SSL VPN und 2-Faktor-Authentifizierung nicht möglich - bad encapsulated packet length from peer (18516)

Guten Morgen,

 

ich möchte mittels SSL VPN und 2-Faktor-Authentifizierung den Zugang ins Firmennetz bereitstellen. Die Anleitung https://community.sophos.com/kb/en-us/116038 habe ich auch bereits genutzt, jedoch ohne Erfolg. Die 2-Faktor-Authentifizierung funktioniert mit HTML5 ohne Probleme.

 

Beim Verbindungsaufbau erhalte ich eine "Bad Encapsulated packet length (18516)". Woher kommt dieser Wert? Ist dies ein Bug?

Schnittstelle:

External (WAN)
[An]
on eth1 [195.145.xxx.xx/29]
MTU 1500 · DEFAULT GW 195.145.xxx.xx
Added by installation wizard

 

Fernzugriff > SSL > Benutzer und Gruppen: VPN-Group / Lokale Netzwerke: Internet (Network)

Fernzugriff > Erweitert > Clientoptionen: DNS-Server #1 "local IP" / DNS-Server #2 "local IP"

 

Hier ein Log-Auszug von heute:

Fri Dec 21 10:52:37 2018 OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jun 23 2017
Fri Dec 21 10:52:37 2018 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.09
Enter Management Password:
Fri Dec 21 10:52:37 2018 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Dec 21 10:52:37 2018 Need hold release from management interface, waiting...
Fri Dec 21 10:52:37 2018 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Dec 21 10:52:37 2018 MANAGEMENT: CMD 'state on'
Fri Dec 21 10:52:37 2018 MANAGEMENT: CMD 'log all on'
Fri Dec 21 10:52:37 2018 MANAGEMENT: CMD 'hold off'
Fri Dec 21 10:52:37 2018 MANAGEMENT: CMD 'hold release'
Fri Dec 21 10:52:54 2018 MANAGEMENT: CMD 'username "Auth" "XusernameX"
Fri Dec 21 10:52:54 2018 MANAGEMENT: CMD 'password [...]'
Fri Dec 21 10:52:54 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Dec 21 10:52:54 2018 MANAGEMENT: >STATE:1545385974,RESOLVE,,,,,,
Fri Dec 21 10:52:57 2018 Attempting to establish TCP connection with [AF_INET]192.162.85.xxx:443 [nonblock]
Fri Dec 21 10:52:57 2018 MANAGEMENT: >STATE:1545385977,TCP_CONNECT,,,,,,
Fri Dec 21 10:52:58 2018 TCP connection established with [AF_INET]192.162.xx.xxx:443
Fri Dec 21 10:52:58 2018 TCPv4_CLIENT link local: [undef]
Fri Dec 21 10:52:58 2018 TCPv4_CLIENT link remote: [AF_INET]192.162.xx.xxx:443
Fri Dec 21 10:52:58 2018 MANAGEMENT: >STATE:1545385978,WAIT,,,,,,
Fri Dec 21 10:52:58 2018 WARNING: Bad encapsulated packet length from peer (18516), which must be > 0 and <= 1607 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Fri Dec 21 10:52:58 2018 Connection reset, restarting [0]
Fri Dec 21 10:52:58 2018 SIGUSR1[soft,connection-reset] received, process restarting
Fri Dec 21 10:52:58 2018 MANAGEMENT: >STATE:1545385978,RECONNECTING,connection-reset,,,,,
Fri Dec 21 10:52:58 2018 Restart pause, 5 second(s)
Fri Dec 21 10:53:03 2018 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Dec 21 10:53:03 2018 MANAGEMENT: >STATE:1545385983,RESOLVE,,,,,,
Fri Dec 21 10:53:05 2018 Attempting to establish TCP connection with [AF_INET]192.162.85.xxx:443 [nonblock]
Fri Dec 21 10:53:05 2018 MANAGEMENT: >STATE:1545385985,TCP_CONNECT,,,,,,
Fri Dec 21 10:53:06 2018 TCP connection established with [AF_INET]192.162.85.xxx:443
Fri Dec 21 10:53:06 2018 TCPv4_CLIENT link local: [undef]
Fri Dec 21 10:53:06 2018 TCPv4_CLIENT link remote: [AF_INET]192.162.85.xxx:443
Fri Dec 21 10:53:06 2018 MANAGEMENT: >STATE:1545385986,WAIT,,,,,,
Fri Dec 21 10:53:06 2018 WARNING: Bad encapsulated packet length from peer (18516), which must be > 0 and <= 1607 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Fri Dec 21 10:53:06 2018 Connection reset, restarting [0]
Fri Dec 21 10:53:06 2018 SIGUSR1[soft,connection-reset] received, process restarting
Fri Dec 21 10:53:06 2018 MANAGEMENT: >STATE:1545385986,RECONNECTING,connection-reset,,,,,
Fri Dec 21 10:53:06 2018 Restart pause, 5 second(s)
Fri Dec 21 10:53:10 2018 SIGTERM[hard,init_instance] received, process exiting
Fri Dec 21 10:53:10 2018 MANAGEMENT: >STATE:1545385990,EXITING,init_instance,,,,,

 

  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Please show a picture of the Edit of the Profile from "Fernzugriff > SSL > Benutzer und Gruppen".  Also, the section of the SSL VPN log from the UTM that corresponds to the client log above.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hallo Bob,

     

    ich konnte das Problem über die Weihnachtstage lösen. Hier fehlten noch individuelle Firewall-Regeln für den SSL VPN Pool bzw. DNS- und RDP-Freigaben zu den Terminal-Servern.

     

    Heute allerdings habe ich folgende Fehlermeldungen - ohne dass sich an der Sophos etwas geändert hat. In älteren Berichten aus 2017 sehe ich dies als Bug. Kann es sein?

    Derzeit ist die Firmwareversion 9.510-5

     

    2019:01:09-13:32:21 sophos01 aua[4047]: id="3006" severity="info" sys="System" sub="auth" name="Running _cleanup_up_children with max_run_time: 20"
    2019:01:09-13:32:21 sophos01 aua[4047]: id="3006" severity="info" sys="System" sub="auth" name="Child 4560 is running too long. Terminating child"
    2019:01:09-13:32:21 sophos01 aua[5236]: id="3006" severity="info" sys="System" sub="auth" name="Trying 192.168.x.xxx (adirectory)"
    2019:01:09-13:32:22 sophos01 aua[5236]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="109.41.xx.xx" host="" user="xyz" caller="openvpn" reason="DENIED"
     
     
  • In reply to fromthenorth:

    Since this is with Active Directory, try restarting winbindd:

    /var/mdw/scripts/ntlm restart

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Dies war nicht die Lösung. Seit dem Neustart der Applicance (100 Tage zuvor online) ist SSL VPN wieder möglich.