VPN Zugang (über Sophos VPN Client) sowie User Portal Fehler: Ungültiger Benutzername /Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe.

Sehr geehrtes Forum, 

Ich habe seit Montag das Problem, das sich zwei User nicht mehr am Userportal & per VPN Client unter Windows 10 anmelden können, es kommt folgende Fehlermeldung:

Ungültiger Benutzername / Kennwort, oder Zugang verweigert aufgrund einer internen Vorgabe. -> im Userportal. 

Am VPN Client unter Windows kommt keine Fehlermeldung, im Status sehe ich: 
AUTH: Received control message: AUTH_FAILED
Falsches Kennwort der User schließe ich aus. 

Die VPN User werden über eine Sicherheitsgruppe im AD synchronisiert, sind nicht gesperrt, können sich im Büro anmelden. 


Jetzt ist meine Frage, wo kann ich schauen? Welches der Protokolle gibt etwas mehr Auskunft? 


Die Möglichkeit, Flush Authentication Cache zu leeren habe ich gemacht, kein Erfolg. 
https://community.sophos.com/utm-firewall/f/german-forum/119146/anmeldung-am-user-portal-funktioniert-bei-einem-user-uber-otp-nicht


Hier hat jemand Anmelden an im AD als Grund gehabt, ist bei mir nicht der Fall.
https://community.sophos.com/utm-firewall/f/german-forum/59336/userportal-zugang-verweigert


Wir setzen sind SG125 mit V9.711-5 ein, Lizenzen sind gerade verlängert worden. 

Gruß
Carsten Lehmann

Parents Reply Children
  • Hallo Carsten,

    fing es evtl. mit einem Kennwortwechsel an? ... oder wurde es vorher nur nicht probiert?

    Versuche mal ein Kennwort welches nur zahlen Buchstaben groß+klein sowie max das #  als Sonderzeichen hat.

    Das hatten wir jetzt häufiger hier.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo,

    ich hatte kurz gelesen, dass der Connect Client 2.2 gestern veröffentlicht wurde, ist da diese Problematik behoben?

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Philipp,

    wo hast du das gesehen?

    Auf den warten wir ja nun schon lange händeringend.

    Ich bin gerade morgen wieder bei einem Kunden, der den dringend braucht.

    Der würde bestimmt gern testen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • I'd like to know as well, because the download site still shows 2.1

    UTM - 9.712 | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SATA HDD | GB Ethernet x5

  • Hallo Dirk, 

    nein - das Kennwort (Anmeldung an Domäne, Windows 10 Client) wurde nicht geändert.  Ich habe selber letzten Freitag noch im HomeOffice per VPN gearbeitet u. Montag ging es nicht mehr. 

    Ich hatte vorher ein Kennwort - hier jetzt natürlich abgeändert, aber ähnlich - Heise2023
    Jetzt habe ich eines (ähnlich) wie: Oldenburg1!

    Vorher lief es mit dem alten Kennwort lange. Das einzige, was wir letzte Woche geändert haben, ist eine Lizenzverlängerung einzuspielen um weitere 12 Monate. 

    Abonnements: Basisfunktionalität
    Email Protection
    Network Protection
    Web Protection
    Webserver Protection
    Wireless Protection

    Im Logwin Protokoll für SSL VPN sehe ich auch den Anmeldeversuch:

    2022:06:29-08:14:08 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 PLUGIN_CALL: POST /usr/lib/openvpn/plugins/openvpn-plugin-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=2
    2022:06:29-08:14:08 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 TLS: Username/Password authentication deferred for username 'C.Lehmann' [CN SET]
    2022:06:29-08:14:08 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    2022:06:29-08:14:08 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2022:06:29-08:14:08 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
    2022:06:29-08:14:08 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    2022:06:29-08:14:08 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
    2022:06:29-08:14:08 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 [C.Lehmann] Peer Connection Initiated with [AF_INET]x72.xxx.xxx.xxx:51987 (via [AF_INET]31.209.82.74:4443)
    2022:06:29-08:14:09 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 PUSH: Received control message: 'PUSH_REQUEST'
    2022:06:29-08:14:09 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 Delayed exit in 5 seconds
    2022:06:29-08:14:09 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 SENT CONTROL [C.Lehmann]: 'AUTH_FAILED' (status=1)
    2022:06:29-08:14:09 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 Connection reset, restarting [0]
    2022:06:29-08:14:09 gateway openvpn[8053]: x72.xxx.xxx.xxx:51987 SIGUSR1[soft,connection-reset] received, client-instance restarting



    Andere Kollegen arbeiten derzeit im HomeOffice ohne Probleme. Eine Kollegin ist im Büro, hat sich gerade mit ihrem Laptop (den Sie nur für HomeOffice nutzt, lokal hat Sie eine Workstation) im WLAN angemeldet, kein Problem. 


    Auf einem Testrechner habe ich den Connect Client 2.1 installiert, gleiches Ergebnis - ich komme nicht rein. 

    Gruß
    Carsten Lehmann

  • Moin nochmal!

    Es funktioniert jetzt. Danke an alle Teilnehmer! 

    Ich habe im Bereich Definition & Benutzer meinen User gelöscht. Manuell neuen Benutzer (mich) hinzugefügt, danach konnte ich mich mit VPN verbinden. 

    Hierzu doch noch eine Frage: 
    Wir wurden im Bereich Sophos bisher von einem IT Partner betreut, der dieses Geschäft aber abgeben möchte. Also versuche ich "einfache" Sachen selber zu machen u. mir kleine Anleitungen zu schreiben, da ich als Admin im Unternehmen für alles zuständig bin. Also breit aber nicht tief aufgestellt. 

    Wir haben im AD eine Gruppe SSL VPN, hier sind alle User drin, die VPN dürfen (ob Mobile Geräte oder auf einem Laptop etc.). Wenn ich hier User reinziehe, sollten die doch irgendwann in der Sophos unter Benutzer & Gruppen auftauchen oder? 

    Manche User habe ich hier 2 x drin stehen: 
    M.Mustermann

    Bearbeiten
    Löschen
    F.Mustermann F. Mustermann<M.Mustermann@domain.de> 
    Remote-authentifiziert [Benutzerdaten wurden automatisch vom Backend aktualisiert]
    synced from adirectory
     
    Bearbeiten
    Löschen
    f.mustermann Frank Mustermann 
    Remote-authentifiziert [Benutzerdaten wurden automatisch vom Backend aktualisiert]
    synced from adirectory

    Warum tauch dieser User zweimal auf, einmal Groß u. einmal klein geschrieben?
    Eigentlich werden die doch über das AD synchronisiert? 

    Gruß
    Carsten Lehmann

  • Vielleicht sind die beide im AD?

    MfG - Bob
    PS Dirk und Philipp sind in DE.

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Weil der Username (nur Prä-2000 Windows ist hier entscheidend!) im AD 1x groß und 1x klein geschrieben wurde (warum auch immer) -> für Sophos ein "neuer" Benutzer, da in diesem Fall Case-Sensitive -> Sync legt einen 2. Benutzer an.

    Müsste man übrigens auch schnell im Directory user prefetch Log sehen (hier meckert dann der Sync, weil beide User die gleiche Mail nutzen und einer der beiden den kürzeren zieht).