Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Verbindungsprobleme

Grüß Euch!

Wir haben hier aus heiterem Himmel ein seltsames VPN-Verbindungsproblem, mit glücklicherweise vorerst nur einem Benutzer. Am Abend ging es noch, in der Früh des nächsten Tages hat er berichtet, dass er im Home-Office keine VPN-Verbindung mehr herstellen kann.

Es geht dabei um zwei Computer, Desktop und Notebook, die beide auf Windows 10 laufen (alle aktuellen Updates eingespielt). Auf der anderen Seite steht eine Sophos XG 135 Firewall, die aktuell unter Firmware 19.5.4 MR-4 läuft. Der Sophos-Connect SSL Client am PC hat die Versionsnummer 2.3.0.

Windows ist wie gesagt auf beiden Maschinen aktuell, der Client inkl. Zertifikat wurden schon mehrfach neu installiert. Die Hard- und Software sollten aber eigentlich nicht das Problem darstellen, da zumindest das Notebook, beim Desktop kann man es mangels Wireless-Adapter nicht probieren, wenn es das Internet über einen Hotspot per Smartphone bekommt, tadellos funktioniert und sich mit dem VPN verbinden kann.

Sobald die Rechner aber das im Haus verlegte Internet verwenden (per LAN-Kabel oder WLAN), dann funktioniert die VPN-Verbindung nicht mehr. Ich habe einen Durchlauf der Log-Datei vom Client angehängt. Sieht alles normal aus, aber jeder Versuch endet es mit einem "fatal error".

Auf der Firewall findet sich im Log-Viewer in der Sektion Firewall auch ein Eintrag zu der externen IP-Adresse, mit der der Benutzer versucht eine Verbindung aufzubauen. Ich versuche das als Grafik hier anzuhängen.

So wie es aussieht wird die externe IP des Benutzers blockiert (Denied). Kann man irgendwie feststellen warum das so ist, bzw. wo in den Einstellungen der Firewall könnte man mal testweise diese IP-Adresse erlauben bzw. whitelisten?

Ich hoffe, die Profis hier kennen eine Lösung. Wir haben schon zu dritt die Nasen reingesteckt, haben aber keine Lösung gefunden. Erwähnenswert wäre vielleicht noch, dass alle anderen Dinge, die eine Internetverbindung benötigen, ohne Probleme laufen - Windows Updates, Netflix, TeamViewer etc.

Vielen Dank für jede Hilfe.

Grüße, Chris

----- Sophos Connect Log -----

2024-06-27 10:08:11 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2024-06-27 10:08:11 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2024-06-27 10:08:11 OpenVPN 2.5.6 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 22 2022
2024-06-27 10:08:11 Windows version 10.0 (Windows 10 or greater) 64bit
2024-06-27 10:08:11 library versions: OpenSSL 1.1.1n 15 Mar 2022, LZO 2.10
2024-06-27 10:08:11 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2024-06-27 10:08:11 Need hold release from management interface, waiting...
2024-06-27 10:08:12 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2024-06-27 10:08:12 MANAGEMENT: CMD 'state on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'log all on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'echo all on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'bytecount 5'
2024-06-27 10:08:12 MANAGEMENT: CMD 'hold off'
2024-06-27 10:08:12 MANAGEMENT: CMD 'hold release'
2024-06-27 10:08:12 MANAGEMENT: CMD 'username "Auth" XXXXXX'
2024-06-27 10:08:12 MANAGEMENT: CMD 'password [...]'
2024-06-27 10:08:12 MANAGEMENT: >STATE:1719475692,RESOLVE,,,,,,
2024-06-27 10:08:12 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:8443
2024-06-27 10:08:12 Socket Buffers: R=[65536->65536] S=[64512->64512]
2024-06-27 10:08:12 UDP link local: (not bound)
2024-06-27 10:08:12 UDP link remote: [AF_INET]XXX.XXX.XXX.XXX:8443
2024-06-27 10:08:12 MANAGEMENT: >STATE:1719475692,WAIT,,,,,,
2024-06-27 10:08:32 Server poll timeout, restarting
2024-06-27 10:08:32 SIGUSR1[soft,server_poll] received, process restarting
2024-06-27 10:08:32 MANAGEMENT: >STATE:1719475712,RECONNECTING,server_poll,,,,,
2024-06-27 10:08:32 MANAGEMENT: Client disconnected
2024-06-27 10:08:32 All connections have been connect-retry-max (1) times unsuccessful, exiting
2024-06-27 10:08:32 Exiting due to fatal error



This thread was automatically locked due to age.
Parents
  • The source-IP/Country is allowed within "local ACL" for SSL-VPN?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Thank you for the tip! In our local ACL where only two entries. One for access to the firewall from the LAN and one external IP from our IT-Provider. I made a new entry and used the external IP from the user who was unable to connect to VPN. This seemed to work as he is now able to connect to VPN again. I'm not sure if this was the way you intended to do and if this is the right way at all, but it worked.

    Cheers Chris

Reply
  • Thank you for the tip! In our local ACL where only two entries. One for access to the firewall from the LAN and one external IP from our IT-Provider. I made a new entry and used the external IP from the user who was unable to connect to VPN. This seemed to work as he is now able to connect to VPN again. I'm not sure if this was the way you intended to do and if this is the right way at all, but it worked.

    Cheers Chris

Children
No Data