VPN will nicht mehr

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
RomanM
Beiträge: 5
Registriert: Mi 16.12.2020, 10:38

VPN will nicht mehr

Beitrag von RomanM »

Hallo Leute,

ich weiß nicht warum, aber die Securepoint-VPN-Clients haben eine Macke.
Kurz zu den Umständen:
Internetleitung 1 - 10Mbit-Leitung
Internetleitung 2 - LTE-Router
Multihome ist aktiviert.

Der VPN-Client funktionierte bis letztes Woche noch super. Zumindestens konnte ich ohne Probleme auf die Server im Unternehmen zugreifen. Das Internet ging zwar nicht, aber das hatte mich nicht weiter gestört, weil ich dann immer von dem Server ins Internet gegangen bin, wenn ich etwas brauchte. Heute kam halt ein Kollege an und wollte während einer VPN-Verbindung auch gleichzeitig Internet nutzen für bspw. Teams, aber das ging nicht. Hatte in einem anderen Beitrag schonmal danach gefragt warum und wieso und konnte es dann mit redirect-gateway deaktivieren lösen. Seit dem der LTE-Router als Internetzugang genutzt wird, geht das aber nicht mehr und das Internet bleibt weg bei VPN-Verbindung.
Habe halt nochmal probiert einen VPN-Client mit deaktiviertem redirect zu installieren bzw. vorher den anderen zu deinstallieren und jetzt bekomme ich gar keine Verbindung mehr mit dem VPN.

Und das hier steht im Log:
Try to start OpenVPN connection srv_secpo_uft_alu_de_SSL_VPNPortal C:/XX VPN/config/srv_secpo_uft_alu_de_SSL_VPNPortal
2021-05-17 11:31:43 --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
2021-05-17 11:31:43 OpenVPN 2.5.1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 16 2021
2021-05-17 11:31:43 Windows version 10.0 (Windows 10 or greater) 64bit
2021-05-17 11:31:43 library versions: OpenSSL 1.1.1k  25 Mar 2021, LZO 2.10

2021-05-17 11:31:43 TCP/UDP: Preserving recently used remote address: [AF_INET]62.XX.XX.XX:1194
2021-05-17 11:31:43 Socket Buffers: R=[65536->65536] S=[65536->65536]
2021-05-17 11:31:43 UDP link local: (not bound)
2021-05-17 11:31:43 UDP link remote: [AF_INET]62.XX.XX.XX:1194
2021-05-17 11:31:43 TLS: Initial packet from [AF_INET]62.XX.XX.XX:1194, sid=facbc558 e7601369
2021-05-17 11:31:43 VERIFY OK: depth=1, C=DE, ST=Deutschland, L=..., O=..., OU=IT, CN=..., emailAddress=it@...de
2021-05-17 11:31:43 Validating certificate extended key usage
2021-05-17 11:32:43 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
ERROR: TLS error! See log for details
2021-05-17 11:32:43 TLS Error: TLS handshake failed
2021-05-17 11:32:43 SIGUSR1[soft,tls-error] received, process restarting
2021-05-17 11:32:43 Restart pause, 5 second(s)
2021-05-17 11:32:48 TCP/UDP: Preserving recently used remote address: [AF_INET]62.XX.XX.XX:1194
2021-05-17 11:32:48 Socket Buffers: R=[65536->65536] S=[65536->65536]
2021-05-17 11:32:48 UDP link local: (not bound)
2021-05-17 11:32:48 UDP link remote: [AF_INET]62.XX.XX.XX:1194
2021-05-17 11:32:49 TLS: Initial packet from [AF_INET]62.XX.XX.XX:1194, sid=30452cb4 f3072132
2021-05-17 11:32:49 VERIFY OK: depth=1, C=DE, ST=Deutschland, L=..., O=..., OU=IT, CN=..., emailAddress=it@...de
2021-05-17 11:32:49 Validating certificate extended key usage
2021-05-17 11:33:49 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
ERROR: TLS error! See log for details
2021-05-17 11:33:49 TLS Error: TLS handshake failed
2021-05-17 11:33:49 SIGUSR1[soft,tls-error] received, process restarting
2021-05-17 11:33:49 Restart pause, 5 second(s)
2021-05-17 11:33:54 TCP/UDP: Preserving recently used remote address: [AF_INET]62.XX.XX.XX:1194
2021-05-17 11:33:54 Socket Buffers: R=[65536->65536] S=[65536->65536]
2021-05-17 11:33:54 UDP link local: (not bound)
2021-05-17 11:33:54 UDP link remote: [AF_INET]62.XX.XX.XX:1194
2021-05-17 11:33:54 TLS: Initial packet from [AF_INET]62.XX.XX.XX:1194, sid=f342f0c6 150a6181
2021-05-17 11:33:54 VERIFY OK: depth=1, C=DE, ST=Deutschland, L=..., O=..., OU=IT, CN=..., emailAddress=it@...de
2021-05-17 11:33:54 Validating certificate extended key usage
2021-05-17 11:34:54 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
ERROR: TLS error! See log for details
2021-05-17 11:34:54 TLS Error: TLS handshake failed
Dsa einzige was anders oder "falsch" war - einer der Azubis hatte scheinbar auf der Firewall unter VPN->SSL-VPN bei Zertifikat sein eigenes Zertifikat eingetragen. Keine Ahnung warum, aber ich bin mir nicht ganz sicher was da vorher drin stand. Das sollte ja aber eigentlich nicht weiter stören, wenn dieses Zertifikat auch auf dem Client installiert ist?

Was die sonstigen Einstellungen betrifft noch die folgenden Aufstellungen:
Portfilter:
Q: SSL-VPNPortal - Z:internal-network - D: any
Q: SSL-VPNPortal - Z:internal-interface - D: administration (ssh, securepoint-admin tcp 11115, soc-dataprovider tcp 6178, soc-logging tcp 9999)

Es gibt für Q:internal-network - Z: SSL-VPNPortal keine Regel, falls das von relevanz ist.
Ich hatte heute morgen noch eine Regel geändert, weil der Dienstleister nicht auf das Gerät im Unternehmen kam indem ich das Routing geändert hatte auf die 10MBit-Leitung.
Q: Gerät im Unternehmen - Z: Geräte-Support - D: ssh - NAT: Hidenat -> external-interface - RuleRouting: eth0
Die Regel kam aber eh nach den VPN-Regeln

Objekte:
N: SSL-VPNPortal - A: 192.168.100.0/24 - Z: vpn-openvpn-SSL_VPNPortal

Zone:
Z: vpn-openvpn-SSL_VPNPortal - Schnittstelle: tun0

Vielleicht kann mir der eine oder andere schlaue Fuchs helfen, damit 1. der VPN überhaupt wieder funktioniert und 2. während der VPN-Verbindung auch das Internet funktioniert.

Vielen Dank.

VG Roman

RomanM
Beiträge: 5
Registriert: Mi 16.12.2020, 10:38

Beitrag von RomanM »

Habe jetzt mal noch ein bisschen rumprobiert. Das komische ist, dass der normale Client von OpenVPN mit der Konfiguration funktioniert.
Kann man den securepoint Client irgendwie reparieren oder eine Einstellung in der Registry löschen, da deinstallieren und installiere nichts gebracht hat

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

die Meldung: " TLS Error: TLS handshake failed" bedeutet das keine TLS Verbindung aufgebaut werden konnte. Das ist aber Client unabhängig. Dies tritt in der Regel dann auf wenn Pakete verloren gehen oder nicht zeitig ankommen. Bei solchen Meldungen hilft es meistens den Tunnel von UDP auf TCP umzustellen.

Gruß Björn

Antworten