Verbindung MacOS auf Sophos Firewall via Tunnelblick funktioniert nicht mehr
Hi Leute,
wir haben eine Sophos SG135 unter UTM9, auf der ein SSL-VPN Zugang eingerichtet ist.
Dieser wird von einigen Windows-PC aus genutzt und auch von drei Mac.
Auf den Mac kommt Tunnelblick als VPN-Client zum Einsatz.
Das funktionierte auch bisher problemlos.
Allerdings können beide Mac heute keine stabile Verbindung mehr aufbauen.
Laut Log auf der Sophos wird die Verbindung aufgebaut und gleich wieder getrennt:
Die Schleife findet kein Ende...
Von einem Windows Rechner aus (über den Sophos VPN-Client), wird die Verbindung erfolgreich aufgebauf und bleibt auch bestehen...
Dort folgen nach dem "TLS: initial packet" weitere Zeilen im Log, die z.B. zeigen, dass Username und PAsswort korrekt sind.
So weit kommt es beim Verbindungsaufbau per Tunnelblick gat nicht erst.
Tunnelblick wird in der aktuellen Version 4.0.1 aus dem März 2024 verwendet. Updates gab es da in letzter Zeit nicht.
MacOS ist sowohl 11 als auch 14 und 15.
Der Fehler tritt bei allen 3 Systemen auf.
Die Firmware auf der Sophos ist 9.720-5
Allerdings sehe ich da leider nicht, ob die nicht vielleicht kürzlich aktualisiert wurde...
Irgendwelche Ideen, warum die Verbindung vom Mac aus nicht mehr funktioniert?
Merci
wir haben eine Sophos SG135 unter UTM9, auf der ein SSL-VPN Zugang eingerichtet ist.
Dieser wird von einigen Windows-PC aus genutzt und auch von drei Mac.
Auf den Mac kommt Tunnelblick als VPN-Client zum Einsatz.
Das funktionierte auch bisher problemlos.
Allerdings können beide Mac heute keine stabile Verbindung mehr aufbauen.
Laut Log auf der Sophos wird die Verbindung aufgebaut und gleich wieder getrennt:
2024:10:31-09:05:30 sutm-abc openvpn[6802]: TCP connection established with [AF_INET]87.xxx.yyy.zzz:51200 (via [AF_INET]212.xxx.yyy.zzz:4443)
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 TLS: Initial packet from [AF_INET]87.xxx.yyy.zzz:51200 (via [AF_INET]212.xxx.yyy.zzz:4443), sid=8a212c6e 761664ec
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 Connection reset, restarting [-1]
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 SIGUSR1[soft,connection-reset] received, client-instance restarting
Die Schleife findet kein Ende...
Von einem Windows Rechner aus (über den Sophos VPN-Client), wird die Verbindung erfolgreich aufgebauf und bleibt auch bestehen...
Dort folgen nach dem "TLS: initial packet" weitere Zeilen im Log, die z.B. zeigen, dass Username und PAsswort korrekt sind.
So weit kommt es beim Verbindungsaufbau per Tunnelblick gat nicht erst.
Tunnelblick wird in der aktuellen Version 4.0.1 aus dem März 2024 verwendet. Updates gab es da in letzter Zeit nicht.
MacOS ist sowohl 11 als auch 14 und 15.
Der Fehler tritt bei allen 3 Systemen auf.
Die Firmware auf der Sophos ist 9.720-5
Allerdings sehe ich da leider nicht, ob die nicht vielleicht kürzlich aktualisiert wurde...
Irgendwelche Ideen, warum die Verbindung vom Mac aus nicht mehr funktioniert?
Merci
Please also mark the comments that contributed to the solution of the article
Content-ID: 669161
Url: https://administrator.de/contentid/669161
Printed on: November 6, 2024 at 11:11 o'clock
7 Comments
Latest comment
Und das OpenVPN Setting noch einmal genau checken:
Merkzettel: VPN Installation mit OpenVPN
Insbesondere auch die Gültikeitsdauer der SSL Client Zertifikate für die Macs.
Bei 14 und 15 auch mal checken ob die App ggf. in der Sandbox fürs lokale Netz gelandet ist und dort aktiviert werden muss!
Merkzettel: VPN Installation mit OpenVPN
Insbesondere auch die Gültikeitsdauer der SSL Client Zertifikate für die Macs.
Bei 14 und 15 auch mal checken ob die App ggf. in der Sandbox fürs lokale Netz gelandet ist und dort aktiviert werden muss!
Zur leider wieder einmal falschen Verwendung der TLD .local ist hier ja schon alles gesagt worden.
https://imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Der Fehler liegt aber in der Tat in deinen Zertifikaten. Ob Gültigkeit oder was auch immer. Letzteres kannst du mit dem Kommando openssl x509 -in <zertifikat.crt> -text -noout checken.
Vielleicht einmal eine Option auf ein etwas moderneres und performanteres VPN Protokoll zu wechseln oder eins was dir die unnötige und überflüssige Installation von VPN Client Software auf den Endgeräten erspart. Smartphones, Winblows und Macs haben von sich aus ja schon mit IKEv2 und L2TP alles dafür onboard.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Hardware
Usw. usw.
https://imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Der Fehler liegt aber in der Tat in deinen Zertifikaten. Ob Gültigkeit oder was auch immer. Letzteres kannst du mit dem Kommando openssl x509 -in <zertifikat.crt> -text -noout checken.
Vielleicht einmal eine Option auf ein etwas moderneres und performanteres VPN Protokoll zu wechseln oder eins was dir die unnötige und überflüssige Installation von VPN Client Software auf den Endgeräten erspart. Smartphones, Winblows und Macs haben von sich aus ja schon mit IKEv2 und L2TP alles dafür onboard.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Hardware
Usw. usw.