Es läßt sich aber für jede Firewall-Regel das Logging konfigurieren, so daß auch ein Eintrag erscheint, wenn diese Regel greift.<br>
Das Livelog zeigt per Default Meldungen des Paketfilters an. Standardmäßig ist allerdings nur zu sehen, wenn die Default Policy Pakete verwirft, für die es keine passende Firewall-Regel gibt. Es läßt sich aber für selbst angelegte Firewall-Regeln das Logging konfigurieren, so daß auch ein Eintrag erscheint, wenn diese Regel greift.<br>
Dazu wird die zugehörige implizite Regel deaktiviert: {{Menu|Firewall|Implizite Regeln|VPN}} {{ic|SSL VPN UDP}} (ggf. TCP) {{ButtonAus|Aus}}
Dazu wird die zugehörige implizite Regel deaktiviert: {{Menu|Firewall|Implizite Regeln|VPN}} {{ic|SSL VPN UDP}} (ggf. TCP) {{ButtonAus|Aus}}
 
<br><br>
Es muss ein Netzwerkobjekt für die Roadwarrier geben:
Es muss ein Netzwerkobjekt für die Roadwarrier geben:
{{Menu|Authentifizierung|Benutzer|Gruppen}} {{ic|ssl-vpn-user (bzw. entsprechende Gruppe)}} {{Button||w}} Reiter {{Reiter|SSL-VPN}} {{b| Im Portfilter verfügbar:}} {{ButtonAn| {{#var:ja}} }}
{{Menu|Authentifizierung|Benutzer|Gruppen}} {{ic|ssl-vpn-user (bzw. entsprechende Gruppe)}} {{Button||w}} Reiter {{Reiter|SSL-VPN}} {{b| Im Portfilter verfügbar:}} {{ButtonAn| {{#var:ja}} }}
Zeile 130: Zeile 121:
| {{ic|ssl-vpn-user|icon=ugrp}} || {{ic|internal-network|icon=net}} || {{ic|ssl-vpn|icon=dienste}} || {{ic|Short or Long|dr}}
| {{ic|ssl-vpn-user|icon=ugrp}} || {{ic|internal-network|icon=net}} || {{ic|ssl-vpn|icon=dienste}} || {{ic|Short or Long|dr}}
|}
|}
 
<br><br>
Bei der Fehlersuche ergeben sich drei Möglichkeiten:
Bei der Fehlersuche ergeben sich drei Möglichkeiten:
# Das gesuchte Paket taucht nicht auf<br>→ Ist kein Paket im Livelog sichtbar, dann kommt vermutlich auch keins an der Firewall an. Der Fehler ist hier also auf dem Client zu suchen.<br><br>
# Das gesuchte Paket taucht nicht auf<br>→ Ist kein Paket im Livelog sichtbar, dann kommt vermutlich auch keins an der Firewall an. Der Fehler ist hier also auf dem Client zu suchen.<br><br>
Zeile 143: Zeile 134:
! mögliche Ursache !! Prüfen !! Problembeschreibung / Lösungsansatz
! mögliche Ursache !! Prüfen !! Problembeschreibung / Lösungsansatz
|-
|-
| rowspan="3" | fehlende Routen || Commandozeile im Client: {{code|route print}} || Finden sich die korrekten Routingeinträge dort nicht, muss im Log des VPN-Clients geprüft werden, ob sie vom Server übertragen oder ob sie nicht korrekt gesetzt werden konnten. || class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_Routen.PNG }}
| rowspan="3" | '''fehlende Routen''' || Commandozeile im Client: {{code|route print}} || Finden sich die korrekten Routingeinträge dort nicht, muss im Log des VPN-Clients geprüft werden, ob sie vom Server übertragen oder ob sie nicht korrekt gesetzt werden konnten. || class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_Routen.PNG }}
|-
|-
| rowspan="2" |Log-Datei im Client || Wurden die Routen nicht korrekt übertragen, müssen sie in den Einstellungen des SSL VPN-Servers ergänzt bzw. korrigiert werden. Im Beispiel wurde die Route zum Subnetz 10.20.30.0/24 korrekt übergeben.  || class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_Client_Routen-geladen.PNG}}
| rowspan="2" | Log-Datei im Client || Wurden die Routen nicht korrekt übertragen, müssen sie in den Einstellungen des SSL VPN-Servers ergänzt bzw. korrigiert werden. Im Beispiel wurde die Route zum Subnetz 10.20.30.0/24 korrekt übergeben.  || class="bild width-m" rowspan="1"| {{Bild| SSL-VPN_Client_Routen-geladen.PNG}}
|-
|-
| Ergänzen der benötigten Netzwerke unter {{Menu|VPN|SSL-VPN}} bearbeiten der genutzten Verbindung {{Button||w}} Reiter {{Reiter| Allgemein}} {{b| Servernetzwerke freigeben:}}<br>Auswahl in der Clickbox von weiteren Netzwerken oder Eingabe einzelner Server  || class="bild width-s" rowspan="1"| {{Bild| UTM_v11.8.8_SSL-VPN_Servernetzwerke.png}}
| Ergänzen der benötigten Netzwerke unter {{Menu|VPN|SSL-VPN}} bearbeiten der genutzten Verbindung {{Button||w}} Reiter {{Reiter| Allgemein}} {{b| Servernetzwerke freigeben:}}<br>Auswahl in der Clickbox von weiteren Netzwerken oder Eingabe einzelner Server  || class="bild width-s" rowspan="1"| {{Bild| UTM_v11.8.8_SSL-VPN_Servernetzwerke.png}}
|-
|-
| Pakete verlassen den Client nicht  ||  
| '''Pakete verlassen den Client nicht''' ||  
* Login auf der UTM per Terminal oder z.B. putty als root.
* Login auf der UTM per Terminal oder z.B. putty als root.
* Paketsniffer starten {{code|tcpdump -i tun0 -nnp}}
* Paketsniffer starten {{code|tcpdump -i tun0 -nnp}}
Zeile 162: Zeile 153:
! mögliche Ursache !! Prüfen !! Problembeschreibung / Lösungsansatz
! mögliche Ursache !! Prüfen !! Problembeschreibung / Lösungsansatz
|-
|-
| Pakete werden gedropt ||  
| '''Pakete werden gedropt''' ||  
* Livelog der UTM  
* Livelog der UTM  
|  
|  
* Finden sich Pakete, die verworfen werden, muss das Regelwerk angepasst werden
* Finden sich Pakete, die verworfen werden, muss das Regelwerk angepasst werden
|-
|-
| Pakete werden accepted ||  
| '''Pakete werden accepted''' ||  
* Livelog der UTM  
* Livelog der UTM  
|  
|  
Zeile 181: Zeile 172:
|+ Prüfung Zielhost
|+ Prüfung Zielhost
|-
|-
! mögliche Ursache !! style="min-width: 180px;" |  Meldung im LOG !! Problembeschreibung / Lösungsansatz
! style="min-width: 180px;" |  Meldung im LOG !! Problembeschreibung || Lösungsansatz
|-
|-
| Host ist nicht erreichbar ||  ARP, Request who-has || Ist der Zielhost physikalisch nicht erreichbar, sind am internen Interface keine IP-Pakete sichtbar, wohl aber ARP-Requests, die das Gateway zur Ermittlung der MAC-Adresse des Zielhosts verschickt. Diese werden nicht beantwortet.
| '''ARP, Request who-has'''  || Host ist nicht erreichbar <br>Ist der Zielhost physikalisch nicht erreichbar, sind am internen Interface keine IP-Pakete sichtbar, wohl aber ARP-Requests, die das Gateway zur Ermittlung der MAC-Adresse des Zielhosts verschickt. Diese werden nicht beantwortet. || {{f|???}}
| class="bild width-m" rowspan="1"| {{Bild| Tcpdump_eth1-arp.png }}
| class="bild width-m" rowspan="1"| {{Bild| Tcpdump_eth1-arp.png }}
|-
|-
| Lokale Firewall || ICMP echo request || Sobald an dieser Stelle TCP/IP-Pakete zu sehen sind, ist der Zielhost erreichbar, da die Zustellung dieser Pakete einen erfolgreichen ARP-Request voraussetzt. Ist keine Antwort zu sehen, ist anzunehmen, dass auf dem Zielhost eine lokale Firewall aktiviert ist
| '''ICMP echo request''' || Sobald an dieser Stelle TCP/IP-Pakete zu sehen sind, ist der Zielhost erreichbar, da die Zustellung dieser Pakete einen erfolgreichen ARP-Request voraussetzt. Ist keine Antwort zu sehen, ist anzunehmen, dass auf dem Zielhost eine lokale Firewall aktiviert ist || Lokale Firewall prüfen
| class="bild width-m" rowspan="1"| {{Bild| Tcpdump_eth1-icmp-echo.png }}
| class="bild width-m" rowspan="1"| {{Bild| Tcpdump_eth1-icmp-echo.png }}
|-
|-
| Subnetzmaske || ICMP echo request<br>ARP, Request who-has || Fehler in der Netzwerkkonfiguration lassen sich anhand der an der UTM ankommendenARP-Anfragen weiter eingrenzen. Hier versucht der Zielhost, die MAC-Adresse des Quellhosts zu ermitteln, was auf eine falsche Subnetzmaske schliessen lässt
| '''ICMP echo request<br>ARP, Request who-has''' || Fehler in der Netzwerkkonfiguration lassen sich anhand der an der UTM ankommendenARP-Anfragen weiter eingrenzen. Hier versucht der Zielhost, die MAC-Adresse des Quellhosts zu ermitteln, was auf eine falsche Subnetzmaske schliessen lässt || Subnetzmaske im Zielhost überprüfen
| class="bild width-m" rowspan="1"| {{Bild| Tcpdump_eth1-subnetz.png }}
| class="bild width-m" rowspan="1"| {{Bild| Tcpdump_eth1-subnetz.png }}
|-
|-
| Defaultgateway ||  || Hat der Zielhost ein falsches Defaultgateway eingestellt, sind an der UTM die ARP-Requests für dieses Gateway sichtbar
| '''{{f|???}}''' || Hat der Zielhost ein falsches Defaultgateway eingestellt, sind an der UTM die ARP-Requests für dieses Gateway sichtbar || Defaultgateway im Zielhost überprüfen
|}
|}

Version vom 3. April 2020, 09:02 Uhr




























Erste Maßnahmen
mögliche Ursache Prüfen Lösungsansatz
Portfilter Regeln greifen nicht Menü → Firewall →Portfilter Regeln aktualisieren blinkt Vorhandene Regeln müssen übernommen werden mit Regeln aktualisieren

UTM v11.8.8 Userinterface RW.png

Client Download nicht möglich

Userinterface wird nicht angezeigt
mögliche Ursache Prüfen Lösungsansatz
Falscher Port für User Webinterface Menü → Netzwerk →ServereinstellungenReiter Servereinstellungen Kasten
Webserver
 User Webinterface Port: 443Link=		 Ist hier ein anderer Wert als Port 443 (https) eingetragen, muss der Port im URL des Browsers mit angegeben werden, z.B.: firewall.ttt-point.de:xxx UTM v11.8.8 Netzwerk Servereinstellungen Webserver.png
Die UTM befindet sich hinter einem Router (Fritzbox etc.) Beispiel Fritzbox: Menü Internet / Freigaben / Portfreigaben Die Fritzbox bzw. der Router muss eine Portweiterleitung zur externen IP-Adresse der UTM zulassen.
Zugriff auf Port 443 ist nicht freigegeben Menü → Firewall →Implizite Regeln
oder (besser)
→ Firewall →Portfilter		 Entweder der Zugriff auf das User Interface wird über die Impliziten Reglen freigegeben oder (besser) über dezidierte Portfilter Regeln. UTM v11.8.8 SSL-VPN RW-Implied-Rules.png
Im Regelwerk (DESTNAT) ist Port 443 schon belegt → Firewall →Portfilter https     Der Port für das Userinterface muss geändert werden
Reverse Proxy für https eingerichtet Menü → Anwendungen →Reverse Proxy Wurde ein Reverse Proxy auch für https eingerichtet, muss der Port für das Userinterface geändert werden


Benutzer kann sich nicht im Userinterface anmelden
mögliche Ursache Prüfen Lösungsansatz
Benutzer wird durch FailToBan gesperrt Menü → Anwendungen →IDS / IPSReiter Sperrungen Evtl. wurde schon mehrmals das Kennwort für den Benutzernamen falsch eingegeben.
Aktuelle Sperrung prüfen und ggf. entsperren 		UTM v11.8.8 Anwendungen IDS-IPS Sperrungen-user.png
Benutzer hat keine Berechtigung Menü → Authentifizierung →BenutzerReiter Gruppen
In welcher Gruppe ist der Benutzer?
Welche Berechtigungen hat die Gruppe des Benutzers?		 Der Benutzer muss Mitglied einer Gruppe sein, die auf das Userinterface zugreifen darf (und über die SSL-VPN-Berechtigung verfügt). UTM v11.8.8 Authentifizierung Benutzer Gruppen RW Berechtigung.png


Download-Option für den CLient wird nicht angezeigt
mögliche Ursache Prüfen Lösungsansatz
Benutzer / Gruppe hat keine Berechtigung Menü → Authentifizierung →BenutzerReiter Benutzer Schaltfläche SSL-VPN Client im Userinterface herunterladbar: Ja Diese Option muss in den Benutzereinstellungen, bzw. falls Einstellungen aus der Gruppe verwenden: Ja aktiviert in den Gruppeneinstellungen verfügbar sein. UTM v11.8.8 Authentifizierung Benutzer Client.png


Grundsätzlich gilt:
Wird keine Verbindung aufgebaut (erkennbar an dem roten Schloss-Symbol in der Infoleiste), kann sich der Fehler nur auf der physikalischen Ebene befinden.

Verbindung kommt nicht zustande
SSL-VPN-CLient Error.PNG
mögliche Ursache Prüfen Lösungsansatz
Es kommen keine Pakete an der UTM an
  • Login auf der UTM per Terminal oder z.B. putty als root.
  • Paketsniffer starten tcpdump -ni eth0 port 1194
 Kommen keine Pakete an, befindet sich der Initiator der Verbindung sehr wahrscheinlich selber hinter einer Firewall, die den Port 1194 nicht ins Internet lässt. UTM v11.8.8 tcpdump ssl-vpn.PNG
Es kommen Pakete an, die aber sofort verworfen werden Menü → Log  Tauchen die für den Verbindungsaufbau an die UTM gesendeten Pakete auf, weil sie vom Regelwerk der Appliance verworfen werden, sind das Regelwerk bzw. die impliziten Regeln zu überprüfen. UTM v11 Logdateien SSL-VPN.png


Auswertung der Logdatei des SSL-VPN-Clients:

  • Doppelklick auf Client-Icon in der Taskleiste
  • Rechtsklick auf Verbindungseintrag
  • Log
Verbindung wird mangels Authentifizierung abgebrochen
SSL-VPN-CLient Error.PNG
Fehlermeldung mögliche Ursache Lösungsansatz
TLS Error: TLS handshake failed
TLS ERROR: TLS key negotiation faied		 Die Authentifizierung schlägt fehl
Es wurde eine Verbindung initiiert und das Serverzertifikat vom Client verifiziert. Der Verbindungsaufbau bricht aber mit einem Timeout ab. Das Livelog des Gateways (UTM Menü → LOG ) zeigt bei den Applikations-und Kernelmeldungen eine Fehlermeldung, die besagt, dass das Zertifikat des Clients nicht verifiziert werdenkonnte. Hier wurde das Client-Zertifikat revoked		 → Authentifizierung →ZertifikateReiter Wiederrufen Schaltfläche Entsperren des Zertifikats SSL-VPN 2016 Kein Zertifikat2.png

UTM v11 Log SSL-VPN Kein-Zertifikat2.png
VERIFY ERROR Ein Fehler bei der Verifizierung der CA Menü → Authentifizierung →ZertifikateReiter Zertifikate Verwenden Server-Zertifikat und Client-Zertifikat die gleiche CA?
Ist die CA noch gültig?
ERROR: Received AUTH_FAILED Control Message Benutzerauthentifizierung fehlgeschlagen
  • Username und Passwort stimmen nicht überein

oder

  • die Berechtigung zum Aufbau einer SSL VPN-Verbindung fehlt.
  • Neues Kennwort für den Benutzer vergeben, falls das alte nicht mehr vorliegen sollte.
  • → Authentifizierung →BenutzerReiter Gruppen Schaltfläche   Berechtigungen SSL-VPN-Berechtigung für die Gruppe des Benutzers erteilen
ERROR: There are not TAP-Windows adapters on this system

ERROR: Application Exiting!

fehlender Tap-Treiber Installation der aktuellsten Version des Clients aus dem Reseller-Portal oder im Userinterface der UTM. Diese Versionen beinhalten einen aktuellen TAP-Treiber SSL-VPN-Client Error TAP-Treiber-fehlen.PNG

SSL-VPN-CLient Connected.PNG

Wird eine bestehende Verbindung angezeigt, liegt der Fehler nicht mehr im Verbindungsaufbau. Sollte nun eine Verbindung durch den Tunnel nicht zustande kommen (z.B. PING auf einen Host im Netzwerk hinter dem Gateway), ist die Ursache auf der virtuellen Ebene zu suchen. Auch hier ist es eine gute Idee, zunächst das Portfilter-Regelwerk zu aktualisieren und einen Blick ins Livelog zu werfen.
Das Livelog zeigt per Default Meldungen des Paketfilters an. Standardmäßig ist allerdings nur zu sehen, wenn die Default Policy Pakete verwirft, für die es keine passende Firewall-Regel gibt. Es läßt sich aber für selbst angelegte Firewall-Regeln das Logging konfigurieren, so daß auch ein Eintrag erscheint, wenn diese Regel greift.
Dazu wird die zugehörige implizite Regel deaktiviert: → Firewall →Implizite RegelnReiter VPN SSL VPN UDP (ggf. TCP) Aus

Es muss ein Netzwerkobjekt für die Roadwarrier geben: → Authentifizierung →BenutzerReiter Gruppen ssl-vpn-user (bzw. entsprechende Gruppe) Reiter SSL-VPN Im Portfilter verfügbar: Ja


Es muss eine Portfilter Regel geben:

Quelle
Ziel
Dienst
Logging
Ipsetgroup.svg ssl-vpn-user Network.svg internal-network Service-group.svg ssl-vpn Short or Long



Bei der Fehlersuche ergeben sich drei Möglichkeiten:

  1. Das gesuchte Paket taucht nicht auf
    → Ist kein Paket im Livelog sichtbar, dann kommt vermutlich auch keins an der Firewall an. Der Fehler ist hier also auf dem Client zu suchen.

  2. Das gesuchte Paket taucht auf und es wird verworfen (DROP)
    → Wenn ein Paket verworfen wird, fehlt die passende FW-Regel, sie ist inkorrekt formuliert oder noch nicht wirksam (Regelwerk noch nicht aktualisiert). Der Fehler liegt also auf dem Gateway

  3. Das gesuchte Paket taucht auf und es wird akzeptiert (ACCEPT)
    → Wenn ein Paket angenommen wird, dann liegt der Fehler in Richtung Zielhost.

Prüfung Client
mögliche Ursache Prüfen Problembeschreibung / Lösungsansatz
fehlende Routen Commandozeile im Client: route print Finden sich die korrekten Routingeinträge dort nicht, muss im Log des VPN-Clients geprüft werden, ob sie vom Server übertragen oder ob sie nicht korrekt gesetzt werden konnten. SSL-VPN Routen.PNG
Log-Datei im Client Wurden die Routen nicht korrekt übertragen, müssen sie in den Einstellungen des SSL VPN-Servers ergänzt bzw. korrigiert werden. Im Beispiel wurde die Route zum Subnetz 10.20.30.0/24 korrekt übergeben. SSL-VPN Client Routen-geladen.PNG
Ergänzen der benötigten Netzwerke unter → VPN →SSL-VPN bearbeiten der genutzten Verbindung Reiter Allgemein Servernetzwerke freigeben:
Auswahl in der Clickbox von weiteren Netzwerken oder Eingabe einzelner Server		 UTM v11.8.8 SSL-VPN Servernetzwerke.png
Pakete verlassen den Client nicht
  • Login auf der UTM per Terminal oder z.B. putty als root.
  • Paketsniffer starten tcpdump -i tun0 -nnp
 Werden hier keine Pakete angezeigt, kommt auch nichts durch den Tunnel an.

Ggf. prüfen, ob eine Clientseitige oder dazwischen liegende Firewall die Pakete filtert

Prüfung Gateway
mögliche Ursache Prüfen Problembeschreibung / Lösungsansatz
Pakete werden gedropt
  • Livelog der UTM
  • Finden sich Pakete, die verworfen werden, muss das Regelwerk angepasst werden
Pakete werden accepted
  • Livelog der UTM
  • Finden sich Pakete, die nicht verworfen werden, muss das Problem beim Zielhost liegen

Die Kommunikation zum Zielhost kann mit dem Paketsniffer tcpdump auf der zugehörigen Schnittstelle der UTM verfolgt werden:

  • Login auf der UTM per Terminal oder z.B. putty als root.
  • Paketsniffer starten tcpdump -i eth1 host 192.168.175.10 -nnp
Prüfung Zielhost
Meldung im LOG Problembeschreibung Lösungsansatz
ARP, Request who-has Host ist nicht erreichbar
Ist der Zielhost physikalisch nicht erreichbar, sind am internen Interface keine IP-Pakete sichtbar, wohl aber ARP-Requests, die das Gateway zur Ermittlung der MAC-Adresse des Zielhosts verschickt. Diese werden nicht beantwortet.		 Nur für interne Prüfzwecke Tcpdump eth1-arp.png
ICMP echo request Sobald an dieser Stelle TCP/IP-Pakete zu sehen sind, ist der Zielhost erreichbar, da die Zustellung dieser Pakete einen erfolgreichen ARP-Request voraussetzt. Ist keine Antwort zu sehen, ist anzunehmen, dass auf dem Zielhost eine lokale Firewall aktiviert ist Lokale Firewall prüfen Tcpdump eth1-icmp-echo.png
ICMP echo request
ARP, Request who-has		 Fehler in der Netzwerkkonfiguration lassen sich anhand der an der UTM ankommendenARP-Anfragen weiter eingrenzen. Hier versucht der Zielhost, die MAC-Adresse des Quellhosts zu ermitteln, was auf eine falsche Subnetzmaske schliessen lässt Subnetzmaske im Zielhost überprüfen Tcpdump eth1-subnetz.png
Nur für interne Prüfzwecke Hat der Zielhost ein falsches Defaultgateway eingestellt, sind an der UTM die ARP-Requests für dieses Gateway sichtbar Defaultgateway im Zielhost überprüfen
Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VPN/SSL_VPN-Troubleshooting&oldid=72569