This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos SSL VPN Installationspaket ohne Zertifikte

Liebes Forum,

leider sind in dem SSL VPN Installationspaket keine Zertifikate enthalten, sondern lediglich die ovpn Datei. Damit schlägt dann die Verbindung fehl, weil ja die Zertifikate fehlen. Die Zertifikate fehlen sowohl beim Download über das User Portal als auch aus dem Admin Bereich unter den Usern.

Hat hier jemand einen Tipp für mich?

Vielen Dank und viele Grüße

Christian 



This thread was automatically locked due to age.
  • Hi,

    welche Version hat Deine UTM?

    Ich habs grad getestet
    Firmen-UTM Version 9.413-4 -> Zertifikate sind beim Download über Admin Bereich dabei.
    Private-UTM Version 9.500-9 -> Zertifikate und key Datei sind nicht mit im Config File.

    Grüße

    Thomas

  • Hi Thomas,

    vielen Dank für Deine Antwort.

    Ich habe tatsächlich auch die Version 9.500-9. Auf meinen anderen UTM's mit der 9.4er Version sind die Zertifikate auch drin. Gerade habe ich gesehen, dass ein Update auf die Version  9.501-5 verfügbar ist. Das werde ich heute Abend mal testen.

    Das Problem an der Version ist, dass wohl Zertifikatsinformationen in die OVPN Datei gewandert sind und ich permanent einen TLS Error beim Verbindungsversuch bekomme, weil die Zertifikate auf dem Client nicht verfügbar sind.

    Grüße

    Christian

  • Hi Christian,

    stimmt in der OVPN Datei sind jetzt die Zertifikate und der Key enthalten. In die Datei selber hatte ich gar nicht reingeschaut.

    Ich hab jetzt auf meiner privaten UTM das Update auf die 9.501 eingespielt. Da klappt die Verbindung mit der neuen ovpn Datei jetzt problemlos.

    Die 9.501 hat hier in den Change logs auch nen BugFix Report zu der TLS Option
    Fix [NUTM-7448]: [Access & Identity] SSLVPN: download of configuration for windows should use tls-remote option
    Anscheinend ist die tls-remote Option depricated und in den neuen Config Files jetzt durch verify-x509-name ersetzt worden.

    Grüße Thomas

     

  • Hi Thomas,

    vielen Dank für Deine Unterstützung.

    Ich habe gestern Abend die neue Version installiert und bekomme aber leider keine Verbindung zu Stande. Der TLS Error hält sich unerbittlich.

    Das Log Protokoll gibt mir folgendes aus:

    Wed Jun 14 08:48:22 2017 TLS: Initial packet from [AF_INET]XXX, sid=607f386a a1d83d3a
    Wed Jun 14 08:48:22 2017 VERIFY OK: depth=1, C=de, L=München,XXX
    Wed Jun 14 08:48:22 2017 VERIFY X509NAME ERROR:XXX
    Wed Jun 14 08:48:22 2017 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Wed Jun 14 08:48:22 2017 TLS Error: TLS object -> incoming plaintext read error
    Wed Jun 14 08:48:22 2017 TLS Error: TLS handshake failed

    Mit der Kennzeichnung XXX habe ich die Personalisierung unkenntlich gemacht.

    Hast Du eine Idee woran das liegen kann?

    Viele Grüße

    Christian

  • Hi,

    ich hab jetzt mal ein bisschen rumprobiert.

    Die gleiche Fehlermeldung bekomme ich wenn ich in der ovpn Datei im Zertifkatsbereich etwas editiere, dadurch wird dann das Zertifkat ungültig.
    Evtl. ist die Datei beschädigt, hast du schon mal probiert den Benutzer zu löschen und neu anzulegen und dann eine neue Konfig Datei herunterzuladen.

    Evtl. auch ein Virenscanner der an der Datei rumpfuscht.

    Ach ja und check mal die Version vom Open VPN Client damit die Option --verify-x509-name greift muss der mind. Version 2.3.2 sein.

    Grüße Thomas

     

    Mein log aus dem Sophos Client

    Wed Jun 14 09:22:31 2017 TLS: Initial packet from [AF_INET]192.168.0.23:8080, sid=0e97db56 a83eaea9
    Wed Jun 14 09:22:31 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Wed Jun 14 09:22:31 2017 VERIFY OK: depth=1, C=de, L=test, O=test, CN=test VPN CA, emailAddress=XXX
    Wed Jun 14 09:22:31 2017 VERIFY ERROR: depth=0, error=certificate signature failure: C=de, L=Burgthann, O=Bachmaier, CN=XXX, emailAddress=XXX
    Wed Jun 14 09:22:31 2017 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Wed Jun 14 09:22:31 2017 TLS Error: TLS object -> incoming plaintext read error
    Wed Jun 14 09:22:31 2017 TLS Error: TLS handshake failed
    Wed Jun 14 09:22:31 2017 Fatal TLS error (check_tls_errors_co), restarting

  • Hi,

    also ich habe mal alle Benutzer und Zertifikate gelöscht und die CA neu erstellt -> Ohne Erfolg. Dann habe ich bei der CA aus München dann Muenchen gemacht, danach läuft jetzt alles.
    Manchmal sind es eben doch Kleinigkeiten, aber da muss man echt erst mal drauf kommen.

    Viele Grüße und vielen lieben Dank für Deine Unterstützung!

    Christian

  • Hi,

     

    ich habe dasselbe Problem. Hast du die CA ändern können oder musst du eine neue erstellen? Weil hierfür müssten ja dann alle Certs in den Vorhandenen Paketen auf den Rechnern der Mitarbeiter getauscht werden oder?

  • Hi

     

    die CA wird wohl bei jeder Änderung neu erstellt. Dabei wird die alte CA beibehalten, wohl um genau dieses Szenario abzudecken. Aber getestet habe ich es nicht, bei mir war es eine Neuinstallation.

  • Und wo genau hast du aus dem Ü ein ue gemacht?

     

    Ich habe es unter den Infos bei Fernzugriff geändert, es wird aber keine neue CA erstellt und die alte hat noch ihr Ü.

  • Unter Fernzugriff -> Zertifikatsverwaltung -> Erweitert