Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ssl vpn

Hi habe folgendes Problem:

Möchte SSL VPN einrichten, Client LOG:

 TCP/UDP: Closing socket
Sat Feb 14 20:58:31 2009 SIGUSR1[soft,connection-reset] received, process restarting
Sat Feb 14 20:58:31 2009 Restart pause, 5 second(s)
Sat Feb 14 20:58:36 2009 Re-using SSL/TLS context
Sat Feb 14 20:58:36 2009 LZO compression initialized
Sat Feb 14 20:58:36 2009 Control Channel MTU parms [ L:1557 D:141 EF:42 EB:0 ET:0 EL:0 ]
Sat Feb 14 20:58:36 2009 Data Channel MTU parms [ L:1557 D:1451 EF:55 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Feb 14 20:58:36 2009 Local Options hash (VER=V4): '30b70545'
Sat Feb 14 20:58:36 2009 Expected Remote Options hash (VER=V4): '28786345'
Sat Feb 14 20:58:36 2009 Attempting to establish TCP connection with xx.xx.xx.xx:443
Sat Feb 14 20:58:36 2009 TCP connection established with xx.xx.xx.xx:443
Sat Feb 14 20:58:36 2009 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Feb 14 20:58:36 2009 TCPv4_CLIENT link local: [undef]
Sat Feb 14 20:58:36 2009 TCPv4_CLIENT link remote: xx.xx.xx.xx:443
Sat Feb 14 20:58:36 2009 Connection reset, restarting [0]
Sat Feb 14 20:58:36 2009 TCP/UDP: Closing socket
Sat Feb 14 20:58:36 2009 SIGUSR1[soft,connection-reset] received, process restarting
Sat Feb 14 20:58:36 2009 Restart pause, 5 second(s)

Das wieder holt sich ständig.

Was könnte hier falsch sein.

Danke für Hilfe

Gruss Manuela


This thread was automatically locked due to age.
Parents
  • sieht soweit alles richtig aus.

    ist das VPN Network das Netzwerk, auf welches die SSL user zugreifen sollen?
    bei mir wäre es das Domänen Netzwerk 192.168.254.0/24.
    Der user mit dem du dich anmeldest befindet sich auch in der Gruppe "****management"?

    Was sagt die Astaro Livelog zu deinem "Einwahl"Problem?
  • Im Log steht nur:

    2009:02:15-14:50:12 (none) openvpn[3780]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ] 
    2009:02:15-14:50:12 (none) openvpn[3780]: Local Options hash (VER=V4): '28786345' 
    2009:02:15-14:50:12 (none) openvpn[3780]: Expected Remote Options hash (VER=V4): '30b70586' 
    2009:02:15-14:50:12 (none) openvpn[3780]: TCP connection established with 192.168.10.254:9486 
    2009:02:15-14:50:12 (none) openvpn[3780]: Socket Buffers: R=[131072->131072] S=[131072->131072] 
    2009:02:15-14:50:12 (none) openvpn[3780]: TCPv4_SERVER link local: [undef] 
    2009:02:15-14:50:12 (none) openvpn[3780]: TCPv4_SERVER link remote: 192.168.10.254:9486 
    2009:02:15-14:50:12 (none) openvpn[3780]: 192.168.10.254:9486 Non-OpenVPN client protocol detected 
    2009:02:15-14:50:12 (none) openvpn[3780]: 192.168.10.254:9486 SIGTERM[soft,port-share-redirect] received, client-instance exiting 
    2009:02:15-14:50:12 (none) openvpn[3780]: TCP/UDP: Closing socket

    Ja in diesem Netz Steht nur ein Server mit freigaben (Static IP).

    server Datei Freigabe----->ASG------>VPN Client

    Für was ist der VPN Pool? der rest habe ich auf standard.

    Packet Filter habe ich nichts eingestellt für VPN.

    Einzig über User Portal den client mit konfigs geholt um ihn auf Client NB zu inst.

    nur geht einfach nicht all zuviel. Sollte schnellstend hinbekommen.

    Danke für hilfe

    Gruss Manuela
  • Ich verstehe warum das nicht geht. Was geschiet wenn 'VPN Access (Network)' durch 'Internal (Network)' ersetzt ist?

    Gruß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Ich verstehe warum das nicht geht. Was geschiet wenn 'VPN Access (Network)' durch 'Internal (Network)' ersetzt ist?

    Gruß - Bob


    wobei es ja nicht umbedingt sein dürfte...

    oder lieg ich hier bei meiner überlegung falsch? es muss doch trotzdem gehn wenn es so vorhanden ist wie ich es verstanden habe:

    Internal Network: 192.168.x.0/24 = Network1 n server + Lan X
    VPN Access (Network): 192.168.y.0/24 = Network mit 1 Server wo der Zugriff erfolgen soll + Lan Y
  • bin nur neugierig.  Wie gesagt, ich verstehe nicht warum es nicht klappt.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Danke werde morgen Abend Berichten habe da so eine Ahnung.

    Habe noch fragen zu dem L2TP over IPsec.

    Wo kann ich da die schlüssel stärke sowie die Interne NIC wählen. Von wechem IP Pool werden die IPs reserviert?

    Kann ich die VPN Client Software von TheGreenBow nehmen?

    Was muss ich bei der Verb. Art beachten.

    Sonst ist alles bestens. Bin gespannt auf morgen. Schreibe am Abend.

    Allen ein schönen Abend!

    Gruss Manuela
  • Danke werde morgen Abend Berichten habe da so eine Ahnung.
    Habe noch fragen zu dem L2TP over IPsec.

    Wo kann ich da die schlüssel stärke sowie die Interne NIC wählen. Von wechem IP Pool werden die IPs reserviert?

    -L2TP hat keine verschlüsselung. du kannst eine authentication festlegen aber soweit mir bekannt ist, mehr nicht.
    -ip pool: augen öffnen [[;)]] hast die Wahl zwischen DHCP, dem vordefiniertem L2TP Pool oder nem eigenen(muss du natürlich definieren und hinzufügen) [[;)]]
    -die Interner NIC ist natürlich auch auswählbar.


    Kann ich die VPN Client Software von TheGreenBow nehmen?

    Windows XP kann die verbindung schon von sich aus herstellen!! dafür wird nicht umbedingt eine Clientsoftware benötigt.
    Ob diese Software dafür geeignet ist, kann ich dir jedoch nicht sagen.

    Ich pers. würde keine verbindung über L2TP aufbauen.. wäre mir zu unsicher.

    Bin gespannt wo dein Fehler für die OpenVPN Verbindung war.

    Tigershark
  • Was ist momentan am Sichersten in sache VPN?
    Oder PPTP?
    Wenn man IPsec mit Client und Zertifikat verwendet?

    Gibt es möglichkeit mit Hardware Token bei ASG?

    Oder soll man SSL VPN verwenden?

    Frage zu dem IP Pool. Wenn ich ein Netzwerk definiere z.B VPN Access und dahinter kein DHCP läuft alles nur statisch muss ich die IP beim VPN Client auch statisch (man. einstellen). Oder regelt der VPN IP Pool das Problem und glieder mich ins Netzwerk.

    Danke Gute Nacht :-)

    Manuela
  • Wie ich dachte steckte die Lösung hier: Non-OpenVPN client protocol detected.

    Ich habe den Port 443 für WebMail benutzt.

    Nach deaktivierung ging es :-).

    Gruss M
  • Ich verstehe warum das nicht geht. Was geschiet wenn 'VPN Access (Network)' durch 'Internal (Network)' ersetzt ist?

    Gruß - Bob


    Nichts, es sei denn das dies zwei unterschiedliche Netze sind.
  • Tigershark, SSL VPN sei sicherer als L2TP over IPSec?  Ich hätte das Gegenteil gesagt.

    Netz.werk, genau, und ich vermute daß das der Fehler ist.

    Gruß - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Tigershark, SSL VPN sei sicherer als L2TP over IPSec?  Ich hätte das Gegenteil gesagt.



    SSL bröckelt langsam, es ist Hackern Ende 2008 gelungen sich als CA auszugeben und eigene Certs auszustellen, das bedeutet das ein IPSec VPN in Verbindung mit L2TP defintiv das sicherere Modell darstellt. Eigentlich kann man aber diese beiden Technologien nicht so richtig miteinander vergleichen.

    Was ist momentan am Sichersten in sache VPN?
    Oder PPTP?
    Wenn man IPsec mit Client und Zertifikat verwendet?

    Gibt es möglichkeit mit Hardware Token bei ASG?

    Oder soll man SSL VPN verwenden?


    Bevor man eine produktive VPN Systemarchitektur entwürft sollte man sich unbedingt vorher in das Thema einlesen. Es gibt einige Bücher am Markt zu diesem Thema. Ich persönlich favorisiere "VPN mit Linux" Link von Ralf Spenneberg, der absoluter Spezialist auf diesem Gebiet ist. Auch wenn das Buch auf Linux ausgelegt ist, so werden doch sämtliche verschiedenen Ansätze im Detail besprochen, was dann auch als Wissen im Windows- bzw. Appliancebereich eingesetzt werden kann, weil von Grund auf bleibt die Technologie gleich, nur die Implementierung variiert. Erst danach würde ich anfangen ein System aufzubauen. Dazu ist das Thema VPN einfach zu critical, dass man das einfach mal so nebenbei macht. Just my two cents.

    SSL-VPN gibts ab 7.4 jetzt auch als Site-to-Site.

    Stephan
Reply
  • Tigershark, SSL VPN sei sicherer als L2TP over IPSec?  Ich hätte das Gegenteil gesagt.



    SSL bröckelt langsam, es ist Hackern Ende 2008 gelungen sich als CA auszugeben und eigene Certs auszustellen, das bedeutet das ein IPSec VPN in Verbindung mit L2TP defintiv das sicherere Modell darstellt. Eigentlich kann man aber diese beiden Technologien nicht so richtig miteinander vergleichen.

    Was ist momentan am Sichersten in sache VPN?
    Oder PPTP?
    Wenn man IPsec mit Client und Zertifikat verwendet?

    Gibt es möglichkeit mit Hardware Token bei ASG?

    Oder soll man SSL VPN verwenden?


    Bevor man eine produktive VPN Systemarchitektur entwürft sollte man sich unbedingt vorher in das Thema einlesen. Es gibt einige Bücher am Markt zu diesem Thema. Ich persönlich favorisiere "VPN mit Linux" Link von Ralf Spenneberg, der absoluter Spezialist auf diesem Gebiet ist. Auch wenn das Buch auf Linux ausgelegt ist, so werden doch sämtliche verschiedenen Ansätze im Detail besprochen, was dann auch als Wissen im Windows- bzw. Appliancebereich eingesetzt werden kann, weil von Grund auf bleibt die Technologie gleich, nur die Implementierung variiert. Erst danach würde ich anfangen ein System aufzubauen. Dazu ist das Thema VPN einfach zu critical, dass man das einfach mal so nebenbei macht. Just my two cents.

    SSL-VPN gibts ab 7.4 jetzt auch als Site-to-Site.

    Stephan
Children
  • SSL bröckelt langsam, es ist Hackern Ende 2008 gelungen sich als CA auszugeben und eigene Certs auszustellen, das bedeutet das ein IPSec VPN in Verbindung mit L2TP defintiv das sicherere Modell darstellt. Eigentlich kann man aber diese beiden Technologien nicht so richtig miteinander vergleichen.

    @BAlfson
    naja du redest von einem IPSec VPN in Verbindung mit L2TP.
    Die ist noch etwas anderes als die herkömliche L2TP Verbindung.

    Klar ist das sicherer als SSL. Habe nie etwas anderes behauptet. Aber SSL ist um längen sicherer als L2TP OHNE IPSec.

    Was die Sache mit dem CA Hack angeht , kannst du mir dort mal ein paar lesenswerte Artikel zukommen lassen? Das is irgendwie völlig an mir vorbei gerauscht. [:(]

  • Was die Sache mit dem CA Hack angeht , kannst du mir dort mal ein paar lesenswerte Artikel zukommen lassen? Das is irgendwie völlig an mir vorbei gerauscht. [:(]


    Man muss dazu sagen, komplett wurde der Mechanismus nicht ausgehebelt. Man hat es geschafft mit MD5 signierte Zertifikate als CA auszustellen. Die großen Anbieter nehmen jetzt die MD5 signierten Certs aus dem Rennen. Die Schwachstelle liegt nicht direkt im SSL oder den Browsern etc. sondern direkt bei MD5, man hat also eine Lücke im MD5 Algorithmus ausgenutzt. Bericht / Details