7
Verbindung MacOS auf Sophos Firewall via Tunnelblick funktioniert nicht mehr
Hi Leute,
wir haben eine Sophos SG135 unter UTM9, auf der ein SSL-VPN Zugang eingerichtet ist.
Dieser wird von einigen Windows-PC aus genutzt und auch von drei Mac.
Auf den Mac kommt Tunnelblick als VPN-Client zum Einsatz.
Das funktionierte auch bisher problemlos.
Allerdings können beide Mac heute keine stabile Verbindung mehr aufbauen.
Laut Log auf der Sophos wird die Verbindung aufgebaut und gleich wieder getrennt:
Die Schleife findet kein Ende...
Von einem Windows Rechner aus (über den Sophos VPN-Client), wird die Verbindung erfolgreich aufgebauf und bleibt auch bestehen...
Dort folgen nach dem "TLS: initial packet" weitere Zeilen im Log, die z.B. zeigen, dass Username und PAsswort korrekt sind.
So weit kommt es beim Verbindungsaufbau per Tunnelblick gat nicht erst.
Tunnelblick wird in der aktuellen Version 4.0.1 aus dem März 2024 verwendet. Updates gab es da in letzter Zeit nicht.
MacOS ist sowohl 11 als auch 14 und 15.
Der Fehler tritt bei allen 3 Systemen auf.
Die Firmware auf der Sophos ist 9.720-5
Allerdings sehe ich da leider nicht, ob die nicht vielleicht kürzlich aktualisiert wurde...
Irgendwelche Ideen, warum die Verbindung vom Mac aus nicht mehr funktioniert?
Merci
wir haben eine Sophos SG135 unter UTM9, auf der ein SSL-VPN Zugang eingerichtet ist.
Dieser wird von einigen Windows-PC aus genutzt und auch von drei Mac.
Auf den Mac kommt Tunnelblick als VPN-Client zum Einsatz.
Das funktionierte auch bisher problemlos.
Allerdings können beide Mac heute keine stabile Verbindung mehr aufbauen.
Laut Log auf der Sophos wird die Verbindung aufgebaut und gleich wieder getrennt:
2024:10:31-09:05:30 sutm-abc openvpn[6802]: TCP connection established with [AF_INET]87.xxx.yyy.zzz:51200 (via [AF_INET]212.xxx.yyy.zzz:4443)
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 TLS: Initial packet from [AF_INET]87.xxx.yyy.zzz:51200 (via [AF_INET]212.xxx.yyy.zzz:4443), sid=8a212c6e 761664ec
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 Connection reset, restarting [-1]
2024:10:31-09:05:30 sutm-abc openvpn[6802]: 87.xxx.yyy.zzz:51200 SIGUSR1[soft,connection-reset] received, client-instance restartingDie Schleife findet kein Ende...
Von einem Windows Rechner aus (über den Sophos VPN-Client), wird die Verbindung erfolgreich aufgebauf und bleibt auch bestehen...
Dort folgen nach dem "TLS: initial packet" weitere Zeilen im Log, die z.B. zeigen, dass Username und PAsswort korrekt sind.
So weit kommt es beim Verbindungsaufbau per Tunnelblick gat nicht erst.
Tunnelblick wird in der aktuellen Version 4.0.1 aus dem März 2024 verwendet. Updates gab es da in letzter Zeit nicht.
MacOS ist sowohl 11 als auch 14 und 15.
Der Fehler tritt bei allen 3 Systemen auf.
Die Firmware auf der Sophos ist 9.720-5
Allerdings sehe ich da leider nicht, ob die nicht vielleicht kürzlich aktualisiert wurde...
Irgendwelche Ideen, warum die Verbindung vom Mac aus nicht mehr funktioniert?
Merci
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669161
Url: https://administrator.de/forum/verbindung-macos-auf-sophos-firewall-via-tunnelblick-funktioniert-nicht-mehr-669161.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
7 Kommentare
Neuester Kommentar
Vielleicht von der UTM die Konfigurationsdatei neu runterladen und es mit der versuchen ?
Das habe ich schon probiert: Geht nicht.
Auch nicht für einen neu erstellten User.
Auch nicht für einen neu erstellten User.
Und das OpenVPN Setting noch einmal genau checken:
Merkzettel: VPN Installation mit OpenVPN
Insbesondere auch die Gültikeitsdauer der SSL Client Zertifikate für die Macs.
Bei 14 und 15 auch mal checken ob die App ggf. in der Sandbox fürs lokale Netz gelandet ist und dort aktiviert werden muss!
Merkzettel: VPN Installation mit OpenVPN
Insbesondere auch die Gültikeitsdauer der SSL Client Zertifikate für die Macs.
Bei 14 und 15 auch mal checken ob die App ggf. in der Sandbox fürs lokale Netz gelandet ist und dort aktiviert werden muss!
Da das VPN auf allen Macs schon mal funktioniert hat, sollte es an der Software bzw. der Konfiguration eigentlich nicht liegen.
Aber Zertifikate war ein guter Hinweis.
Im Tunnelblick Log steht folgendes:
Warum auch immer das JETZT auffällt.
Ein Hinweis, den ich gefunden habe, ist, dass die CA auf der Sophos wahrscheinlich zu alt ist.
Die CA müsse regenieriert werden.
Aber Zertifikate war ein guter Hinweis.
Im Tunnelblick Log steht folgendes:
2024-10-31 11:14:10.132196 VERIFY ERROR: depth=0, error=CA signature digest algorithm too weak: C=de, L=Ort, O=Firma, CN=sutm-abc.firma.local, emailAddress=email@adresse.de, serial=11223334455667788
2024-10-31 11:14:10.132236 OpenSSL: error:0A000086:SSL routines::certificate verify failed:
2024-10-31 11:14:10.132243 TLS_ERROR: BIO read tls_read_plaintext error
2024-10-31 11:14:10.132249 TLS Error: TLS object -> incoming plaintext read error
2024-10-31 11:14:10.132254 TLS Error: TLS handshake failedWarum auch immer das JETZT auffällt.
Ein Hinweis, den ich gefunden habe, ist, dass die CA auf der Sophos wahrscheinlich zu alt ist.
Die CA müsse regenieriert werden.
Zur leider wieder einmal falschen Verwendung der TLD .local ist hier ja schon alles gesagt worden. 
https://imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Der Fehler liegt aber in der Tat in deinen Zertifikaten. Ob Gültigkeit oder was auch immer. Letzteres kannst du mit dem Kommando openssl x509 -in <zertifikat.crt> -text -noout checken.
Vielleicht einmal eine Option auf ein etwas moderneres und performanteres VPN Protokoll zu wechseln oder eins was dir die unnötige und überflüssige Installation von VPN Client Software auf den Endgeräten erspart. Smartphones, Winblows und Macs haben von sich aus ja schon mit IKEv2 und L2TP alles dafür onboard.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Hardware
Usw. usw.
https://imatrix.at/schlechter-domain-name/
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Der Fehler liegt aber in der Tat in deinen Zertifikaten. Ob Gültigkeit oder was auch immer. Letzteres kannst du mit dem Kommando openssl x509 -in <zertifikat.crt> -text -noout checken.
Vielleicht einmal eine Option auf ein etwas moderneres und performanteres VPN Protokoll zu wechseln oder eins was dir die unnötige und überflüssige Installation von VPN Client Software auf den Endgeräten erspart. Smartphones, Winblows und Macs haben von sich aus ja schon mit IKEv2 und L2TP alles dafür onboard.
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Hardware
Usw. usw.
Wenn man so eine seit 10 Jahre stehende Installation übernommen hat, sind Änderungen nicht immer so einfach umzusetzen, wie es sich sagt.
Da die Sophos aber sowieso demnächst ausgetauscht werden muss, bietet sich da die Gelegenheit für einen "Rundumschlag".
Bis dahin habe ich erst mal L2TP aktiviert - funktioniert...
Da die Sophos aber sowieso demnächst ausgetauscht werden muss, bietet sich da die Gelegenheit für einen "Rundumschlag".
Bis dahin habe ich erst mal L2TP aktiviert - funktioniert...
Wer hat eigentlich gesagt das Tunnelblick vertrauenswürdig ist?
1
