SSL-VPN braucht mehrere Anläufe

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
it.uft
Beiträge: 10
Registriert: Do 12.12.2019, 11:05

SSL-VPN braucht mehrere Anläufe

Beitrag von it.uft »

Hallo Leute,

ich habe ein kleines Problem.
Keine Ahnung, ob das relevant ist, aber wir haben seid kurzem einen LTE-Router neben der 10MBit-Leitung (Gewichtung 10:1 für LTE-Router:10Mbit).
Und man muss sich mit dem Securepoint SSL VPN mehrere mal verbinden, damit der VPN aufgebaut ist.
Der Log, wenn die Verbindung nicht funktioniert sieht wie folgt aus:
Try to start OpenVPN connection srv_secpo_uft_alu_de_SSL_VPNPortal C:/Users/meinName/AppData/Roaming/Securepoint SSL VPN/config/srv_secpo_uft_alu_de_SSL_VPNPortal
Fri Apr 23 11:58:56 2021 OpenVPN 2.4.9 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 16 2020
Fri Apr 23 11:58:56 2021 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Apr 23 11:58:56 2021 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10

Fri Apr 23 11:58:56 2021 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 23 11:58:57 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:1194
Fri Apr 23 11:58:57 2021 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Apr 23 11:58:57 2021 UDP link local: (not bound)
Fri Apr 23 11:58:57 2021 UDP link remote: [AF_INET]XX.XX.XX.XX:1194
Fri Apr 23 11:59:57 2021 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
ERROR: TLS error! See log for details
Fri Apr 23 11:59:57 2021 TLS Error: TLS handshake failed
Fri Apr 23 11:59:57 2021 SIGUSR1[soft,tls-error] received, process restarting
Fri Apr 23 11:59:57 2021 Restart pause, 5 second(s)
Fri Apr 23 12:00:02 2021 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 23 12:00:02 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:1194
Fri Apr 23 12:00:02 2021 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Apr 23 12:00:02 2021 UDP link local: (not bound)
Fri Apr 23 12:00:02 2021 UDP link remote: [AF_INET]XX.XX.XX.XX:1194
Fri Apr 23 12:01:02 2021 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
ERROR: TLS error! See log for details
Fri Apr 23 12:01:02 2021 TLS Error: TLS handshake failed
Disconnected
Wenn es funktioniert, dann sieht es wie folgt aus:
Try to start OpenVPN connection srv_secpo_uft_alu_de_SSL_VPNPortal C:/Users/meinName/AppData/Roaming/Securepoint SSL VPN/config/srv_secpo_uft_alu_de_SSL_VPNPortal
Fri Apr 23 06:32:36 2021 OpenVPN 2.4.9 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 16 2020
Fri Apr 23 06:32:36 2021 Windows version 6.2 (Windows 8 or greater) 64bit
Fri Apr 23 06:32:36 2021 library versions: OpenSSL 1.1.1f  31 Mar 2020, LZO 2.10

Fri Apr 23 06:32:36 2021 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Apr 23 06:32:36 2021 TCP/UDP: Preserving recently used remote address: [AF_INET]XX.XX.XX.XX:1194
Fri Apr 23 06:32:36 2021 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri Apr 23 06:32:36 2021 UDP link local: (not bound)
Fri Apr 23 06:32:36 2021 UDP link remote: [AF_INET]XX.XX.XX.XX:1194
Fri Apr 23 06:32:36 2021 TLS: Initial packet from [AF_INET]XX.XX.XX.XX:1194, sid=7ad99a8b 3e596bf7
Fri Apr 23 06:32:36 2021 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Apr 23 06:32:36 2021 VERIFY OK: depth=1, C=DE, ST=Deutschland, L=Ort, O=Firma, OU=IT, CN=UFT-ALU, emailAddress=email@meineFirma.de
Fri Apr 23 06:32:36 2021 VERIFY OK: depth=0, C=DE, ST=Deutschland, L=Ort, O=Firma, OU=IT, CN=secpo-srv, emailAddress=email@meineFirma.de
Fri Apr 23 06:32:36 2021 Control Channel: TLSv1.2, cipher TLSv1.2 DHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Fri Apr 23 06:32:36 2021 [secpo-srv] Peer Connection Initiated with [AF_INET]XX.XX.XX.XX:1194
Fri Apr 23 06:32:37 2021 SENT CONTROL [secpo-srv]: 'PUSH_REQUEST' (status=1)
Fri Apr 23 06:32:37 2021 OPTIONS IMPORT: timers and/or timeouts modified
Fri Apr 23 06:32:37 2021 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Apr 23 06:32:37 2021 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Fri Apr 23 06:32:37 2021 interactive service msg_channel=0
Fri Apr 23 06:32:37 2021 ROUTE_GATEWAY 192.168.1.1/255.255.255.0 I=19 HWADDR=e4:70:b8:fd:33:ce
Fri Apr 23 06:32:37 2021 open_tun
Fri Apr 23 06:32:37 2021 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{92A413DC-D327-4FEC-BBB1-2637251E6790}.tap
Fri Apr 23 06:32:37 2021 TAP-Windows Driver Version 9.24
Fri Apr 23 06:32:37 2021 Set TAP-Windows TUN subnet mode network/local/netmask = 192.168.100.0/192.168.100.4/255.255.255.0 [SUCCEEDED]
Fri Apr 23 06:32:37 2021 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.100.4/255.255.255.0 on interface {92A413DC-D327-4FEC-BBB1-2637251E6790} [DHCP-serv: 192.168.100.254, lease-time: 31536000]
Fri Apr 23 06:32:37 2021 Successful ARP Flush on interface [14] {92A413DC-D327-4FEC-BBB1-2637251E6790}
Fri Apr 23 06:32:39 2021 TEST ROUTES: 2/2 succeeded len=1 ret=1 a=0 u/d=up
Fri Apr 23 06:32:39 2021 C:\Windows\system32\route.exe ADD XX.XX.XX.XX MASK 255.255.255.255 192.168.1.1
Fri Apr 23 06:32:39 2021 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Fri Apr 23 06:32:39 2021 C:\Windows\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.1.1
Fri Apr 23 06:32:39 2021 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Fri Apr 23 06:32:39 2021 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.100.1
Fri Apr 23 06:32:39 2021 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Fri Apr 23 06:32:39 2021 C:\Windows\system32\route.exe ADD 10.144.0.0 MASK 255.255.0.0 192.168.100.1
Fri Apr 23 06:32:39 2021 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Fri Apr 23 06:32:39 2021 Initialization Sequence Completed
Fri Apr 23 06:32:37 2021 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.100.4/255.255.255.0 on interface {92A413DC-D327-4FEC-BBB1-2637251E6790} [DHCP-serv: 192.168.100.254, lease-time: 31536000]

Noch nicht genauer getestet, aber man muss dann den Securepoint SSL VPN erst komplett schließen und wieder öffnen, damit man es nochmal probieren kann. Oder man bricht den Verbindungsversuch nach 5 Sekunden und startet erneut den Verbindungsversuch. Vielleicht kann mir jemand helfen, wo ich noch eine Route eintragen muss.

Falls ihr noch ein paar Einstellungen der Portfilter oder der Netzwerkobjekte sehen wollt, dann sagt Bescheid. Ich wollte das jetzt nicht gleich alles im ersten Post rein hauen.

Besten Dank schonmal.

VG Roman

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

ist im SSL-VPN Server Multihome aktiviert? Wenn nicht bitte einmal setzen und am besten den Dienst einmal neu starten.


Gruß Björn

it.uft
Beiträge: 10
Registriert: Do 12.12.2019, 11:05

Beitrag von it.uft »

Hallo Björn,

danke für die Antwort. Aber muss Multihome nicht aktiviert werden, wenn es mehrere Internetleitungen gibt und er darf alle davon verwenden?
Ich glaube nicht das er über LTE eine normale Verbindung aufbauen kann, da es keine statische IP hat.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

Multihome muss aktiv sein wenn mehr als eine Default Route gibt oder Leitungsanbindung.
Denn wenn die Firewall mehr als eine Leitung hat werden die Pakete dementsprechend über die Gewichtung verteilt. 

Gruß Björn

it.uft
Beiträge: 10
Registriert: Do 12.12.2019, 11:05

Beitrag von it.uft »

Hallo,
gilt das dann für die eingehenden Pakete oder auch für die ausgehenden Pakete?
Eine Paketeeingang über LTE ist ja theoretisch nicht möglich bzw. nicht gewollt.

Grüße Roman

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Das betrifft den Dienst des SSL-VPN Servers. Bei Multihome merkt sich der Server das die Anfrage über Leitung A gekommen ist und auch über Leitung A beantwortet werden muss. SSL-VPN wäre auch über LTE möglich. Hier kommt es jedoch auf den LTE Vertrag an. Wenn sich kein Client über die LTE IP Verbindet wird dieser auch nicht zur Verbindung heran gezogen.

Gruß Björn

Antworten