Securepoint Support Forum

Moin zusammen,

ich bin noch neu in der Securepoint-Familie und bitte um Nachsicht :-)

Meine UTM ist in Betrieb und ich möchte eine SSL-VPN Verbindung einrichten, um im ersten Schritt via RDP auf einen Server zuzugreifen.
Ich bin daher nach folgender Anleitung gegangen SSL-VPN Roadwarrior (securepoint.de) und habe mir zusätzlich in der Akademie eine Video-Anleitung angeguckt,
bekomme aber leider keine VPN Verbindung zustande. Ich habe eine SSL-VPN Verbindung angelegt, Zertifikate erstellt und zugeordnet, Benutzer und Gruppen erstellt und eingerichtet sowie die voreingestellte FW-Regel übernommen, aber über meinen Client erhalte ich nur eine Fehlermeldung. Meine Vermutung: Vor der UTM ist mein Internet-Router angeschlossen, auf dem habe ich bereits die Firewall deaktiviert und DynDNS eingerichtet, den Router ist auch über das Internet erreichbar. Muss ich ggf. auf der Firewall noch zusätzlich eine Regel erstellen? 

Auf meinem Client zeigt der LOG auf einen TLS Fehler hin:
2024-09-03 11:37:40 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
 
2024-09-03 11:37:40 TLS Error: TLS handshake failed
 
2024-09-03 11:37:40 SIGUSR1[soft,tls-error] received, process restarting
 
2024-09-03 11:37:40 Restart pause, 1 second(s)
 
2024-09-03 11:37:41 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.11.100:1194
 
2024-09-03 11:37:41 Socket Buffers: R=[65536->65536] S=[65536->65536]
 
2024-09-03 11:37:41 UDPv4 link local: (not bound)
 
2024-09-03 11:37:41 UDPv4 link remote: [AF_INET]192.168.11.100:1194
 
2024-09-03 11:37:41 read UDPv4: Connection reset by peer (WSAECONNRESET) (fd=1c0,code=10054)
 
2024-09-03 11:37:43 read UDPv4: Connection reset by peer (WSAECONNRESET) (fd=1c0,code=10054)
 
2024-09-03 11:37:47 read UDPv4: Connection reset by peer (WSAECONNRESET) (fd=1c0,code=10054)
 
2024-09-03 11:37:55 read UDPv4: Connection reset by peer (WSAECONNRESET) (fd=1c0,code=10054)
 
2024-09-03 11:38:11 read UDPv4: Connection reset by peer (WSAECONNRESET) (fd=1c0,code=10054)
 
ERROR: TLS error! See log for details
 
2024-09-03 11:38:41 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
 
2024-09-03 11:38:41 TLS Error: TLS handshake failed
 
Disconnected


Meine UTM ist über die IP Adresse 192.168.10.100 erreichbar und mein Tunnel hat die IP Adresse 192.168.9.0/24.
Wenn ich mir den Fehler im LOG angucke steht, da auch die IP Adresse des "Remote Gateway" 192.168.11.100, das ist die IP Adresse der externen Schnittstelle. 

Bisher habe ich keine Ahnung mehr, wo ich gucken kann. Jemand eine Idee?

Danke und viele Grüße,
Lars Fehrmann

 

2024-09-03 11:37:41 UDPv4 link remote: [AF_INET]192.168.11.100:1194 
 
Das ist eine private IP. 
Hier müsste die öffentliche IP des Anschlusses stehen. 

Entweder steht die falsche IP in der Konfig oder der dynDNS löst falsch auf

Das hat mich auch verwundert, als Auswahl hatte ich aber keine öffentliche IP, hab danach DynDNS eingerichtet und hatte ich das Problem auch, werde es morgen nochmal testen und melde mich. Danke erstmal

Die UTM ist aber an der internen Schnittstelle (A1) und der Router an der externen Schnittstelle (A0). Eine extra Rout trotzdem nicht eingetragen werden, oder?

Hallo,

die Securepoint kann nur anzeigen was Sie auch kennt. Wenn noch ein Router davor steht kennt die Securepoint nur die IP aus dem Transfernetz. Wenn Sie danach dyndns hinterlegen müssen Sie dieses auf beim Benutzer/Benutzergruppe zuordnen und die Konfig neu laden. Denn die bestehende Konfig ändert sich nicht.

Es funktioniert, ich musste eine Portweiterleitung auf dem Router vor der UTM einrichten. gute Tipp Björn "die utm kennt nur anzeigen was sie auch kennt", die Sichtweise hat mir gefehlt komme aber nicht über RDP auf einen Server, sieht aber auf dem ersten Blick gut ahs. aber der Abend war lange und das schau ich mir Mal in Ruhe an. Danke erstmal

Das könnte an der Firewall des RDP-Servers liegen.

ich habe die letzten Tage viel hin und her probiert, auch mit deinem Tipp der Firewall auf dem RDP Server.
Leider hat es nicht funktioniert, auch testweise eine "any" Regel auf der UTM eingerichtet, aber das hat auch nicht funktioniert.
In den Logs sehe ich auch kein Problem, RDP geht durch.
Da die VPN Verbindung besteht, muss es doch eigentlich an der Firewall liegen. Oder das die Netze nicht miteinander kommunizieren  können.

Hallo, machen Sie am besten von dem Rechner ein tracert auf die Ziel IP. Wenn der Rechner die Pakete in den Tunnel schickt müssten Sie die Tunnel-IP der Firewall sehen als ersten Eintrag. Sollte hier jedoch das Default Gateway von dem Rechner angezeigt werden wird es an der gepushten Route liegen das diese nicht sauber geschrieben wurde. Hier könnte in der SSLVPN Konfig der Eintrag "route-delay 5" helfen. Wenn jedoch die Firewall kommt kann es an fehlerhafter Regel liegen oder das Ziel Antwortet nicht auf Anfragen aus dem VPN Netz.

Hallo Björn,
hatte zwischenzeitlich ein Ticket eröffnet, HIDENAT hat geholfen. In den LOGs war alles grün, per SSH haben wir den Fehler dann nachvollziehen können.