diwaffm
Goto Top

Verbindung MacOS auf Sophos Firewall via Tunnelblick funktioniert nicht mehr

Hi Leute,

wir haben eine Sophos SG135 unter UTM9, auf der ein SSL-VPN Zugang eingerichtet ist.
Dieser wird von einigen Windows-PC aus genutzt und auch von drei Mac.

Auf den Mac kommt Tunnelblick als VPN-Client zum Einsatz.
Das funktionierte auch bisher problemlos.
Allerdings können beide Mac heute keine stabile Verbindung mehr aufbauen.

Laut Log auf der Sophos wird die Verbindung aufgebaut und gleich wieder getrennt:

2024:10:31-09:05:30 sutm-abc openvpn[6802]: TCP connection established with [AF_INET]87.xxx.yyy.zzz:51200 (via [AF_INET]212.xxx.yyy.zzz:4443)
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 TLS: Initial packet from [AF_INET]87.xxx.yyy.zzz:51200 (via [AF_INET]212.xxx.yyy.zzz:4443), sid=8a212c6e 761664ec
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 Connection reset, restarting [-1]
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 SIGUSR1[soft,connection-reset] received, client-instance restarting

Die Schleife findet kein Ende...

Von einem Windows Rechner aus (über den Sophos VPN-Client), wird die Verbindung erfolgreich aufgebauf und bleibt auch bestehen...
Dort folgen nach dem "TLS: initial packet" weitere Zeilen im Log, die z.B. zeigen, dass Username und PAsswort korrekt sind.
So weit kommt es beim Verbindungsaufbau per Tunnelblick gat nicht erst.

Tunnelblick wird in der aktuellen Version 4.0.1 aus dem März 2024 verwendet. Updates gab es da in letzter Zeit nicht.
MacOS ist sowohl 11 als auch 14 und 15.
Der Fehler tritt bei allen 3 Systemen auf.

Die Firmware auf der Sophos ist 9.720-5
Allerdings sehe ich da leider nicht, ob die nicht vielleicht kürzlich aktualisiert wurde...

Irgendwelche Ideen, warum die Verbindung vom Mac aus nicht mehr funktioniert?

Merci

Content-ID: 669161

Url: https://administrator.de/contentid/669161

Printed on: November 6, 2024 at 11:11 o'clock

thomfe
thomfe Oct 31, 2024 at 09:47:02 (UTC)
Goto Top
Vielleicht von der UTM die Konfigurationsdatei neu runterladen und es mit der versuchen ?
diwaffm
diwaffm Oct 31, 2024 at 10:10:26 (UTC)
Goto Top
Das habe ich schon probiert: Geht nicht.

Auch nicht für einen neu erstellten User.
aqui
Solution aqui Oct 31, 2024 updated at 10:21:00 (UTC)
Goto Top
Und das OpenVPN Setting noch einmal genau checken:
Merkzettel: VPN Installation mit OpenVPN
Insbesondere auch die Gültikeitsdauer der SSL Client Zertifikate für die Macs.
Bei 14 und 15 auch mal checken ob die App ggf. in der Sandbox fürs lokale Netz gelandet ist und dort aktiviert werden muss!
sec
diwaffm
diwaffm Oct 31, 2024 at 10:53:37 (UTC)
Goto Top
Da das VPN auf allen Macs schon mal funktioniert hat, sollte es an der Software bzw. der Konfiguration eigentlich nicht liegen.

Aber Zertifikate war ein guter Hinweis.
Im Tunnelblick Log steht folgendes:

2024-10-31 11:14:10.132196 VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=de, L=Ort, O=Firma, CN=sutm-abc.firma.local, emailAddress=email@adresse.de, serial=11223334455667788
2024-10-31 11:14:10.132236 OpenSSL: error:0A000086:SSL routines::certificate verify failed:
2024-10-31 11:14:10.132243 TLS_ERROR: BIO read tls_read_plaintext error
2024-10-31 11:14:10.132249 TLS Error: TLS object -> incoming plaintext read error
2024-10-31 11:14:10.132254 TLS Error: TLS handshake failed

Warum auch immer das JETZT auffällt.

Ein Hinweis, den ich gefunden habe, ist, dass die CA auf der Sophos wahrscheinlich zu alt ist.
Die CA müsse regenieriert werden.
aqui
aqui Oct 31, 2024 updated at 11:22:14 (UTC)
Goto Top
Zur leider wieder einmal falschen Verwendung der TLD .local ist hier ja schon alles gesagt worden. face-sad
https://imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS

Der Fehler liegt aber in der Tat in deinen Zertifikaten. Ob Gültigkeit oder was auch immer. Letzteres kannst du mit dem Kommando openssl x509 -in <zertifikat.crt> -text -noout checken.
Vielleicht einmal eine Option auf ein etwas moderneres und performanteres VPN Protokoll zu wechseln oder eins was dir die unnötige und überflüssige Installation von VPN Client Software auf den Endgeräten erspart. Smartphones, Winblows und Macs haben von sich aus ja schon mit IKEv2 und L2TP alles dafür onboard. face-wink
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Hardware
Usw. usw.
diwaffm
diwaffm Oct 31, 2024 at 18:31:29 (UTC)
Goto Top
Wenn man so eine seit 10 Jahre stehende Installation übernommen hat, sind Änderungen nicht immer so einfach umzusetzen, wie es sich sagt.
Da die Sophos aber sowieso demnächst ausgetauscht werden muss, bietet sich da die Gelegenheit für einen "Rundumschlag".

Bis dahin habe ich erst mal L2TP aktiviert - funktioniert...
chi-hua-hua
chi-hua-hua Nov 03, 2024 at 06:22:55 (UTC)
Goto Top
Wer hat eigentlich gesagt das Tunnelblick vertrauenswürdig ist?