Securepoint SSL VPN Client Probleme 2.0.35

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
mipo
Beiträge: 4
Registriert: So 09.01.2022, 23:11

Securepoint SSL VPN Client Probleme 2.0.35

Beitrag von mipo »

Hallo Experten,

es ist hier mein erster Post und ich hoffe ich habe den Bereich richtig erwischt.

Ich setze seit einigen Jahren den Securepoint SSL VPN Client zur Einwahl in mehrere Sophos UTM Firewalls mit recht aktueller Firmware z.B 9.797-5 ein. Funktionierte
in den letzten Jahren tadellos. Nun habe ich das Phänomen, dass ich mich in eine Firewall nicht mehr einloggen kann. Dabei hat sich die Konfiguration der FW definitiv
nach meinem Wissen nicht verändert.


2022-01-09 22:22:47 TCP/UDP: Preserving recently used remote address: [AF_INET]123.123.123.123:1194
2022-01-09 22:22:47 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-01-09 22:22:47 Attempting to establish TCP connection with [AF_INET]123.123.123.123:1194 [nonblock]
2022-01-09 22:22:47 TCP connection established with [AF_INET]123.123.123.123:1194
2022-01-09 22:22:47 TCP_CLIENT link local: (not bound)
2022-01-09 22:22:47 TCP_CLIENT link remote: [AF_INET]123.123.123.123:1194
2022-01-09 22:22:47 TLS: Initial packet from [AF_INET]123.123.123.123:1194, sid=7b0d42aa 3619a650
2022-01-09 22:22:49 VERIFY OK: depth=1, C=de,  L=xxxxxg, O=xxxxx für xxxxxxxxxx, CN=xxxxxx VPN CA, emailAddress=info[at]xxxxxxxxxx_punkt_tld
ERROR: TLS error! See log for details
2022-01-09 22:22:49 Fatal TLS error (check_tls_errors_co), restarting
2022-01-09 22:22:49 SIGUSR1[soft,tls-error] received, process restarting
2022-01-09 22:22:49 Restart pause, 5 second(s)
2022-01-09 22:22:54 TCP/UDP: Preserving recently used remote address: [AF_INET]123.123.123.123:1194
2022-01-09 22:22:54 Socket Buffers: R=[65536->65536] S=[65536->65536]
2022-01-09 22:22:54 Attempting to establish TCP connection with [AF_INET]123.123.123.123:1194 [nonblock]
2022-01-09 22:22:54 TCP connection established with [AF_INET]123.123.123.123:1194
2022-01-09 22:22:54 TCP_CLIENT link local: (not bound)
2022-01-09 22:22:54 TCP_CLIENT link remote: [AF_INET]123.123.123.123:1194
2022-01-09 22:22:54 TLS: Initial packet from [AF_INET]123.123.123.123:1194, sid=8efd68a1 c3273b03
2022-01-09 22:22:55 VERIFY OK: depth=1, C=de, L=xxxxxg, O=xxxxx für xxxxxxxxxx, CN=xxxxxx VPN CA, emailAddress=info[at]xxxxxxxxxx_punkt_tld
ERROR: TLS error! See log for details
Disconnected


Ich habe natürlich die relevant privaten Angaben unkenntlich gemacht. IP, Name usw.

Was mich sehr irritiert ist, dass der Sophos eigene Client (der aber sehr sehr rudimentärin der Anwendung ist) funktioniert. Der Securepoint aber nicht mehr (springt von gelb nach rot).
Aber in andere Sophos FW's ist der Zugriff noch problemlos möglich.

Ich hatte schon vermitet, dass es vielleiicht im Umlaut bei O=.... für ... Probleme geben könnte. Aber auch ein Downgrade auf eine ältere Version des SSL VPN Clients brachten keinen
Unterschied. Eine  neue CA kann ich in der FW nicht erzeugen, da damit auf einen Schlag alle VPN Zugänge ungültig werden.

Was läuft hier wohl schief? Wie lässt sich der Fehler beseitigen?

Viele Grüße + Dank
Michael

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin Michael,

steht gleichzeitig im Log der Sophos etwas was den Aufbau der Tunnel verhindern könnte?

Gruß

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Mit welcher VPN-Client-Version funktionierte es noch?
Ab einer bestimmten Version wird kein SHA1 mehr in der Zertifikatkette akzeptiert.

mipo
Beiträge: 4
Registriert: So 09.01.2022, 23:11

Beitrag von mipo »

Hallo zusammen,

sorry, ich war die Tage sehr im Stress. Anbei habe ich einmal das Logfile des Sophos UTM (Auszug, vvv.vvv.vvv.vvv = meine Quell IP) ein bisschen verfremdet angehängt.

Ich finde eigentlich keine schlüssige, eindeutige Aussage *warum* es abgelehnt wird.

Ich habe aber einmal ein paar Experimente gemacht. Ich hatte einmal die Version "openvpn-client-installer-2.0.26.exe" installiert. Leider gehen mir hier alle Konfiguationen
verloren. Habe aber erfolgreich, nach Neueinrichtung, die Open SSL Verbindung zur Sophos herstellen können. Nach Upgrade auf die 2.0.35 trat der Fehler wieder auf.

Mit fiel ferner auf, dass die 2.0.26 einen Hinweis gibt, dass es zu Problemen kommen kann, wenn der DH Key zu klein ist.

Was kann man tun?
Kann man den neueren Securepoint SSL VPN Client anweisen, sich so zu verhalten, wie die alte Version? Der DH Key wird doch meines Wissens bei der Einrichtung der CA (?)
auf der Firewall neu generiert. Ein Upgrade der CA bedeutet ja, dass alle bisherigen VPN Profile ungültig werden. Richtig?

Wie kann ich die Konfiguration "as is" der 2.0.35 komplett sichern und nach Deinstallation und Neuinstallation wieder in eine frühere Version einspielen?


Log:
2022:01:15-21:50:07 astaro openvpn[16106]: MULTI: multi_create_instance called
2022:01:15-21:50:07 astaro openvpn[16106]: Re-using SSL/TLS context
2022:01:15-21:50:07 astaro openvpn[16106]: LZO compression initialized
2022:01:15-21:50:07 astaro openvpn[16106]: Control Channel MTU parms [ L:1572 D:1210 EF:40 EB:0 ET:0 EL:3 ]
2022:01:15-21:50:07 astaro openvpn[16106]: Data Channel MTU parms [ L:1572 D:1450 EF:72 EB:143 ET:0 EL:3 AF:3/1 ]
2022:01:15-21:50:07 astaro openvpn[16106]: Local Options String: 'V4,dev-type tun,link-mtu 1572,tun-mtu 1500,proto TCPv4_SERVER,comp-lzo,cipher AES-256-CBC,auth SHA256,keysize 256,key-method 2,tls-server'
2022:01:15-21:50:07 astaro openvpn[16106]: Expected Remote Options String: 'V4,dev-type tun,link-mtu 1572,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-256-CBC,auth SHA256,keysize 256,key-method 2,tls-client'
2022:01:15-21:50:07 astaro openvpn[16106]: Local Options hash (VER=V4): '372232dd'
2022:01:15-21:50:07 astaro openvpn[16106]: Expected Remote Options hash (VER=V4): '2ba0d2f5'
2022:01:15-21:50:07 astaro openvpn[16106]: TCP connection established with [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194)
2022:01:15-21:50:07 astaro openvpn[16106]: TCPv4_SERVER link local: [undef]
2022:01:15-21:50:07 astaro openvpn[16106]: TCPv4_SERVER link remote: [AF_INET]vvv.vvv.vvv.vvv:64254
2022:01:15-21:50:07 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER READ [14] from [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 [ ] pid=0 DATA len=0
2022:01:15-21:50:07 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TLS: Initial packet from [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194), sid=ad7cf97f 7fb36f46
2022:01:15-21:50:07 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER WRITE [26] to [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_CONTROL_HARD_RESET_SERVER_V2 kid=0 [ 0 ] pid=0 DATA len=0
2022:01:15-21:50:07 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER READ [22] from [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_ACK_V1 kid=0 [ 0 ]
2022:01:15-21:50:07 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER READ [267] from [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_CONTROL_V1 kid=0 [ ] pid=1 DATA len=253
2022:01:15-21:50:08 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER WRITE [1196] to [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_CONTROL_V1 kid=0 [ 1 ] pid=1 DATA len=1170
2022:01:15-21:50:08 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER WRITE [1184] to [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_CONTROL_V1 kid=0 [ ] pid=2 DATA len=1170
2022:01:15-21:50:08 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER WRITE [1184] to [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_CONTROL_V1 kid=0 [ ] pid=3 DATA len=1170
2022:01:15-21:50:08 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER WRITE [396] to [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_CONTROL_V1 kid=0 [ ] pid=4 DATA len=382
2022:01:15-21:50:08 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 TCPv4_SERVER READ [22] from [AF_INET]vvv.vvv.vvv.vvv:64254 (via [AF_INET]192.168.30.254:1194): P_ACK_V1 kid=0 [ 1 ]
2022:01:15-21:50:08 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 Connection reset, restarting [-1]
2022:01:15-21:50:08 astaro openvpn[16106]: vvv.vvv.vvv.vvv:64254 SIGUSR1[soft,connection-reset] received, client-instance restarting
2022:01:15-21:50:08 astaro openvpn[16106]: TCP/UDP: Closing socket


Freue mich auf eure hoffentlich hilfreichen Tips!

Viele Grüße
Michael

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Einfach unter "%USERPROFILE%\AppData\Roaming\" den Ordner "Securepoint SSL VPN" sichern und nach der Installation wiederherstellen.

mipo
Beiträge: 4
Registriert: So 09.01.2022, 23:11

Beitrag von mipo »

Hallo Franz,

danke Dir für den Tip! Funktioniert!! Habe jetzt einmal die 2.0.26 installiert und den Inhalt des vorher gesicherten Ordners dorthin kopiert. Funktioniert jetzt ...
Frage ist nur: Was hat sich geändert und wie kann ich ggf. unter der neuen, aktuellen 2.0.35 Version die Funktionin wieder herstellen?

Gruß
Michael

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Hallo Michael,

kann es sein, dass noch SHA1-Zertifikate verwendet werden (Client- oder CA-Zertifikat)?

Ab v2.0.29 können keine Zertifikate mit SHA1 mehr verwendet werden.

Gruß

Franz

mipo
Beiträge: 4
Registriert: So 09.01.2022, 23:11

Beitrag von mipo »

Hallo Franz,

wie bekomme ich das raus? Kann durchaus sein ...
Ich hatte eigentlich auf die DH Keylänge getippt.

Viele Grüße
Michael

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Unter Windows eine Doppelklick auf das Zertifikat und dann unter Details den Signaturhashalgorithmus anzeigen.Eventuell auch die Zertifikate im Zertifizierungspfad anschauen.

Antworten