Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

VPN Tunnel Abbrüche beim SSL VPN

Hallo Zusammen, 

aktuell haben wir das Problem, dass immer wieder die SSL VPN Tunnel abrupt abbrechen und die User aus sämtlichen Sessions fliegen. 
Diesen Fehler hat nur ein kleiner anwenderkreis, diese haben das aber mehrfach am tag und haben unabhängig voneinander andere Internet Provider.

Ich habe dazu folgende Logs dabei und hoffe, dass mir einer von euch helfen kann diese zu entschlüsseln oder etwas zu erkennen. 
Die unten aufgeführten Logs sind aus mehreren Dateien und durch leere Zeilen getrennt.

Ich hoffe ihr könnt mir dabei helfen.

Wed Sep 18 12:25:39 2024 Connection reset, restarting [-1]
Wed Sep 18 12:25:39 2024 SIGUSR1[soft,connection-reset] received, process restarting
Wed Sep 18 12:25:39 2024 MANAGEMENT: >STATE:1726655139,RECONNECTING,connection-reset,,,,,
Wed Sep 18 12:25:39 2024 Restart pause, 5 second(s)
Wed Sep 18 12:25:39 2024 C:\WINDOWS\system32\route.exe DELETE XXX MASK XXX XXX
Wed Sep 18 12:25:39 2024 Route deletion via service succeeded
Wed Sep 18 12:25:39 2024 C:\WINDOWS\system32\route.exe DELETE XXX MASK XXX XXX
Wed Sep 18 12:25:39 2024 Route deletion via service succeeded
Wed Sep 18 12:25:39 2024 C:\WINDOWS\system32\route.exe DELETE XXX MASK XXX XXX
Wed Sep 18 12:25:39 2024 Route deletion via service succeeded
Wed Sep 18 12:25:39 2024 C:\WINDOWS\system32\route.exe DELETE XXX MASK XXX XXX
Wed Sep 18 12:25:39 2024 Route deletion via service succeeded
Wed Sep 18 12:25:39 2024 C:\WINDOWS\system32\route.exe DELETE XXX MASK XXX XXX
Wed Sep 18 12:25:39 2024 Route deletion via service succeeded
Wed Sep 18 12:25:39 2024 C:\WINDOWS\system32\route.exe DELETE XXX MASK XXX XXX
Wed Sep 18 12:25:39 2024 Route deletion via service succeeded
Wed Sep 18 12:25:39 2024 C:\WINDOWS\system32\route.exe DELETE XXX MASK XXX XXX
Wed Sep 18 12:25:39 2024 Route deletion via service succeeded
Wed Sep 18 12:25:39 2024 C:\WINDOWS\system32\route.exe DELETE XXX MASK XXX XXX
Wed Sep 18 12:25:39 2024 Route deletion via service succeeded
Wed Sep 18 12:25:39 2024 Closing TUN/TAP interface
Wed Sep 18 12:25:51 2024 TAP: DHCP address released
Wed Sep 18 12:25:51 2024 SIGTERM[hard,init_instance] received, process exiting
Wed Sep 18 12:25:51 2024 MANAGEMENT: >STATE:1726655151,EXITING,init_instance,,,,,
Wed Sep 18 13:08:53 2024 OpenVPN 2.4.12 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar 17 2022
Wed Sep 18 13:08:53 2024 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Sep 18 13:08:53 2024 library versions: OpenSSL 1.1.1n 15 Mar 2022, LZO 2.10
Enter Management Password:
Wed Sep 18 13:08:53 2024 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Sep 18 13:08:53 2024 Need hold release from management interface, waiting...
Wed Sep 18 13:08:54 2024 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Sep 18 13:08:54 2024 MANAGEMENT: CMD 'state on'
Wed Sep 18 13:08:54 2024 MANAGEMENT: CMD 'log all on'
Wed Sep 18 13:08:54 2024 MANAGEMENT: CMD 'echo all on'
Wed Sep 18 13:08:54 2024 MANAGEMENT: CMD 'bytecount 5'
Wed Sep 18 13:08:54 2024 MANAGEMENT: CMD 'hold off'
Wed Sep 18 13:08:54 2024 MANAGEMENT: CMD 'hold release'
Wed Sep 18 13:08:54 2024 MANAGEMENT: CMD 'username "Auth" USER'
Wed Sep 18 13:08:54 2024 MANAGEMENT: CMD 'password [...]'
Wed Sep 18 13:08:54 2024 MANAGEMENT: >STATE:1726657734,RESOLVE,,,,,,

2024-09-18 12:25:51PM [5172] err Information über das Zurücksetzen der Verbindung von Gateway: mysophos.mysophos PORT erhalten

2024-09-18 12:25:39PM [1396] dbg read TCP_CLIENT: Unknown error (code=10060)
2024-09-18 12:25:39PM [1396] dbg read TCP_CLIENT: Unknown error (code=10060)
2024-09-18 12:25:39PM [1396] dbg Connection reset, restarting [-1]
2024-09-18 12:25:39PM [1396] dbg Received connection reset
2024-09-18 12:25:39PM [1396] dbg mysophos.mysophos VPN state changed to disconnecting
2024-09-18 12:25:39PM [13688] dbg Tunnel is stopped
2024-09-18 12:25:51PM [1396] dbg received exiting event
2024-09-18 12:25:51PM [10924] dbg mysophos.mysophos VPN state changed to disconnected
2024-09-18 12:25:51PM [10924] dbg Sending notification: Received connection reset from gateway: mysophos.mysophos PORT
2024-09-18 12:25:57PM [8244] dbg mysophos.mysophos VPN state changed to connecting
2024-09-18 12:25:57PM [8244] dbg Starting tunnel (connecting)
2024-09-18 12:26:09PM [8244] dbg State is connecting, setting to disconnected
2024-09-18 12:26:09PM [8244] dbg mysophos.mysophos VPN state changed to disconnected
2024-09-18 12:26:09PM [8244] dbg Sending notification: DNS resolution failed for gateway: mysophos.mysophos
2024-09-18 01:08:51PM [6996] dbg mysophos.mysophos VPN state changed to connecting
2024-09-18 01:08:51PM [6996] dbg Starting tunnel (connecting)
2024-09-18 01:08:51PM [6996] inf Remote added to list: mysophos.mysophos PORT
2024-09-18 01:08:54PM [6996] dbg Tunnel initiated to mysophos.mysophos PORT
2024-09-18 01:09:07PM [6124] dbg WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2024-09-18 01:09:07PM [6124] dbg WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
2024-09-18 01:09:07PM [6124] dbg Connection to open vpn has been established
2024-09-18 01:09:07PM [6124] dbg Adding watch for physical IP 192.168.XXX.XXX down
2024-09-18 01:09:07PM [6124] dbg mysophos.mysophos VPN state changed to connected


2024-09-18 11:45:52AM 00[DMN] Starting IKE service charon-svc (strongSwan 5.9.5, Windows Client 6.2.9200 (SP 0.0)
2024-09-18 11:45:52AM 00[LIB] TAP-Windows driver version 1.0 available.
2024-09-18 11:45:54AM 00[LIB] opened TUN device: {7D609D6B-B01D-488E-A0A6-5778C6E22065}
2024-09-18 11:45:54AM 00[LIB] loaded plugins: charon-svc nonce x509 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pem openssl kernel-libipsec kernel-iph socket-win vici eap-identity eap-gtc eap-mschapv2 xauth-generic windows-dns
2024-09-18 11:45:54AM 00[JOB] spawning 16 worker threads
2024-09-18 11:45:55AM 17[KNL] interface 19 'Intel(R) Wi-Fi 6 AX201 160MHz' changed state from Down to Up
2024-09-18 11:46:01AM 17[KNL] interface 16 'Microsoft Wi-Fi Direct Virtual Adapter' appeared
2024-09-18 11:47:46AM 18[KNL] interface 4 'Microsoft Wi-Fi Direct Virtual Adapter #2' appeared
2024-09-18 11:49:36AM 19[KNL] interface 9 'TAP-Windows Adapter V9' changed state from Down to Up
2024-09-18 11:49:36AM 20[KNL] 169.254.92.182 disappeared from interface 9 'TAP-Windows Adapter V9'
2024-09-18 12:05:10PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:05:10PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 12:06:20PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:06:37PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:06:37PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 12:07:47PM 22[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:08:31PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:08:31PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 12:09:36PM 21[KNL] interface 9 'TAP-Windows Adapter V9' changed state from Up to Down
2024-09-18 12:09:36PM 21[KNL] IPADDRESS disappeared from interface 9 'TAP-Windows Adapter V9'
2024-09-18 12:09:36PM 22[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:09:37PM 22[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:09:37PM 22[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 12:09:48PM 21[KNL] interface 9 'TAP-Windows Adapter V9' changed state from Down to Up
2024-09-18 12:09:48PM 21[KNL] 169.254.92.182 disappeared from interface 9 'TAP-Windows Adapter V9'
2024-09-18 12:11:02PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:11:23PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:11:23PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 12:12:00PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:13:25PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:13:25PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 12:14:35PM 21[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:16:03PM 23[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:16:03PM 23[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 12:17:13PM 23[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:20:10PM 24[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:20:11PM 24[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 12:21:20PM 24[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:22:28PM 24[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 12:22:28PM 24[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared
2024-09-18 12:25:51PM 25[KNL] interface 9 'TAP-Windows Adapter V9' changed state from Up to Down
2024-09-18 12:25:51PM 25[KNL] IPADDRESS disappeared from interface 9 'TAP-Windows Adapter V9'
2024-09-18 01:09:03PM 26[KNL] interface 9 'TAP-Windows Adapter V9' changed state from Down to Up
2024-09-18 01:09:03PM 26[KNL] 169.254.92.182 disappeared from interface 9 'TAP-Windows Adapter V9'
2024-09-18 01:09:24PM 27[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' appeared
2024-09-18 01:09:24PM 27[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' changed state from Down to Up
2024-09-18 01:10:34PM 26[KNL] interface 12 'Microsoft Teredo Tunneling Adapter' disappeared



Added TAGs
[edited by: Raphael Alganes at 11:31 PM (GMT -7) on 18 Sep 2024]
Parents
  • Hallo Net-Admin,
    was ist das Problem auch vorhanden bei UDP?  Wir nehmen eigentlich auch lieber TCP 443, damit es in Hotels etc. nicht zu Problemen kommt.  Haben die Kollegen im Home Office eine recht neue FritzBox? Ich meine mich zu erinnern das Konfigurationen im der Standard FritzBox sind, die störend wirken weil die Ports dann schon in Verwendung sind. Ich weiß nur nicht mehr wie die "Neue" VPN Funktion heißt in der FB.

    Benutzt du den Sophos VPN Client ?Oder die Windows interne Verbindungmöglichkeit? Oder OpenVPN Client?

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Hallo Patrick81,

    danke erstmal für die Rückmeldung.
    Wir verwenden den Sophos VPN und unsere Firewall ist auf dem folgenden stand: SFOS 19.5.3 MR-3-Build652

    Das neuste Update zu machen und auf die 20.x zu gehen ist gerade keine Option. Das mit der Fritzbox ist ein guter Ansatz, jedoch habe ich nicht die zeit bei circa 50 Personen die Fritzbox zu checken, beziehungsweise die Blackbox (Vodafone) oder ähnliche Produkte. Ich kann mal in erfahrung bringen, welches gerät bei dem Kollegen explizit verwendet wird, jedoch kann das keine Lösung sein. Es muss ja allgemein eine Lösung geben, dass der VPN nicht mehr willkürlich abbricht. Zumal andere Anwendungen wie Online Radio auf einem privat gerät nicht abbrechen.

    LG

    Net-Admin-KZV

  • Ich verstehe deine Aussage sehr gut, das würde mir ähnlich gehen. Das Problem ist, bei so einer Menge an SSL Verbindungen, kannst du auch nicht einfach auf UDP umbauen, da das Protokoll TCP oder UDP mit in der SSL Konfig Datei drin steht.

    Weißt du was für Anschlussarten betroffen sind? Zumindest mal bei den 5 Usern nachschauen die am meisten Probleme haben?
    Wird ein reiner IPv4 DSLer verwendet? Sind es Dualstack oder gar Dual Stack Lite Leitungen? Bestehen die Probleme bei den 5 trotz komplett verschiedener Internet-Techniken Kabel/DSL usw.

    Ergibt sich vielleicht doch ein Hinweis, der sich auf eine gemeinsame Medientechnik stützt z.B. Kabel/DOCSIS/DUALSTAK Lite etc.

    Leider haben wir grade während Corona stark erfahren, das viele VPN Probleme auf die Home-Office-Verbindungen an sich zurückzuführen sind. Bis dahin das wir keine Verbindung bekommen haben, da die FritzBoxen mit rein IPv6 nach außen kommuniziert haben und keine Verbindung zustande kam, weil die Gegenstelle nicht erreicht worden ist (rein IPv4).

    Wäre es eine Option, bei einem User der extreme Probleme hat, mal eine IPSEC Verbindung einzurichten? Die kann man ja Parallel zur SSL VPN betreiben.

    Nachtrag: Hast du die rekeying Zeiten mal angepasst? Diese stehen auch nicht in der SSLKonfig Datei. Du kannst die getrost von 28800 auf 43200 anpassen. Die findest du in der Globalen SSL Konfig.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Die meisten Abbrüche haben wir bei der Kombination UDP & Provider-Grade-NAT (Internet über Kabel, FTTB, ...) bei DSL eigentlich nie, da man hier meist eine eigene echte IP am ISP-Router bekommt.
    Das Verbindungs-Protokoll (TCP/UDP) und die Art des Internet-Anschlusses wären für die Fehlereingrenzung hilfreich.
    IPSec parallel zu betreiben (wie von Patrick81 empfohlen) ist ein erfolgversprechender Workaround. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Die meisten Abbrüche haben wir bei der Kombination UDP & Provider-Grade-NAT (Internet über Kabel, FTTB, ...) bei DSL eigentlich nie, da man hier meist eine eigene echte IP am ISP-Router bekommt.
    Das Verbindungs-Protokoll (TCP/UDP) und die Art des Internet-Anschlusses wären für die Fehlereingrenzung hilfreich.
    IPSec parallel zu betreiben (wie von Patrick81 empfohlen) ist ein erfolgversprechender Workaround. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children