Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Verbindungsprobleme

Grüß Euch!

Wir haben hier aus heiterem Himmel ein seltsames VPN-Verbindungsproblem, mit glücklicherweise vorerst nur einem Benutzer. Am Abend ging es noch, in der Früh des nächsten Tages hat er berichtet, dass er im Home-Office keine VPN-Verbindung mehr herstellen kann.

Es geht dabei um zwei Computer, Desktop und Notebook, die beide auf Windows 10 laufen (alle aktuellen Updates eingespielt). Auf der anderen Seite steht eine Sophos XG 135 Firewall, die aktuell unter Firmware 19.5.4 MR-4 läuft. Der Sophos-Connect SSL Client am PC hat die Versionsnummer 2.3.0.

Windows ist wie gesagt auf beiden Maschinen aktuell, der Client inkl. Zertifikat wurden schon mehrfach neu installiert. Die Hard- und Software sollten aber eigentlich nicht das Problem darstellen, da zumindest das Notebook, beim Desktop kann man es mangels Wireless-Adapter nicht probieren, wenn es das Internet über einen Hotspot per Smartphone bekommt, tadellos funktioniert und sich mit dem VPN verbinden kann.

Sobald die Rechner aber das im Haus verlegte Internet verwenden (per LAN-Kabel oder WLAN), dann funktioniert die VPN-Verbindung nicht mehr. Ich habe einen Durchlauf der Log-Datei vom Client angehängt. Sieht alles normal aus, aber jeder Versuch endet es mit einem "fatal error".

Auf der Firewall findet sich im Log-Viewer in der Sektion Firewall auch ein Eintrag zu der externen IP-Adresse, mit der der Benutzer versucht eine Verbindung aufzubauen. Ich versuche das als Grafik hier anzuhängen.

So wie es aussieht wird die externe IP des Benutzers blockiert (Denied). Kann man irgendwie feststellen warum das so ist, bzw. wo in den Einstellungen der Firewall könnte man mal testweise diese IP-Adresse erlauben bzw. whitelisten?

Ich hoffe, die Profis hier kennen eine Lösung. Wir haben schon zu dritt die Nasen reingesteckt, haben aber keine Lösung gefunden. Erwähnenswert wäre vielleicht noch, dass alle anderen Dinge, die eine Internetverbindung benötigen, ohne Probleme laufen - Windows Updates, Netflix, TeamViewer etc.

Vielen Dank für jede Hilfe.

Grüße, Chris

----- Sophos Connect Log -----

2024-06-27 10:08:11 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2024-06-27 10:08:11 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2024-06-27 10:08:11 OpenVPN 2.5.6 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 22 2022
2024-06-27 10:08:11 Windows version 10.0 (Windows 10 or greater) 64bit
2024-06-27 10:08:11 library versions: OpenSSL 1.1.1n 15 Mar 2022, LZO 2.10
2024-06-27 10:08:11 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2024-06-27 10:08:11 Need hold release from management interface, waiting...
2024-06-27 10:08:12 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2024-06-27 10:08:12 MANAGEMENT: CMD 'state on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'log all on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'echo all on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'bytecount 5'
2024-06-27 10:08:12 MANAGEMENT: CMD 'hold off'
2024-06-27 10:08:12 MANAGEMENT: CMD 'hold release'
2024-06-27 10:08:12 MANAGEMENT: CMD 'username "Auth" XXXXXX'
2024-06-27 10:08:12 MANAGEMENT: CMD 'password [...]'
2024-06-27 10:08:12 MANAGEMENT: >STATE:1719475692,RESOLVE,,,,,,
2024-06-27 10:08:12 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:8443
2024-06-27 10:08:12 Socket Buffers: R=[65536->65536] S=[64512->64512]
2024-06-27 10:08:12 UDP link local: (not bound)
2024-06-27 10:08:12 UDP link remote: [AF_INET]XXX.XXX.XXX.XXX:8443
2024-06-27 10:08:12 MANAGEMENT: >STATE:1719475692,WAIT,,,,,,
2024-06-27 10:08:32 Server poll timeout, restarting
2024-06-27 10:08:32 SIGUSR1[soft,server_poll] received, process restarting
2024-06-27 10:08:32 MANAGEMENT: >STATE:1719475712,RECONNECTING,server_poll,,,,,
2024-06-27 10:08:32 MANAGEMENT: Client disconnected
2024-06-27 10:08:32 All connections have been connect-retry-max (1) times unsuccessful, exiting
2024-06-27 10:08:32 Exiting due to fatal error



This thread was automatically locked due to age.
Parents
  • Hallo Christian,

    Also: im Sophos Connect (OpenVPN) Logfile steht für den Tunnel der Port 8443, der Screenshot ist aber für Port 443 ???

    Das hat doch miteinander erstmal nichts zu tun.

    Bitte mehr Infos, insbesondere finde ich es übertrieben, alle Stellen der IP-Adressen zu schwärzen. Besser wäre es, nur in der Mitte einen Block zu schwärzen, dann kann man die beteiligten IP-Adressen wenigstens miteinander in Relation bringen.Etwa so 85.xxx.xxx.115 und 192.168.x.125 (Wobei die privaten IPs eh egal sind, die müsste man garnicht verbergen)

    Sonst ist es schon arges Glaskugel-Lesen und wir machen vage Vermutungen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hello,

    wenn du ein Ping auf google.de schickst, kommt eine IPv4 oder IPv6 Adresse zurück? Das hatte ich in der tat 1x gehabt bei einem Dualstack-Anschluss. Das System ist immer mit IPv6  raus gegangen und die Gegenstelle, konnte nunmal kein IPv6 .....  Falls es daran liegt, kannst du auf der Netzwerkkarte des Notebooks/PC den haken bei IPv6 herraus nehmen, dannach hatt es in meinem Fall geklappt.

    LG

    Patrick 

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Danke für den Tipp Patrick, aber gepingt wurde bei der bisherigen Fehlersuche schon in alle Richtungen und die Ergebnisse kamen immer im IPv4 Format. Da wir aber IPv6 aktuell nicht brauchen, werde ich bei nächster Gelegenheit noch mal probieren es komplett zu deaktivieren.

    LG Chris

Reply
  • Danke für den Tipp Patrick, aber gepingt wurde bei der bisherigen Fehlersuche schon in alle Richtungen und die Ergebnisse kamen immer im IPv4 Format. Da wir aber IPv6 aktuell nicht brauchen, werde ich bei nächster Gelegenheit noch mal probieren es komplett zu deaktivieren.

    LG Chris

Children
No Data