SSL-VPN Authentifizierung nicht möglich

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
nc7
Beiträge: 4
Registriert: Do 01.12.2022, 12:45

SSL-VPN Authentifizierung nicht möglich

Beitrag von nc7 »

Servus,

folgendes Problem habe ich bei einem unserer User:

Anmeldung am SSL-VPN-Client mit UDP-CFG, TCP hat bei dem User immer Probleme gemacht.
Ging zuvor ohne Probleme, es wurden keine Änderungen gemacht.
Nach Eingabe der Benutzerdaten + OTP, egal ob direkt an das Passwort oder per OTP-Eingabefeld, springt die Anmeldung auf "Rot".

Zeit auf dem Client und der Securepoint ist korrekt.
Ich habe auch schon einen neuen Key generiert und den importiert.

Ich bin langsam am verzweifeln.

Im Folgenden ist das Log. Dort sieht man ein "@offset -1 & 2"
Hängt das damit zusammen?

Falls jemand schon mal damit zu kämpfen hatte und mir weiterhelfen könnte, wäre ich sehr dankbar!

Gruß Nico

2022-11-30T14:48:54.345+01:00 spauthd[15511]: krb5_get_init_creds_password: Preauthentication failed (-1765328360)
2022-11-30T14:48:54.345+01:00 spauthd[15511]: mustermann: AD authentication failed
2022-11-30T14:49:30.098+01:00 spauthd[15511]: do_authenticate_totp: otp authentication failed
2022-11-30T14:49:30.098+01:00 openvpn[6105]: authentication: msg='failure', service='openvpn_local', user='mustermann', rhost='(null)'
2022-11-30T14:49:36.439+01:00 spauthd[15511]: krb5_get_init_creds_password: Preauthentication failed (-1765328360)
2022-11-30T14:49:36.439+01:00 spauthd[15511]: mustermann: AD authentication failed
2022-11-30T14:49:49.696+01:00 spauthd[15511]: do_authenticate_totp: otp authentication failed
2022-11-30T14:49:49.696+01:00 openvpn[6191]: authentication: msg='failure', service='openvpn_local', user='mustermann', rhost='(null)'
2022-11-30T14:49:55.797+01:00 spauthd[15511]: krb5_get_init_creds_password: Preauthentication failed (-1765328360)
2022-11-30T14:49:55.797+01:00 spauthd[15511]: mustermann: AD authentication failed
2022-11-30T14:51:09.215+01:00 spauthd[15511]: krb5_get_init_creds_password: Preauthentication failed (-1765328360)
2022-11-30T14:51:09.215+01:00 spauthd[15511]: mustermann: AD authentication failed
2022-11-30T14:51:29.387+01:00 spauthd[15511]: do_totp: (mustermann) @ offset -1 & 2
2022-11-30T14:51:29.391+01:00 spauthd[15511]: authentication: msg='session opened', service='openvpn', user='mustermann', rhost='134.19.72.80', vhost4='192.168.72.2'
2022-11-30T14:51:55.801+01:00 spauthd[15511]: krb5_get_init_creds_password: Preauthentication failed (-1765328360)
2022-11-30T14:51:55.801+01:00 spauthd[15511]: mustermann: AD authentication failed

nc7
Beiträge: 4
Registriert: Do 01.12.2022, 12:45

Beitrag von nc7 »

Ich habe mich per Putty mal auf die Securepoint geschaltet und mit "date" und "hwclock" das Datum und die Uhrzeit geprüft - alles i.O.

Für den Übergang, habe ich dem User, einen Benutzer mit dem selben Secret direkt in der Securepoint erstellt.
Damit klappt es zumindest.
Also muss das AD ja ausschlaggebend sein - "AD authentication failed" sagt ja schon was...
Aber auch nur für diesen einen User.
Das Passwort hat er nicht geändert - mit dem selben Passwort kommt er auch in unser Terminal.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ich gehe eher davon aus, das die AD-Anbindung nicht sauber konfiguriert ist und/ oder der Windows Server kein eDNS versteht.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

nc7
Beiträge: 4
Registriert: Do 01.12.2022, 12:45

Beitrag von nc7 »

Mario hat geschrieben: Ich gehe eher davon aus, das die AD-Anbindung nicht sauber konfiguriert ist und/ oder der Windows Server kein eDNS versteht.
Kann das denn für einen einzelnen Benutzer sein, ohne Änderungen vorgenommen zu haben?
Das System ist so seit 3 Jahren im Einsatz. Wir haben ca. 100 Leute, die teils über TCP, teils UDP das VPN beanspruchen.
Bei allen anderen funktioniert es ja komischerweise.

Deswegen gehe ich erstmal nicht von einer unsauberen Config aus. Ich kann mich ja auch irren, aber ist sehr unwahrscheinlich.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ich sehe halt das "Preauthentication failed"

Ich denke es waere gut, wenn Sie ein Ticket bei uns aufmachen. Sehen Sie im Alerting Center entsprechende LDAP-Fehlermeldungen?
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

nc7
Beiträge: 4
Registriert: Do 01.12.2022, 12:45

Beitrag von nc7 »

Mario hat geschrieben: Ich sehe halt das "Preauthentication failed"

Ich denke es waere gut, wenn Sie ein Ticket bei uns aufmachen. Sehen Sie im Alerting Center entsprechende LDAP-Fehlermeldungen?
Preauthentication: Falsches Passwort kann ich ausschließen. Anbindung zum AD auch wie immer ordentlich.
Im Alerting Center sind keine LDAP-Fehler zu sehen.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Okay, dann waere es gut ein Ticket aufzumachen
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten