SSL-VPN nach Wechsel auf 11.5

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
wolfgang99
Beiträge: 31
Registriert: Mi 28.10.2009, 18:59

SSL-VPN nach Wechsel auf 11.5

Beitrag von wolfgang99 »

SSL-VPN nach Wechsel auf 11.5 funktioniert nicht mehr, weder mit dem (alten) Securepoint SSL-VPN-Client, noch mit dem OPEN-VPN-Vlient auf meinem Iphone.
Was muss an der UTM beachtet, bzw. umhestellt werden, damit dies wieder geht?

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Welche Benutzerauthentifizierung wird verwendet? Über das AD funktioniert es bei uns. Wurde der Hinweis beachtet, die AD-Anbindung zu prüfen?

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo,
wurden den Usern feste SSL VPN IPs zugewiesen?
Gruß

wolfgang99
Beiträge: 31
Registriert: Mi 28.10.2009, 18:59

Beitrag von wolfgang99 »

lokale Authentifizierung
feste IP-Adresse

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Das setzen von einer fester IP bei lokalen Usern ist leider momentan nicht möglich,
dieses Problem wird allerdings sofort mit 11.5.1 behoben.

Gruß

kultec
Beiträge: 31
Registriert: Fr 20.02.2015, 12:09

Beitrag von kultec »

Hallo

Bei uns ists das selbe Problem
Lokale Auth
und beim Benutzer wurde die IP Adresse hinterlegt
Sat Jun 13 13:03:48 2015 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 13 13:03:48 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 13 13:03:48 2015 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 13 13:03:48 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 13 13:03:48 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 13 13:03:48 2015 [OPENSSL__SCA] Peer Connection Initiated with [AF_INET]xxx.xxx.xxx.xxx:1194
ERROR: Application Exiting!Sat Jun 13 13:03:51 2015 SENT CONTROL [OPENSSL__SCA]: 'PUSH_REQUEST' (status=1)
Sat Jun 13 13:03:51 2015 AUTH: Received control message: AUTH_FAILED
Sat Jun 13 13:03:51 2015 SIGTERM[soft,auth-failure] received, process exiting
Wann kann man mit einem Fix Rechnen ?
Sehr ärgerlich, alles andere funktioniert und ich habe die 11.5 auch schon bestätigt im Admin-Menü
darum ist ein zurücksetzen nicht mehr möglich ... hätte den VPN aber benötigt am Wochenende



Bei einem Kunden haben wir nächste Woche eine Inbetriebnahme vermutlich noch nicht 11.5 da die SSL-VPNS nicht gehen !
kann man ( sobald der Fix eingespielt ist ) den nach dem Update auch die alten VPN Clients weiter nutzen

wir müssen 20 VPN clients mit fixen IPs erstellen da jeder andere Rechte hat und ich keine lust habe nach dem update nochmal alles umzustellen ...
da ich auch nicht an die einzelnen User dann wieder herantreten möchte mit der installtion

gibts kurzfristig auch eine Lösung ?

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

kultec hat geschrieben:[...] ich habe die 11.5 auch schon bestätigt im Admin-Menü darum ist ein zurücksetzen nicht mehr möglich [...]
Sie können trotzdem über Extras -> Firmware-Updates wieder auf die letzte installierte Version zurückgehen. Bitte beachten Sie, dass in dem Fall die Datenbank wiederhergestellt wird, die zum Zeitpunkt des ursprünglichen Updates aktiv war.
kultec hat geschrieben:gibts kurzfristig auch eine Lösung ?
Es gibt eine Lösung. Diese funktioniert allerdings nur, wenn Sie die Benutzer danach nicht mehr bearbeiten und involviert gebastel an der Datenbank. Alles folgende passiert deshalb auf eigene Gefahr und sollte nur nach einem Backup der Config durchgeführt werden.

Öffnen Sie eine root-Konsole (SSH) zur UTM und führen folgenden Befehl aus, um festzustellen, ob Sie das Problem betrifft:
Hinweis: Die Befehle sind in einer einzigen Zeile einzugeben.

Code: Alles auswählen

root@gateway:~# sqlite3 /tmp/running.db "SELECT attribute_value FROM attribute_values AS av JOIN attributes AS a ON av.attribute_id = a.attribute_id AND a.attribute_name = 'vpn_openvpn_ip';"
Erscheint in der Ausgabe eine IP gefolgt von einer Netzwerkmaske machen Sie weiter.

Code: Alles auswählen

root@gateway:~# sqlite3 /tmp/running.db "UPDATE attribute_values SET attribute_value =  substr(attribute_value, 1, instr(attribute_value, '/')-1) WHERE  instr(attribute_value, '/') > 0 AND attribute_id IN (SELECT av.attribute_id FROM attribute_values AS av JOIN attributes AS a ON av.attribute_id = a.attribute_id AND a.attribute_name = 'vpn_openvpn_ip')"
Dieser Befehl erzeugt keine Ausgabe. Jetzt können Sie mit dem ersten Command wieder prüfen, ob alle Netzmasken gelöscht wurden.

Damit die Änderungen aktiv werden, speichern Sie die Konfiguration und starten den SSLVPN-Dienst neu:

Code: Alles auswählen

root@gateway:~# spcli appmgmt config && spcli appmgmt restart application openvpn && spcli system config save

Antworten