Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN-Verbindungsprobleme

Grüß Euch!

Wir haben hier aus heiterem Himmel ein seltsames VPN-Verbindungsproblem, mit glücklicherweise vorerst nur einem Benutzer. Am Abend ging es noch, in der Früh des nächsten Tages hat er berichtet, dass er im Home-Office keine VPN-Verbindung mehr herstellen kann.

Es geht dabei um zwei Computer, Desktop und Notebook, die beide auf Windows 10 laufen (alle aktuellen Updates eingespielt). Auf der anderen Seite steht eine Sophos XG 135 Firewall, die aktuell unter Firmware 19.5.4 MR-4 läuft. Der Sophos-Connect SSL Client am PC hat die Versionsnummer 2.3.0.

Windows ist wie gesagt auf beiden Maschinen aktuell, der Client inkl. Zertifikat wurden schon mehrfach neu installiert. Die Hard- und Software sollten aber eigentlich nicht das Problem darstellen, da zumindest das Notebook, beim Desktop kann man es mangels Wireless-Adapter nicht probieren, wenn es das Internet über einen Hotspot per Smartphone bekommt, tadellos funktioniert und sich mit dem VPN verbinden kann.

Sobald die Rechner aber das im Haus verlegte Internet verwenden (per LAN-Kabel oder WLAN), dann funktioniert die VPN-Verbindung nicht mehr. Ich habe einen Durchlauf der Log-Datei vom Client angehängt. Sieht alles normal aus, aber jeder Versuch endet es mit einem "fatal error".

Auf der Firewall findet sich im Log-Viewer in der Sektion Firewall auch ein Eintrag zu der externen IP-Adresse, mit der der Benutzer versucht eine Verbindung aufzubauen. Ich versuche das als Grafik hier anzuhängen.

So wie es aussieht wird die externe IP des Benutzers blockiert (Denied). Kann man irgendwie feststellen warum das so ist, bzw. wo in den Einstellungen der Firewall könnte man mal testweise diese IP-Adresse erlauben bzw. whitelisten?

Ich hoffe, die Profis hier kennen eine Lösung. Wir haben schon zu dritt die Nasen reingesteckt, haben aber keine Lösung gefunden. Erwähnenswert wäre vielleicht noch, dass alle anderen Dinge, die eine Internetverbindung benötigen, ohne Probleme laufen - Windows Updates, Netflix, TeamViewer etc.

Vielen Dank für jede Hilfe.

Grüße, Chris

----- Sophos Connect Log -----

2024-06-27 10:08:11 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
2024-06-27 10:08:11 DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.
2024-06-27 10:08:11 OpenVPN 2.5.6 Windows-MSVC [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 22 2022
2024-06-27 10:08:11 Windows version 10.0 (Windows 10 or greater) 64bit
2024-06-27 10:08:11 library versions: OpenSSL 1.1.1n 15 Mar 2022, LZO 2.10
2024-06-27 10:08:11 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
2024-06-27 10:08:11 Need hold release from management interface, waiting...
2024-06-27 10:08:12 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
2024-06-27 10:08:12 MANAGEMENT: CMD 'state on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'log all on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'echo all on'
2024-06-27 10:08:12 MANAGEMENT: CMD 'bytecount 5'
2024-06-27 10:08:12 MANAGEMENT: CMD 'hold off'
2024-06-27 10:08:12 MANAGEMENT: CMD 'hold release'
2024-06-27 10:08:12 MANAGEMENT: CMD 'username "Auth" XXXXXX'
2024-06-27 10:08:12 MANAGEMENT: CMD 'password [...]'
2024-06-27 10:08:12 MANAGEMENT: >STATE:1719475692,RESOLVE,,,,,,
2024-06-27 10:08:12 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:8443
2024-06-27 10:08:12 Socket Buffers: R=[65536->65536] S=[64512->64512]
2024-06-27 10:08:12 UDP link local: (not bound)
2024-06-27 10:08:12 UDP link remote: [AF_INET]XXX.XXX.XXX.XXX:8443
2024-06-27 10:08:12 MANAGEMENT: >STATE:1719475692,WAIT,,,,,,
2024-06-27 10:08:32 Server poll timeout, restarting
2024-06-27 10:08:32 SIGUSR1[soft,server_poll] received, process restarting
2024-06-27 10:08:32 MANAGEMENT: >STATE:1719475712,RECONNECTING,server_poll,,,,,
2024-06-27 10:08:32 MANAGEMENT: Client disconnected
2024-06-27 10:08:32 All connections have been connect-retry-max (1) times unsuccessful, exiting
2024-06-27 10:08:32 Exiting due to fatal error



This thread was automatically locked due to age.
Parents
  • Hallo Christian,

    Also: im Sophos Connect (OpenVPN) Logfile steht für den Tunnel der Port 8443, der Screenshot ist aber für Port 443 ???

    Das hat doch miteinander erstmal nichts zu tun.

    Bitte mehr Infos, insbesondere finde ich es übertrieben, alle Stellen der IP-Adressen zu schwärzen. Besser wäre es, nur in der Mitte einen Block zu schwärzen, dann kann man die beteiligten IP-Adressen wenigstens miteinander in Relation bringen.Etwa so 85.xxx.xxx.115 und 192.168.x.125 (Wobei die privaten IPs eh egal sind, die müsste man garnicht verbergen)

    Sonst ist es schon arges Glaskugel-Lesen und wir machen vage Vermutungen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Servus Philipp!

    Sorry für die lange Wartezeit, aber ich war im Krankenstand. Das mit den Ports vom Screenshot hast Du völlig richtig erkannt. Lag wahrscheinlich daran, dass bei der Fehlersuche auch versucht wurde die Firewall zu pingen bzw. per Webbrowser darauf zuzugreifen. Die meisten Einträge im Log beziehen sich aber auf Port 8443. Ich habe dummerweise die obersten Zeilen beim Screenshot verwendet, weil nur dort auch die Spaltenüberschriften sichtbar waren.

    Die beiden IP-Adresse um die es geht lauten 81.xxx.xxx.145 und 85.xxx.xxx.126.

    Der Hinweis von "dirkkotte" hat mich auf die richtige Spur geführt, aber ganz zufrieden bin ich mit der Lösung nicht.

    LG Chris

  • Was wäre denn das Wunschverhalten, bzw was gefällt dir an welcher Lösung nicht.
    Meist bekommt man das ganz hübsch hin.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk!

    Bitte nicht falsch verstehen, Deine Lösung funktioniert ja soweit. Damit ist mir schon sehr geholfen. Ich habe beim Start dieses Threads eine Möglichkeit gesucht, um eine IP-Adresse zu "whitelisten". Das ist soweit gelungen. Die Funktion, die dafür verwendet wird, scheint mir aber eher "missbraucht" zu werden. Andererseits funktioniert es und das ist das Einzige was zählt. Wenn es keinen anderen Weg gibt, dann kann man das als Lösung verwenden.

    LG Chris

Reply
  • Hallo Dirk!

    Bitte nicht falsch verstehen, Deine Lösung funktioniert ja soweit. Damit ist mir schon sehr geholfen. Ich habe beim Start dieses Threads eine Möglichkeit gesucht, um eine IP-Adresse zu "whitelisten". Das ist soweit gelungen. Die Funktion, die dafür verwendet wird, scheint mir aber eher "missbraucht" zu werden. Andererseits funktioniert es und das ist das Einzige was zählt. Wenn es keinen anderen Weg gibt, dann kann man das als Lösung verwenden.

    LG Chris

Children
No Data